Keamanan WordPress


Status
Not open for further replies.

ferdi

New Member
saya pernah mendengar bahwa orang bisa menghack wordpress kita kalo kita tidak melindungi folder wp-admin dengan htaccess. apa benar? kalo benar, caranya gimana ya? mohon bantuannya :)
 

BolaNaga

Apprentice 1.0
Proteksi folder wp-admin dan file wp-login gampang.... kalau memang tidak ingin di akses oleh orang lain hanya anda saja pemilik yang berhak login dan membuat diartikel diblog, gunakan .htaccess
masukkan file .htaccess di subfolder wp-admin.
Pertama anda harus tau ISP mana yang anda gunakan dan alamat IP ISP yang sering anda dapatkan pada saat konek keinternet, maka alamat ISP itu yang berhak akses ke file wp-login dan folder wp-admin
anda range saja IP ISP yang anda gunakan... bila perlu :D
Cara lain dengan menggunakan fasilitas proteksi dengan password seperti dibawah ini repot ngaturnya , belum lagi kalau lupa passwordnya apa kekekek
<Files wp-login.php>
Order Deny,Allow
Deny from All
Satisfy Any

AuthName "Protected By BolaNaga"
AuthUserFile /home/crypton97.us/.htpasswda
AuthType Basic
Require valid-user
</Files>

Baca baca situs askapache.com lengkap gemana cara melindungi blog khususnya yang menggunakan CMS wordpress
 

IIXPLANET

Expert 2.0
Proteksi folder wp-admin dan file wp-login gampang.... kalau memang tidak ingin di akses oleh orang lain hanya anda saja pemilik yang berhak login dan membuat diartikel diblog, gunakan .htaccess
masukkan file .htaccess di subfolder wp-admin.
Pertama anda harus tau ISP mana yang anda gunakan dan alamat IP ISP yang sering anda dapatkan pada saat konek keinternet, maka alamat ISP itu yang berhak akses ke file wp-login dan folder wp-admin
anda range saja IP ISP yang anda gunakan... bila perlu :D
Cara lain dengan menggunakan fasilitas proteksi dengan password seperti dibawah ini repot ngaturnya , belum lagi kalau lupa passwordnya apa kekekek
<Files wp-login.php>
Order Deny,Allow
Deny from All
Satisfy Any

AuthName "Protected By BolaNaga"
AuthUserFile /home/crypton97.us/.htpasswda
AuthType Basic
Require valid-user
</Files>

Baca baca situs askapache.com lengkap gemana cara melindungi blog khususnya yang menggunakan CMS wordpress

bagaimana jika dia masuknya lewat injection melalui path dalam index atau plugin yg tidak terlindungi oleh htaccess tersebut .
karena setahu saya yg paling vital dalam wp ini masuknya via injection , baru menyerang sub2 folder termasuk admin page
 

hostingceria

Active Member
pakai plugin askapache password protect, itu sangat membantu dari sisi proteksinya, memang harus dicoba satu2 karena kadang ada beberapa proteksi yang tidak kompatibel di shared hosting
 

teguhaditya

Poster 2.0
mengamankan wp dengan .htaccess memang lumayan cukup membantu, tapi kadang ada server yang tidak mendukungnya, alhasil bukannya aman, tap wp kita malah jadi error, entah itu 404, atau pun 403 dan 500.
 

BolaNaga

Apprentice 1.0
bagaimana jika dia masuknya lewat injection melalui path dalam index atau plugin yg tidak terlindungi oleh htaccess tersebut .
karena setahu saya yg paling vital dalam wp ini masuknya via injection , baru menyerang sub2 folder termasuk admin page

Biasanya orang mo coba inject melakukan test terlebih dahulu mencari kelemahan... yang pasti gak make koneksi internet langsung ke situs sasaran tapi make dari hosting yang dia punya :D .
program/script untuk test injection menggunakan nama user agent yang berbeda beda, nah user agent yang di anggap hitam dan di anggap berbahaya itu yang di blokir melalui .htaccess
daftar nama nama user agent hitam bisa di cari di situs user-agents.org
Contoh user agent hitam yang berbahaya libwww-perl , Mozilla/5 , Jakarta, curl, java dan lain laiinnn :)

Mau di inject berulang kali kalau nama user agentnya sudah diblokir di .htaccess.... ya kagak bakalan mempan hihihi...
dah gue terapin di blog sendiri.. dan hasilnya pada mental semua :)
 

BolaNaga

Apprentice 1.0
pakai plugin askapache password protect, itu sangat membantu dari sisi proteksinya, memang harus dicoba satu2 karena kadang ada beberapa proteksi yang tidak kompatibel di shared hosting

Kalau menggunakan plugin pengaman seperti askapache password protect sifatnya itu kan pelindung kedua... yang pertama dari .htaccess
buat gue seh plugin WP itu gak bisa di jadikan andalan untuk melindungi blog... selalu proteksi dari root hosting kalo mo aman :)
 
Status
Not open for further replies.

Top