Showing posts with label Security Web. Show all posts
Showing posts with label Security Web. Show all posts

password wordpress

Tutorial Lengkap Mengamankan Security WordPress - WordPress adalah platform open source yang berarti bahwa setiap orang, termasuk hacker dengan niat jahat, dapat menjelajahi source code platform ini untuk mencari celah di keamanan. Itulah sebabnya saya akan menunjukkan kepada Anda beberapa langkah pencegahan yang baik untuk melindungi Anda, Instalasi WordPress Anda dan yang paling penting, pembaca anda.
Better WordPress Security, WP Security

# 1 Jangan gunakan Superuser Admin

hak admin wordpress
hak admin wordpress

Nah, ini langkah termudah yang bisa Anda lakukan untuk melindungi situs wordpress anda adalah dengan mengubah / menghapus superuser admin. Setiap orang yang menggunakan WordPress tahu bahwa ada user bernama admin dengan izin keamanan tingkat atas, terutama hacker. Jika username adalah admin, sesulit apapun, masih memungkin kan untuk men-crack password tersebuti. Caranya anda bisa membuat akun baru tapi kali ini dengan nama yang berbeda, dan kemudian menghapus account yang dengan nama admin.
Lebih saya saran kan untuk membuat akun dengan username dan password yang sangat susah dan rumit, (seperti x7duEls91 contohnya) sangat kompleks, kemudian menyimpannya di suatu tempat yang aman, dan membuat account lain untuk menulis dan mempublikasikan konten tapi kali ini tidak memiliki hak administratif yang full akses seperti akun admin. Akun seperti editor misalnya, karena akun seperti admin tidak diperlukan untuk sehari-hari, hanya sewaktu-waktu ketika mau mengubah password, tema, mengupdate plugin, thema atau versi wordpress anda saja, sehingga security terhadap bruteforce lebih terjamin.

# 2 Pilih Password yang kuat dan aman

“Perlakukan password Anda seperti sikat gigi Anda. Jangan biarkan orang lain menggunakannya, dan mendapatkan yang baru setiap enam bulan. “ ~ Clifford Stoll
password wordpress
password wordpress
Apapun situsnya, apapun platformnya, meskipun anda tidak menggunakan wordpress anda beresikoterkena serangan bruteforce. Pada langkah pertama kita telah mengamankan situs anda dengan menghapus username admin, nah, dari situ mungkin sebagian besar hacker telah terhalang, tapi tetap saja orang masih bisa tahu password anda. Anda bisa mengamankan nya dengan memilih password yang sangat sulit. Cara yang baik untuk menentukan apakah atau tidak password Anda aman adalah dengan memasukkannya ke dalam sandi checker online seperti passwordmeter.com atau membuat password secara random atau acak.

# 3 Amankan Password Anda


Juga, saya memilih mengambil tindakan pencegahan ekstra untuk melindungi blog saya, contohnya menggunakan plugin yang dapat memblokir alamat IP orang yang berusaha melakukan brute force. Salah satu plugin yang saya anggap sangat berguna adalah LOGIN LockDown. Plugin ini akan mencatat alamat IP dan waktu (timestamp) dari semua login yang gagal, selain itu plugin ini akan memblokir IP tersebut setelah sejumlah login yang gagal. Plugin ini sangat berguna untuk mengamankan situs dari serangan brute force – kebanyakan penyerang yang menggunakan metode bruteforce akan menyerah jika IP  merekea di blokir setiap 5 menit sementara mereka sedang menjalankan program brute force.

# 4 Selalu Update WordPress Anda

update wordpress
update wordpress
Seperti yang saya katakan sebelumnya, WordPress adalah platform open source, sehinggamenjadi  target mudah bagi hacker. Hampir 60 juta situs menggunakan WordPress, ketika pemberitahuan Automattic update keluar , alangkah baiknya anda cepat mengupdatenya, seperti gambar diatas, ketika tim developer membuat update baru (maintenance and security release) mereka juga akan memposting celah keamanan yang diperbaiki dan juga beberapa bugs yang juga diperbaiki di. Bahkan, tidak butuh waktu lama untuk memperbarui instalasi WordPress, menurut WordPress hanya dibutuhkan 5 menit untuk menyelesaikan, sangat singkat untuk meningkatkan security website anda.

