Keamanan WordPress

[ferdi]

saya pernah mendengar bahwa orang bisa menghack wordpress kita kalo kita tidak melindungi folder wp-admin dengan htaccess. apa benar? kalo benar, caranya gimana ya? mohon bantuannya

 

[ruangweb]

kalo pake cpanel, plesk, directadmin, lxadmin ada fitur utk proteksi folder

coba aja

kalo perlu minta bantuan sama support di tmp hosting anda.

 

[cakep]

saya juga pernah denger spr itu tp setelah saya gunakan .htaccess kok malah saya yg kesulitan sendiri saat melakukan administrasi webnya akhirnya aku hilangin aja

 

[BolaNaga]

Proteksi folder wp-admin dan file wp-login gampang.... kalau memang tidak ingin di akses oleh orang lain hanya anda saja pemilik yang berhak login dan membuat diartikel diblog, gunakan .htaccess
masukkan file .htaccess di subfolder wp-admin.
Pertama anda harus tau ISP mana yang anda gunakan dan alamat IP ISP yang sering anda dapatkan pada saat konek keinternet, maka alamat ISP itu yang berhak akses ke file wp-login dan folder wp-admin
anda range saja IP ISP yang anda gunakan... bila perlu
Cara lain dengan menggunakan fasilitas proteksi dengan password seperti dibawah ini repot ngaturnya , belum lagi kalau lupa passwordnya apa kekekek
<Files wp-login.php>
Order Deny,Allow
Deny from All
Satisfy Any

AuthName "Protected By BolaNaga"
AuthUserFile /home/crypton97.us/.htpasswda
AuthType Basic
Require valid-user
</Files>

Baca baca situs askapache.com lengkap gemana cara melindungi blog khususnya yang menggunakan CMS wordpress

 

[vishualhost]

Proteksi folder wp-admin dan file wp-login gampang.... kalau memang tidak ingin di akses oleh orang lain hanya anda saja pemilik yang berhak login dan membuat diartikel diblog, gunakan .htaccess
masukkan file .htaccess di subfolder wp-admin.
Pertama anda harus tau ISP mana yang anda gunakan dan alamat IP ISP yang sering anda dapatkan pada saat konek keinternet, maka alamat ISP itu yang berhak akses ke file wp-login dan folder wp-admin
anda range saja IP ISP yang anda gunakan... bila perlu
Cara lain dengan menggunakan fasilitas proteksi dengan password seperti dibawah ini repot ngaturnya , belum lagi kalau lupa passwordnya apa kekekek
<Files wp-login.php>
Order Deny,Allow
Deny from All
Satisfy Any

AuthName "Protected By BolaNaga"
AuthUserFile /home/crypton97.us/.htpasswda
AuthType Basic
Require valid-user
</Files>

Baca baca situs askapache.com lengkap gemana cara melindungi blog khususnya yang menggunakan CMS wordpress

bagaimana jika dia masuknya lewat injection melalui path dalam index atau plugin yg tidak terlindungi oleh htaccess tersebut .
karena setahu saya yg paling vital dalam wp ini masuknya via injection , baru menyerang sub2 folder termasuk admin page

 

[hostingceria]

pakai plugin askapache password protect, itu sangat membantu dari sisi proteksinya, memang harus dicoba satu2 karena kadang ada beberapa proteksi yang tidak kompatibel di shared hosting

 

[teguhaditya]

mengamankan wp dengan .htaccess memang lumayan cukup membantu, tapi kadang ada server yang tidak mendukungnya, alhasil bukannya aman, tap wp kita malah jadi error, entah itu 404, atau pun 403 dan 500.

 

[BolaNaga]

bagaimana jika dia masuknya lewat injection melalui path dalam index atau plugin yg tidak terlindungi oleh htaccess tersebut .
karena setahu saya yg paling vital dalam wp ini masuknya via injection , baru menyerang sub2 folder termasuk admin page

Biasanya orang mo coba inject melakukan test terlebih dahulu mencari kelemahan... yang pasti gak make koneksi internet langsung ke situs sasaran tapi make dari hosting yang dia punya .
program/script untuk test injection menggunakan nama user agent yang berbeda beda, nah user agent yang di anggap hitam dan di anggap berbahaya itu yang di blokir melalui .htaccess
daftar nama nama user agent hitam bisa di cari di situs user-agents.org
Contoh user agent hitam yang berbahaya libwww-perl , Mozilla/5 , Jakarta, curl, java dan lain laiinnn

Mau di inject berulang kali kalau nama user agentnya sudah diblokir di .htaccess.... ya kagak bakalan mempan hihihi...
dah gue terapin di blog sendiri.. dan hasilnya pada mental semua

 

[BolaNaga]

pakai plugin askapache password protect, itu sangat membantu dari sisi proteksinya, memang harus dicoba satu2 karena kadang ada beberapa proteksi yang tidak kompatibel di shared hosting

Kalau menggunakan plugin pengaman seperti askapache password protect sifatnya itu kan pelindung kedua... yang pertama dari .htaccess
buat gue seh plugin WP itu gak bisa di jadikan andalan untuk melindungi blog... selalu proteksi dari root hosting kalo mo aman

 

[BolaNaga]

mengamankan wp dengan .htaccess memang lumayan cukup membantu, tapi kadang ada server yang tidak mendukungnya, alhasil bukannya aman, tap wp kita malah jadi error, entah itu 404, atau pun 403 dan 500.

Kalau gak ngedukung gampang solusinya.. pindah hosting kan beres hehehe