Home keselamatan 10 Cara Mudah Meningkatkan Keselamatan blog WordPress

Keselamatan WordPress

Terkejut saya bila dengar beberapa blog popular telah digodam oleh hacker. Jadi saya nak berkongsi sedikit kaedah basic untuk tingkatkan keselamatan blog WordPress. Sebelum ni saya pernah mempelajari teknik hacking ni melalui ethical hacker. Jadi terdapat beberapa lokasi ataupun kaedah yang boleh digunakan oleh hacker untuk mencerobohi blog WordPress.

Oh ye sebelum itu, sebenarnya saya rasa agak melampau untuk hacker tempatan untuk hack blog sewarga dengan mereka ni. Kata sayang Malaysia kan.. hehe.. Walaubagaimanapun bagi yang hanya membuat serangan tanpa mengubah atau memadam sebarang kandungan pada blog tu,  ia dapat memberi peneguran terhadapa tahap keselamatan blog itu. Ini mungkin kerja penggodam bertopi putih. Anda patut rasa bertuah sekiranya digodam oleh hacker seperti ini sebab mereka pasti akan memberitahu kelemahan pada sistem keselamatan blog anda.

Baiklah berbalik kepada kaedah yang saya ingin kongsikan ini merupakan salah satu inisiatif meningkatkan lagi sistem keselamatan WordPress walaupun kita sebenarnya sudah tahu yang sistem WordPress ini adalah selamat sebab ia dibangunkan oleh beribu-ribu orang yang mahir dalam pengaturcaraan dan keselamatan.

1. Pastikan anda update WordPress

Ini merupakan perkara paling mudah untuk dilakukan tapi sebenarnya ramai yang mengabaikannya. Anda perlu pastikan versi WordPress anda sentiasa adalah versi yang terbaru sebabnya dalam setiap update beberapa bug atau hole akan ditutup. Mereka yang berada dalam kumpulan pembangun WordPress ini sentiasa melakukan pengujian keselamatan terhadap sistem WordPress jadi sekiranya mereka menemui sebarang security hole satu update akan dibuat, anda boleh baca pada bahagian update spesifikasi apa yang akan ditambah. Oleh itu adakah versi WordPress anda adalah yang terbaru?

2. Lindungi Plugin anda

Plugin merupakan antara cara hacker tembusi blog anda. Pastikan anda menghalang directory browsing atau meletakkan fail kosong index.html pada “wp-content/plugins” untuk mengalang daripada orang lain mengetahui plugin yang terpasang pada blog anda. Selain itu pastikan anda tidak memasang plugin atau theme yang mencurigakan contohnya memuat turun plugin atau premium theme percuma pada laman web yang ‘sharing’. Sebab kemungkinan besar plugin atau theme itu telah diletakkan tambahan code untuk memudahkan proses penembusan atau dengan bahasa lain “Backdoor”. Tempat yang paling selamat untuk download plugin atau theme  adalah dari WordPress.org atau laman web penyedia yang berbayar.

Sekiranya anda ingin mengelak directory browsing melalui .htaccess Masukkan code dibawah pada file .htaccess anda.

# disable directory browsing

Options All -Indexes

 

3. WP Security Scan

Pasang plugin ini untuk mengetahui tahap keselamatan blog anda serta ia berkeupayaan untuk mengubah nama database yang asal. Langkah ini dapat mengelakkan SQL injection dilakukan pada pangkalan data anda.

Muat turun melalui sini. http://wordpress.org/extend/plugins/wp-security-scan/

4.  Gunakan Password yang baik dan selamat

Ini perkara asas yang perlu anda ambil berat. Kombinasi huruf,nombor, huruf besar dan kecil, dan aksara lain seperti “@_! ” akan buatkan tahap keselamatan password tersebut tinggi. Contohnya password seperti ini “[email protected][email protected]” mempunyai tahap keselamatan yang sangat baik selain mudah diingati.  Terdapat dua cara untuk untuk memecahkan password ini, yang pertama adalah menggunakan bot dan kedua adalah meneka. Penggunaan bot adalah melalui kamus password dan bot akan memasukkan satu persatu password sehingga menjumpainya. Menambahkan kombinasi dan panjang password akan melambatkan proses meneka. Misalnya password diatas mungkin akan mengambil masa 10-50 tahun untuk bot tersebut berjaya menjumpainya.

untuk semak tahap keselamatan password anda boleh di semak disini. https://www.microsoft.com/security/pc-security/password-checker.aspx

Selain perkara diatas elakkan menggunakan password yang sama dalam setiap laman web yang lain dan kerapkan tukar password anda dalam tempoh tertentu misalnya setiap 6 bulan dan sebagainya. Penggunaan  password yang sama mungkin akan mendedahkan password anda. Contohnya anda mendaftar pada forum yang mempunyai tahap keselamatan yang rendah, penggodam berjaya mencapai MD5 password tersebut melalui SQL injection, jadi password anda mungkin terdedah sekiranya md5 tersebut berjaya di reverse kan.

