inilah hal2 yang penting yg harus dilakukan setelah kita install wordpress
1. Readme.html
File ini akan selalu muncul setiap kali anda menginstall WordPress melalui Fantastico atau Softaculous. Dari readme.html ini seseorang bisa melihat versi WordPress yang terinstall. Karena setiap versi WordPress selalu ada BUG-nya maka ini bisa menjadi lubang keamanan WordPress.
Saran: Hapus/ Rename
2. WordPress Version (View Source)
Hampir sama dengan readme.html, dari sini seseorang bisa melihat versi WordPress yang digunakan pada blog anda. Dan percaya atau tidak, dari sini juga awal seorang cracker menandai targetnya dengan cara melihat “view source” di homepage blog anda.
3. Install.php
Letaknya berada di root /wp-admin/install.php. File ini akan selalu muncul setiap kali anda menginstall WordPress, dan file ini bisa menjadi jalan menuju lubang keamanan WordPress.
Saran: Hapus/ Rename
4. Install-helper.php
Sama dengan Install.php, file ini terletak di root /wp-admin/install-helper.php dan sepertinya juga tidak cukup penting.
Saran: Hapus/ Rename
5. Setup-config.php
Masih di dalam root /wp-admin/setup-config.php, menurut info celah ini baru di temukan pada WordPress 3.3.1. Meskipun lubang ini sangat jarang dimanfaatkan oleh cracker tapi alangkah baiknya dilakukan tindakan untuk pencegahan.
Saran: Hapus/ Rename
6. Prefix Database Standart ( wp_ )
Bila anda memakai Fantastico atau Softaculous, maka secara otomatis prefix database akan ter-create menjadi “wp_”. Celah inilah yang biasa dimanfaatkan oleh cracker untuk melakukan suntikan atau SQL Injection. Sangat disarankan untuk mengganti prefix “wp_” dengan prefix pilihan anda sendiri melalui $table_prefix value pada file wp-config.php atau anda bisa memanfaatkan plugin WP Security Scan untuk mudahnya.
7. Folder WP-Admin.php Tidak Terkunci
WP-Admin.php adalah pintu masuk utama untuk menuju blog anda. Biasanya ini menjadi saran empuk para cracker apabila folder ini tidak terkunci dengan baik. Sebagai solusinya anda bisa menambahkan file .htaccess ke dalam folder wp-admin.php
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
8. File Permission di WP-Config.php Tidak Terkunci
WP-Config merupakan root standart yang digunakan untuk mengunci root folder dari penyusup. Biasanya file permissionnya sudah di setting ke 644, namun apabila anda pernah merubah settingannya (pada saat menginstall plugin tertentu) sangat disarankan agar anda kembalikan lagi kesettingan awal yaitu 644 agar tidak dapat diakses oleh siapapun.
9. Plugin Tidak Disembunyikan
Secara default plugin terletak di root /wp-content/plugins/. Lubang ini bisa dimanfaatkan cracker pada saat terjadi Error 404 Page. Untuk menyembunyikannya anda bisa menambahkan file index.php kosong atau menggunakan .htaccess ke root plugins.
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress
10. Plugins dan Themes yang Mengandung Malcious Code
Sebisa mungkin menghindari penggunaan plugins dan themes premium hasil CRACK-an (NULLED). Plugins dan Themes Nulled biasanya dapat di tandai dengan adanya kode-kode ter-enkripsi yang tidak jarang mengandung Malcious, bahkan terkadang juga di susupi dengan Cookies Stuffing. Jadi, berhatilah-hatilah bila anda masih nekad menggunakan plugins dan themes Nulled.
Itulah 10 lubang keamanan WordPress yang perlu anda waspadai, meskipun masih sebagian kecil saja karena masih banyak lubang-lubang yang belum di ketahui, namun setidaknya dengan ini anda sudah bisa meningkatkan keamanan blog WordPress anda. Semoga bermanfaat.
Sumber : http://www.vellimarwan.com/lubang-keamanan-wordpress-wp-security/
0 komentar:
Posting Komentar