10 Lubang Keamanan Wordpress yang Jadi Pintu Masuk Cracker

Rabu, 25 Juli 2012

Wordpress memang gak seperti platform Blogspot milik google yang bisa di bilang lebih aman dan jarang kena Hack. Apalagi Wordpres self hosting kita harus ekstra berhati-hati karena sangat rawan di hack dan biasanya jadi incaran para Cracker(orang yang menggunakan ilmu hacker untuk hal yang buruk) untuk menghack blog kita.

Saya menemukan beberapa celah/lubang keamanan ini setelah membaca diartikel vellimarwan.com yang membahas tentang bagian celah yang biasanya digunakan Cracker untuk menghack blog wordpress kita. Apa saja celahnya/lubang keamanan yang harus kita waspadai dan jaga agar blog wordpress tidak kena Hack?

1. Readme.html
File ini adalah file yang selalu muncul dan selalu ada kalau kamu menginstall wordpress melalui Fantastico atau Softaculous. Kenapa file ini bisa jadi celah/lubang keamanan yang harus diwaspadai? karena dalam file Readme.html orang lain bisa melihat versi wordpress yang kita install di blog wordpress kita dan seperti yang kita semua tau setiap versi wordpress punya BUG-nya yang bisa menjadi celah untuk di hack.

Untuk mengatasi hal ini kamu bisa menghapus file ini atau rename file ini dengan nama yang lain, tapi ingat kalau dihapus jangan lupa di backup dulu karena takutnya ada error nanti kita masih punya backupnya.

2. WordPress Version (View Page Source)
Di bagian ini kita juga bisa melihat versi Wordpress yang sedang digunakan. Coba aja kamu test dengan klik kanan(pada mouse kamu) setelah itu klik View Page Source. Biasanya yang tidak menghapus file <meta name=”generator” … orang lain bisa melihat versi wordpress yang sedang dia gunakan seperti gambar di bawah ini.

Untuk mengatasi hal ini kamu bisa menghapus <meta name=”generator” … yang ada pada file header.php kemudian coba cek kembali apa versi wordpress yang kamu gunakan masih bisa terlihat atau tudak.

3. Install.php
File ini juga selalu ada saat kita pertama kali menginstall blog dengan CMS wordpress. File ini juga bisa menjadi celah penting untuk blog wordpress. Untuk mengatasi agar tidak mudah kena serangan Cracker ubah/rename file ini atau dihapus saja(kalau dihapus janga lupa di backup dulu ingat!)

4. Install-helper.php
File ini juga bisa menjadi celah keamanan blog wordpress sebaiknya di rename filenya atau bisa juga di hapus, karena file ini juga bukan file yang penting kok untuk disimpan.

5. Setup-config.php
Celah ini sangat jarang digunakan oleh Cracker namun gak ada salahnya kalau kita berhati-hati. Celah ini baru ditemukan pada WordPress versi 3.3.1. Untuk berhati-hati kamu bisa rename file ini atau bisa juga dengan cara menghapus file setup-config.php ini.

6. Prefix Database Standart (wp_)
Kalau kamu menggunakan Fantastico atau Softaculous untuk menginstall blog wordpress kamu secara otomatis prefix database-nya adalah “wp_”. Celah ini oleh cracker biasanya digunakan untuk melakukan suntikan atau SQL Injection. Disarankan untuk kita lebih baik mengganti prefix “wp_” dengan prefix yang lain sesuai keinginan kita melalui $table_prefix value pada file wp-config.php atau kita juga bisa menggunakan plugin WP Security Scan agar bisa lebih mudahnya.

7. Folder WP-Admin.php Tidak Terkunci
WP-Admin.php adalah sasaran empuk yang biasanya digunakan oleh cracker untuk masuk ke lubang keamanan blog wordpress bila tidak terkunci dengan baik. Untuk mengatasi hal tersebut kita bisa menambahkan file .htaccess ke dalam folder wp-admin.php.

Tambahkan script berikut ini di file .htaccess tersebut.

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond  %{REQUEST_FILENAME} !-f
RewriteCond  %{REQUEST_FILENAME} !-d
RewriteRule .  /index.php [L]
# END WordPress

8. File Permission di WP-Config.php Tidak Terkunci
Secara default permission file WP-Config.php sudah di setting 644 agar tidak bisa di akses oleh siapapun. Tapi kalau kamu pernah mengubah permision file WP-Config.php, disarankan untuk kembali mengsetting file ini dengan permision file 644.

9. Plugin Tidak Disembunyikan
Cara mudah dan sederhananya adalah dengan cara menambahkan file .htaccess ke root plugins. Dengan script berikut ini kamu letakkan di dalam file .htaccess tersebut.

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond  %{REQUEST_FILENAME} !-f
RewriteCond  %{REQUEST_FILENAME} !-d
RewriteRule . /index.php  [L]
# Prevents directory  listing
IndexIgnore *
# END WordPress

10. Plugins dan Themes yang Mengandung Malcious Code
Hati-hati jika memeakai theme atau plugin premium tapi gratis di internet karena biasanya theme dan plugin yang seperti itu mengandung kode-kode ter-enkripsi yang tidak jarang mengandung Malcious. Kadang-kadang juga di susupi dengan Cookies Stuffing.

Itulah dia 10 Lubang Keamanan Wordpress yang Jadi Pintu Masuk Hacker yang saya baca dari vellimarwan.com dan coba saya tuliskan kembali disini. Semoga dapat bermanfaat dan terimakasih :)

Tidak ada komentar:

Posting Komentar

 

Editor Picks