# 5 Sembunyikan Versi Wordpress

Andaikan Anda lupa untuk  mengupdate instalasi WordPress Anda, atau anda tidak memiliki 5 menit untuk memperbaharui versi wordpress. Kita bisa mencegah hacker untuk membobol pertahanan dengan menyembunyikan versi WordPress, versi wordpress memberikan hacker jalan yang baik tentang bagaimana mereka bisa meng-hack situs Anda, terutama jika situs itu ketinggalan jawan, segingga security nya kedodoran.
Secara default, WordPress menampilkan versi, karena mereka ingin untuk metrik untuk melihat berapa banyak orang yang menggunakan versi, dll … Namun, ini seperti memasang tanda merah terang pada situs Anda mengatakan hacker apa yang harus dilakukan.
Jika Anda menggunakan tema premium, kemungkinan besar pengembang telah menonaktifkannya untuk Anda, tetapi selalu lebih baik untuk memastikan. Buka file functions.php dan hapus baris kode dibawah:
<Php remove_action (‘wp_head’, ‘wp_generator’);?>
Jika anda mengalami kesulitan, anda dapat dengan mudah menggunakan plugin Secure WordPress,  untuk otomatis menyembunyikan WP Version di halaman website anda.

# 6 Ubah permission File

Mengamankan wordpress: Chmod Melalui Cpanel
Mengamankan wordpress: Chmod Melalui Cpanel
Sangat penting untuk anda untuk membatasi hak akses file anda menjadi 744 seperti diatas, yang pada dasarnya membuat situs anda read-only untuk semua orang kecuali Anda.
Anda dapat melakukan nya via FTP atau CPanel anda, jika melalui CPanel anda perlu membuka File Manager, lalu klik kanan pada folder atau file dan klik pada “File Permissions”.  Jika ternyata masih hak akses penuh atau 777, Anda sangat beruntung Anda belum terkena hack. Anda harus mengubah nilai CHMOD ke 744, yang hanya memberikan “pemilik” akses penuh.

# 7 Membuat transparentlist

transparentlist memungkinkan Anda untuk mengelola dan mengakses bagian-bagian tertentu dari situs Anda. Yah, seperti membangun Tembok Besar China di sekitar folder admin, sehingga tidak ada seorang pun, kecuali Anda, yang dapat mengakses folder tersebut.
Karena Tips Nomor 7 Ini Menggunakan pembatas IP, diharapkan Tips ini digunakan hanya jika anda TIDAK MENGGUNAKAN INTERNET YANG IP nya DYNAMIC, Seperti  GSM/CDMA modem, Speedy dan paket internet tanpa IP statis, bila anda mengalami kendala atau permasalahan silahkan bertanya melalui komol komentar

Jika anda yakin IP anda statis, silahkan melanjutkan
Dari CPanel, anda bisa masuk ke direktori /wp-admin , kemudian memeriksa apakah sudah ada file htaccess disana, Jika tidak ada, anda bisa membuat satu melalui text editor. Jika sudah ada satu di sana, saya sarankan untuk membuat cadangan/BACKUP  file .htaccess sebelum melakukan pengeditan. Dan PASTIKAN Anda berada di folder/direktori wp-admin, dan bukan folder root atau public_html anda.
Kemudian Paste kode berikut ke dalam file htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# transparentlist Your IP address
allow from xx.xx.xx.xxx
# transparentlist Your Office’s IP address
allow from xx.xx.xx.xxx
# transparentlist Your IP address While Your Traveling (Delete When You Come Back Home)
allow from xx.xx.xx.xxx
</LIMIT>
Ganti xx dengan alamat IP STATIS Global Anda, anda bisa melihatnya di situs WhatsMyIP.org. Selain dari alamat IP anda, wp-admin tidak akan bisa dibuka oleh siapapun.

# 8 Backup

Sebagus apapun security Website anda, Melakukan backup rutin adalah hal yang wajib. Ada banyak cara untuk melakukan ini, dengan mudah tentunya. Anda dapat membuat cron job, jika Anda perusahaan hosting menyediakan itu. Anda bisa melihatnya di CPanel anda.
cron job di CPanel
cron job di CPanel
Kemudian anda bisa menggunakan perintah ini di cron Job:
Dbname = DB_NAME
Dbpass = DB_PASSWORD
DBUSER = DB_USER
EMAIL = “you@your_email.com”
mysqldump – opt-u $ DBUSER-p $ dbpass $ dbname> backup.sqlgzip backup.sqlDATE = `date +% Y% m% d`, mv backup.sql.gz $ dbname-backup-$ DATE.sql.gzecho ‘BLOG BACKUP: Backup Anda terpasang’ | mutt-a $ dbname-backup-$ DATE.sql.gz $ EMAIL-s “MySQL Backup”rm $ dbname-backup-$ DATE.sql.gz
Dan cara termudah adalah melalui CPanel lalu klik backup.