Secara personal saya cadangkan password untuk cpanel dan WordPress atau yang lain-lain anda adalah berbeza. Ini akan mengelakkan password cpanel anda terdedah sekiranya ia berjaya diperolehi dari laman web yang lain. Sekiranya penggodam berjaya pecah masuk cpanel, ia akan jadi lebih dahsyat

5.  Tukar username admin

Semasa pemasangan  WordPress dan anda tidak tukar, anda akan menggunakan admin sebagai username anda.  Menggunakan default setting macam ni telah memudahkan proses menggodam sebabnya anda telah memberikan username pada penggodam. Sekarang mereka hanya perlu meneka untuk password sahaja.  Untuk menukar username ini anda perlu akses ke PHPMyadmin. Cari bahagian database WordPress anda dan pilih xxx_ user, xxx itu prefix bagi WordPress database anda , pastikan anda membuat backup sebelum anda lakukan sebarang perubahan.

Langkah ini tidak digalakkan kepada pengguna yang tidak pernah menggunakan PHPMyAdmin sebelum ni.

6. Lindungi file WP-Config.php

File WP-Config.php menyimpan maklumat penting berkenaan pangkalan data anda. Ia sesuatu yang perlu anda lindungi untuk diakses oleh mana-mana pihak yang tidak berkenaan. Masukkan code dibawah pada file .htaccess anda. Ia akan buatkan akses terhadap WP-Config.php menerima 404 error.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

 

 

7. Hadkan capaian ke WP-Admin

Folder WP-Admin mengandungi file pengurusan (administration) yang membolehkan akses terhadap blog. Sekiranya anda blogging melalui IP yang tetap anda boleh hadkan akses terhadap folder ini melalui .htaccess . Caranya tambahkan code dibawah ke “WP-Admin/.htaccess” anda mungkin perlu untuk create sendiri file tersebut sebab secara default ia tidak wujud.

Order Deny,Allow
Allow from xxx.xxx.xxx.xxx
Deny from all

xxx itu diisikan dengan IP anda.

 

Selain itu anda boleh tambahkan perlindungan password untuk mengakses folder ini. Cara paling mudah adalah dengan menggunakan “Password Protect Directories” yang disediakan pada cpanel.

8. Hadkan jumlah login ke dashboard

Sekiranya anda telah lakukan langkah no. 7 tadi ini merupakan double protection. Antara cara untuk hadkan jumlah login adalah melalui plugin lock down.

http://wordpress.org/extend/plugins/login-lockdown/

Anda dapat set jumlah login yang gagal sebelum page tersebut terus dikunci dari login. Kaedah ini dapat hentikan cubaan untuk meneka password.

Selain itu anda juga boleh gunakan  reCAPTCHA pada login, secara tidak langsung ia akan menghalang bot daripada meneka password selain menambah masa untuk ‘manusia’ membuat tekaan sebab terpaksa mengisi  reCAPTCHA terlebih dahulu. Tak tau apa itu reCAPTCHA tengok gambar di bawah.

reCAPTCHA

Sekiranya anda ingin pasang reCAPTCHA pada login, pasang plugin WP-REcaptcha.

 

9.  Login blog melalui SSL

Yang ini merupakan langkah keselamatan yang saya lihat pada mana-mana tips keselamatan laman web. Secara default SSL tidak disediakan pada anda jadi pastikan dahulu dengan hubungi penyedia hosting anda berkenaan hosting ini. SSL ni membolehlah anda login ke dashboard dalam keadaan encrypted data transfer data dan session. Ini akan menghalangkan pintasan data.

Anda boleh gunakan plugin WP Plugin Directory untuk aktifkan sambungan SLL pada ruangan admin.

http://wordpress.org/extend/plugins/admin-ssl-secure-admin/

Setakat ni saya juga tak amalkan kaedah ni.. :) .. maklumlah untuk dapatkan sambungan “https://” ni agak mahal kosnya.

10. Backup data anda.

Ini langkah berjaga-jaga. Mungkin anda telah lakukan semua langkah keselamatan di atas tapi blog anda telah dijadikan sasaran oleh sekumpulan penggodam yang berpengalaman tinggi.  Kalau nasib tidak baik dan mereka berjaya memecahkan mana-mana sistem keselamatan blog anda maka backup akan menjadi teman terbaik anda. Biarlah kita sentiasa bersedia dengan backup agar sekiraya berlaku perkara buruk yang tidak dijangka anda boleh kembalikan blog anda seperti sedia kala.

Anda boleh gunakan WP-DBManager untuk menguruskan urusan backup ini.

 

 

Rasanya cukuplah dulu setakat 10 langkah saja dulu, praktikkan langkah ini InsyaAllah blog anda akan lebih selamat daripada biasa.  Semasa tulis ni saya ada teringat satu perkara ingat nak tambah jadi 11 langkah tapi rasanya tak perlulah sebab nampak lebih cool dengan nombor 10.  Ini mungkin nampak macam tak penting iaitu menghalang akses kepada file .htaccess anda. file mengandungi setting yang mungkin kritikal terhadap keselamatan jadi langkah terbaik adalah menghalang browser akses terhadapnya. Masukkan pada file .htaccess code dibawah.

# STRONG HTACCESS PROTECTION</code>
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Sekiranya anda masih blur dengan mana-mana langkah di atas tanya saja melalui komen. Saya sentiasa membaca komen anda sebelum di publish.

5 replies to this post

Leave a Reply to Mahadir Ahmad Cancel reply

Anti-spam: complete the taskWordPress CAPTCHA