Selasa, 22 Januari 2013

Beberapa Tips WordPress Security Hardening




Banyak sumber yang menyebutkan jika 3rd party pada wordpress seperti themes dan plugin rentan pada serangan-serangan tersebut. Intinya, jikaplugin dan themes tidak pernah di-update, maka blog atau web rentan terhadap serangan hacking.

Disini akan di jelaskan beberapa tips untuk mengamankan website berbasis wordpress dan menurut saya tips ini sudah lebih dari cukup. Cukup bermodalkan htaccess, kita bisa membatasi setiap pergerakan orang yang berniat iseng pada website kita.

Buatlah sebuah file .htaccess pada root direktori web, jika sudah ada, silahkan ditambahkan pada bagian bawah baris yang sudah ada.

############
# Disallow #
############
<Files wp-config.php>
Order allow,deny
Deny from all
</Files>
<Files readme.html>
Order allow,deny
Deny from all
</Files>
<Files install.php>
Order allow,deny
Deny from all
</Files>
 
#########
# Allow #
#########
<Files index.php>
Order allow,deny
Allow from all
</Files>
Buat juga sebuah file .htaccess pada wp-content/plugins

<Files *.php>
Order allow,deny
Deny from all
</Files>
<Files smiley.php>
Order allow,deny
Allow from all
</Files>
Sebuah file .htaccess pada wp-content/themes

<Files *.php>
Order allow,deny
Deny from all
</Files>
Sebuah lagi pada wp-includes

<Files *.php>
Order allow,deny
Deny from all
</Files>
<Files wp-tinymce.php>
Order allow,deny
Allow from all
</Files>
Sebuah lagi pada wp-includes

<Files *.php>
Order deny,allow
Deny from all
Allow from 127.0.0.1
Allow from 74.79.0.0/16
Allow from 179.15.22.0/24
</Files>
Filosofi dari baris-baris tersebut adalah kita membatasi gerakan peretas yang ingin merusak website kita. Kebanyakan file-file wordpress tidak dipanggil secaa langsung ketika dibuka dari browser, melainkan melalui induk file index.php. File inilah yang memanggil file-file yang lainnya. Oleh karena itu, kita bisa memproteksinya dengan menggunakan htacces di atas. Namun ada juga file-file yang diakses secara langsung dan jika kita memproteksinya, otomatis website kita tidak akan berjalan dengan baik. Pengecekan mana file-file yang diakses langsung bisa menggunakan fitur inspect elemen pada google chrome, lalu membuka tab Console. Jika tidak ada error, maka proteksi yang digunakan berjalan dengan baik. Efek dari kode di atas adalah ketika mengakses langsung file yang telah diproteksi, blog akan mengeluarkan kode 404 yang menyatakan bahwa file tidak ada.

Untuk menambah keamanan, jangan lupa untuk mengganti permission htaccess menjadi 444. Ini untuk memastikan bahwa file htaccess tidak bisa ditulis secara langsung.


Sumber : duken.info

Tidak ada komentar:

Poskan Komentar

 

Design By:
SkinCorner