# 9 Meningkatkan Security WP-Config

File wp-config.php berisi semua konfigurasi dan pengaturan WordPress anda, memperlihatkan file ini ke hacker adalah ancaman yang sangat besar untuk blog Anda, mereka bisa dengan mudah menyuntikkan malware ke dalam blog atau menghapus konten di blog Anda. Solusi untuk ini adalah untuk mencabut izin untuk file konfigurasi. WordPress file konfigurasi wp-config.php yang terletak di root direktori instalasi anda. Ubah izin untuk sesuatu yang aman seperti CHMOD 0600 dengan cara yang sama seperti mengubah permission file diatas, untuk meningkatkan keamanan situs anda.
Sekarang dengan instalasi WordPress yang aman, Anda siap untuk mem-posting konten Anda tanpa harus takut jika Anda gampang di-hack.
Jika Anda memiliki pertanyaan tentang tutorial ini, keamanan WordPress atau keamanan secara umum, silahkan meninggalkan komentar dan saya akan segera membalasnya 
Berikut ada tutorial video meng-aman-kan wordpress


1.Password yang kuat

2. Cek CHMOD permission

cek CHMOD kalian seperi di bawah ini :

    Required – ./inc/settings.php – 666
    Required – ./inc/config.php – 666 (install) 444 (after installation)
    Required – ./cache/ – 777
    Required – ./cache/themes/ – 777
    Required – ./uploads/ – 777
    Required – ./uploads/avatars/ – 777
    Optional – ./admin/backups/ – 777
    Optional – ./inc/languages/*language*/*all files*/ – 666
    Optional – ./inc/languages/*language*/admin/*all files*/ – 666

3. Lindungi file Config.php

 Buat file .htaccess pada direktori /inc lalu masukan kode dibawah ini :

    <files config.php>
    Order deny,allow
    deny from all
    </files>
4. Lindungi halaman admin dng .htaccsess.
buat file .htaccess di dalam direktori /admin lalu masukan kode berikut :
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REMOTE_HOST} !^12\.345\.678\.9
    RewriteRule .* http://www.link untuk dialihkan.com [R=301,L]
5. mengubah direktori admin.

masuk ke /inc/config.php lalu cari kode dibawah ini :
$config['admin_dir'] = 'admin';
ganti 'admin' dengan direktori admin yang baru
setelahitu masuk ke public_html dan rename direktori admin dengan yang tadi di config.php

6. menyembunyikan link Admin Control Panel (ACP).

bila dalam ke adaan default mybb akan menampilkan ACP,nah biar hacker gak tau admin dirnya dimna hrus di sembunyikan.Caranya :
masuk ke /inc/config.php lalu cari kode dibawahini:

    $config['hide_admin_links'] = 0;



Lalu ganti 0 menjadi 1

    $config['hide_admin_links'] = 1;



simpan

7. Matikan HTML dalam posting

masuk PhpMyAdmin lalu run query dibawah ini :

    UPDATE `mybb_forums` SET `allowhtml` = '0';



Setelah itu, masuk ke ACP > Tools & Maintenance > Cache Manager > forums > Rebuild Cache. selsesai deh

8. menyembunyikan versi MyBB

Jika kalian tidak menyembunyikn versi mybb kalian hacker akan lebih mudah mencari mybb sasarannya

9. Tetap up-to-date dengan mengikuti Milis MyBB

Agar kalian tidak ketinggalan info lebih baik anda mengikuti milis

10. upgrade ke versi yang baru

Bila mybb merilis versi yang baru berarti ditemukan bug di versi sebelumnya jadi kalian harus mengupgradenya

11. Jangan terlalu banyak menggunakan Plugin

Penggunaan banyak plugins bsa menimbulkan bug jadi lebih baik secukupnya saja

12. Manambahkan Pin di admin login

1. Edit directory di /admin/inc/class_page.php (itu kalau klian masih menggunakan direktori admin default)

cari code:

    <div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
    <div class="field"><input type="password" name="password" id="password" class="text_input" /></div>


dan ganti dengan begini :

     <div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
    <div class="field"><input type="password" name="password" id="password" class="text_input" /></div>

    <div class="label"{$login_label_width}><label for="pin">Secret PIN</label></div>
    <div class="field"><input type="password" name="pin" id="pin" class="text_input" /></div>


2. Edit Di Directory /admin/index.php
cari code ini :

    if($user['uid'])
    {
    $query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
    $mybb->user = $db->fetch_array($query);
    }



trus ganti dengan ini :

    if($user['uid'])
    {
    $query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
    $mybb->user = $db->fetch_array($query);
    }

    if (isset($config['acp_pin']) && $mybb->input['pin'] != $config['acp_pin']) {
    $default_page->show_login("Invalid PIN","error");
    }

3. Edit di Directory ./inc/config.php latak kan code di bawah ini dimana saja
$config['acp_pin'] = 'pinnya';

Ganti $config['acp_pin'] = 'pinnya'; dengan pin kalian

13. BACKUP

sumber


Tak mau kalah langkah dengan negara-negara lain yang telah lebih dulu memiliki basis unit kekuatan penanggulangan kejahatan dunia maya, baru-baru ini Departemen Pertahanan Indonesia kabarnya juga telah mengungkapkan niatnya untuk membentuk satuan unit khusus yang dikenal sebagai pasukan/tentara cyber (cyber Army) guna menangani segala bentuk serangan cyber yang ditujukan pada keberadaan situs web dan portal milik pemerintah.

