Apapun alasannya,, tindakan defacing merupakan suatu kegiatan yang ilegal. Tak perlu saya jabarkan UU ITE yang bisa digunakan untuk menjerat mereka yang mencoba mengakses suatu sistem tanpa izin karena saya yakin pada dasarnya mereka pun sudah memahami hal ini. Hanya saja, lemahnya penerapan UU ITE dan mandulnya polisi cyber di Indonesia membuat para peretas seolah merasa bebas melakukan defacing tanpa harus merasa takut.
Banyak para peretas muda yang menjadikan defacing sebagai kegiatan untuk bersenang-senang. Motif lainnya tentu saja untuk mendapatkan pengakuan dari komunitas cyber di Indonesia. Agar mereka dianggap sebagai seorang Hacker?
Ups.. kebanyakan ngelantur ya? yo wiss,, lanjut ke topik utama.
Sebagaimana yang kita ketahui,, Wordpress merupakan salah satu CMS (Content Management System) yang memiliki sifat Open Source. Dengan sistem manajemen yang terdapat pada fitur admin-nya,, memudahkan kita dalam memodifikasi tampilan maupun memperbaharui kontennya. Wordpress banyak digunakan sebagai personal blog ataupun company profile bagi perusahaan.
Karena sifatnya yang Open Source, membuat banyak devoleper mengembangkan 3rd party berbentuk plugins. Plugins-plugins tersebut banyak dishare secara gratis.. tapi tidak sedikit pula yang berbayar. Banyak plugins yang bisa dimanfaatkan untuk mempercantik tampilan website, membuat website menjadi interaktif dan fungsional serta pelbagai manfaat lainnya.
Karena sifatnya yang Open Source, membuat banyak devoleper mengembangkan 3rd party berbentuk plugins. Plugins-plugins tersebut banyak dishare secara gratis.. tapi tidak sedikit pula yang berbayar. Banyak plugins yang bisa dimanfaatkan untuk mempercantik tampilan website, membuat website menjadi interaktif dan fungsional serta pelbagai manfaat lainnya.
Nah,, sebagaimana yang kita ketahui bahwa tidak ada sistem keamanan yang benar-benar sempurna di dunia maya.. maka hal tersebut juga berlaku untuk CMS Wordpress. Selain bugs bawaaan dari CMS-nya itu sendiri, tidak sedikit bug's yang bersumber dari 3rd party alias plugins..
Lalu bagaimana kiat-kiat guna menambah keamanan pada website Wordpress kita? berikut beberapa tips yang bisa saya sarankan :
1. Selalu mengupdate versi Wordpress dan plugins yang kita gunakan.
2. Mengganti default name "Admin" menjadi nama lain dan menggunakan password yang terdiri dari kombinasi huruf dan angka. Misalnya cH4y4nk@m0ehC3lam@ny4 <-- alay="alay" div="div">
-->
3. Mengganti tabel prefix default wp_ dengan yang lain. Misalnya j4nc0koe_.
4. Gunakan .htaccess guna ini melindungi wp-config.php. Tambahkan script:
# PROTECT WP-CONFIG.PHP & WP-SETTINGS.PHP
Order deny,allow
deny from all
# STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
# DISABLE DIRECTORY BROWSING
Options All -Indexes
# PREVENT FOLDER LISTING
IndexIgnore *
# PROTECT AGAINST DOS ATTACKS BY LIMITING FILE UPLOAD SIZE
LimitRequestBody 10240000
pada .htacces kemudian set chmod permissions-nya menjadi 0444.
6. Hilangkan information Wordpress dengan menambahkan script ini:
function no_generator() ( return '': )add_filter('the_generator', 'no_generator');
pada functions.php dan hapus file readme.html.
7. Disable folder system Wordpress dengan menambahkan script Dissallow: /wp- pada folder robot.txt,
8. Menyembunyikan pesan error dengan menambahkan script berikut:
ni_set("display_errors", 0);
error_reporting(0);
pada file wp-config.php, tepat setelah kode
9. Mengganti halaman default admin dengan menggunakan plugin Lockdown WP Admin atau bisa dengan cara manual.. cuma bakal lebih ribet nyettingnya :)) (mungkin kapan2 saya share juga tutornya tersendiri)
10. Menggunakan beberapa plugins security untuk memperkuat sistem keamanan pada website Wordpress Anda. Berhubung lagi males posting satu-satu,, Referensinya bisa dilihat di sini:
Yup.. Beberapa tips di atas mungkin bisa membantu meminimalisir terjadinya serangan defacing pada website yang Anda kelola. Akhir kata,, saya hanya berharap jika postingan ini bisa bermanfaat bagi Anda. :)
Salam..
Redbastard de Santoz
Redbastard de Santoz
8 komentar
pertamax :D
wah nice share om...
ane biasanya cuma install trus di tinggalin doank sih om. trus cuma ganti wp-login jadi nama lain aja. hehe
hehehehe.. tadinya mau share tips ganti wp-login default.. berhubung kepanjangan,, tar yang mbaca bosen :v
Oiya.. satu hal yang ane lupa.. yakni selalu mengusahakan untuk melakukan full backup website secara berkala :D
jajal untuk cms lain sama aja kan sistemnya ?
itu yang males kwkwkwkwk
sama aja basicnya.. kode scriptnya doank yang beda :v
I know this website presents quality dependent content
and additional stuff, is there any other web site which gives such data in quality?
Also visit my blog post: best forex signals
For most up-to-date news you have to pay a quick visit
the web and on world-wide-web I found this website as a
finest site for hottest updates.
Have a look at my web page - forex signal trading
Do you have a spam issue on this site; I also am a blogger,
and I was wondering your situation; we have developed some nice procedures
and we are looking to trade solutions with others, why not shoot me an e-mail
if interested.
Here is my blog post; cruises around the world
EmoticonEmoticon