Menurut pemberitaan yang dilansir oleh Xinhua, pejabat kementerian terkait saat ini sedang menggodok secara serius peraturan dan perundang-undangan yang akan menjadi landasan bagi keberadaan tentara maya Indonesia tersebut. Kekuatan baru ini nantinya bakal dibekali secara khusus dengan pengetahuan dan keterampilan yang diperlukan untuk melindungi negara terhadap berbagai serangan cyber.

Dalam hal ini salah seorang Direktur Jenderal Potensi Pertahanan (Dirjen Pothan) di Kementerian Pertahanan Indonesia bernama Pos M. Hutabarat kabarnya juga telah melakukan studi banding dengan keberadaan tentara cyber di berbagai negara lainnya, seperti Iran, Korea Selatan, Cina dan Amerika Serikat. Unit kekuatan tentara cyber  ini nantinya akan berkolaborasi dengan unit kesatuan dari angkatan darat, angkatan laut dan angkatan udara.

Dan terkait dukungan yang bakal diberikan, Menteri Pertahanan Purnomo Yusgiantoro juga telah menegaskan kalau pihaknya juga bakal terus berkoordinasi dan menjalin kerjasama dengan Departemen Komunikasi dan Informasi (Depkominfo) untuk mendukung secara penuh keberadaan tentara cyber yang tergabung dalam unitIndonesian National Cyber Security (INCS). Selain itu, tak tertutup kemungkinan pihaknya juga akan berkerjasama dengan beberapa lembaga pemerintah terkait lainnya, seperti Badan Intelejen Nasional (BIN), Badan Nasional Penanggulangan Terorisme (BNPT), dan lain sebagainya.

Source : KLIK DISINI
Selamat sore sobat IDCA dan sobat Mr. Xenophobic ^_^

Kabar gembira nih bagi pengguna CMS WordPress, aku ada sedikit trik nih agar website anda sedikit lebih aman, biar tidak di deface gitu :D

[+] PEMBAHASAN [+]

Biasanya kalo CMS WordPress kan login adminnya di "localhost/wp-login.php: nah di trik ini ane mau bahas gimana cara gantinya :D biar para hekel-hekel bingung nemuin admin login site anda :D

[+] LANGKAH-LANGKAH [+]

1. Masuk ke Cpanel website sobat
2. Lalu masuk ke "File Manager" di Cpanel sobat.
3. Setelah itu rename file "wp-login.php" menjadi alamat login baru sobat, misalkan menjadi "idca.php" (* EKSTENSI WAJIB .php )
4. Setelah selesai, buka file "idca.php" lalu ganti semua tulisan "wp-login" menjadi "idca" setelah selesai diganti semua klik SAVE
5. Selanjutnya buka folder "wp-includes" dan cari file "general-template.php" lalu buka file general-template.php lalu renam kata "wp-login" menjadi "idca", jika sudah klik save.

Sampe step ini website anda juga belum aman sob, dikarenakan jika kita mengakses "localhost/wp-admin" kita langsung di lempar ke halaman loginnya, nah jadi gimana cara mengatasinya ? lanjut !!!!

1. Buat file berektensi .php di public_html terserah namanya apa sebagai contoh :: garuda.php
2. Lalu file garuda.php itu saya isi kata "Are you fucking kidding me ? your IP has been Recode hacker ^_^"
3. Setelah itu buka kembali folder wp-includes lalu buka file general-template.php, lalu cari kata ini :

function wp_login_url
nanti kalian akan menemukan tulisan seperti ini ::
function wp_login_url($redirect = ‘ ‘, $force_reauth = false) {
$login_url = site_url(‘idca.php’, ‘login’); 
4. Ganti tulisan berwarna biru "idca.php" menjadi "garuda.php" kemudian save :D

Dan sekarang coba sobat cek alamat login sobat apa sudah terganti atau belum, jangan lupa cek localhost/wp-admin lihat apa yang keluar ^_^

Demikian tutorial yang bisa saya sampaikan, semoga berguna :))

Thanks to :
Madura-Cyber

Content Creator : Mr. Xenophobic a.k.a Xeno


Sumber : Madura-Cyber

Followers