www.emiertips.info Tips Blog | Games Anak | Software Penanggulangan hack terhadap situs WordPress | Tips Cakemier
Subscribe:

Penanggulangan hack terhadap situs WordPress

Sebuah ulasan oleh konsultan SEO WP; Ben Kemp.

Keamanan pada WordPress, terutama dalam beberapa bulan terakhir, menjadi isu serius. Tidak pernah sebelumnya saya melihat begitu banyak upaya hacking canggih ditujukan terhadap situs Wordpress saya.





Variasi serangannya bisa berupa:
  • Blackhole
  • SQL Injection
  • Login & Password
  • Link Injection & Phishing attacks, dimana terjadi tipuan link
  • Dll…

Serangan sering dimulai di Rusia, Polandia, Jerman dan India. Firewall saya juga mengidentifikasi host yang diblokir dari Australia, negara-negara Eropa secara acak, ditambah sumber-sumber yang tidak dapat diidentifikasikan karena penyembunyian alamat IP dll

Secara umum, mudah untuk meminimalkan potensial ancaman dengan beberapa upaya! Dengan kata lain, satu ons pencegahan masih lebih mudah untuk diterapkan daripada satu ton pengobatan!

WordPress Security Plugins

Ini adalah baris pertahanan pertama - sebuah plugin keamanan yang diterapkan dengan benar akan menggagalkan sebagian dari upaya hacking - khususnya berbasis script yang otomatis! Dimana serangan berbasis manusia dimulai, Anda dapat dengan mudah membuatnya sangat sulit untuk mendapatkan akses ke internal website Anda. Semakin sulit, semakin besar kemungkinan penyerang menyerah dan mencari target lebih lembut, lebih mudah. Bahkan dalam dunia hacking, waktu adalah uang ...

Ada beberapa aplikasi keamanan Plugin Wordpress yang tersedia, masing-masing dengan metodologi sendiri atau variasi pada tema. Pemilihan salah satu dari yang lain sering akan didasarkan pada lingkungan server - beberapa tidak hanya akan menginstal jika unsur PHPnya benar atau pengaturan server tidak diaktifkan. Mereka adalah:
  1. Better WordPress Security
  2. Wordfence Security
  3. Bullet Proof Security
  4. Secure WordPress
Masing-masing memiliki kekhasan nya sendiri-sendiri 

1. Better WordPress Security
Better WordPress Security banyak melakukan seperti cara yang komprehensif di mana ia menangani berbagai ancaman prospektif. Evolusinya telah signifikan dan cepat. Sayangnya, rilis baru telah terjadi pada interval yang hampir setiap minggu selama beberapa bulan. Upgrade terkadang berujung pada krisis di situs, seperti  Kesalahan Server 500. Masalah ini sangat bermasalah jika Anda telah  berjalan dalam sub-direktori WordPress. Hal tersebut hanya dapat diatasi dengan:
  • Mengakses situs melalui FTP 
  • Menonaktifkan plugin BWS dengan mengganti nama atau menghapus direktori 
  • Mengedit kode BWS dari file htaccess. (Atau menghapus htaccess sepenuhnya.)
Agak melelahkan memang. Jika instalasi WordPress berjalan dari direktori root, BWS akan memberikan ketenangan pikiran, tetapi Anda perlu pemahaman yang baik tentang Wordpress, masalah keamanan, dan kepercayaan di  pemecahan masalah WordPress 

Masalah ringan
Pilihan "Backup"  menjadi ON secara default - yang mengganggu adalah penjadwalan cadangan yang sudah ada di tempat, seperti BackupBuddy atau WP DB-Manager dll, kadang-kadang bisa berujung pada 2 salinan selusin cadangan situs Anda tiba di account email Anda semalam!LOL

Masalah berat
Memeriksa file di luar instalasi WordPress yang akan memberikan kesalahan timeout dan mengunci akses Admin jika Anda punya aplikasi software besar lain  atau add-on domain. Ada sebuah pilihan "pengecualian direktori", tetapi membutuhkan seleksi manual seperti penjara yang tidak dapat dipulihkan dan membutuhkan penonaktifan seperti di atas. 


2. Wordfence Security
Wordfence memiliki antarmuka yang relatif sederhana dibandingkan dengan BWS atau BPS, dan beroperasi dalam cara yang berbeda. Sepertinya sangat kuat, dan pengaturan firewall yang mudah dikonfigurasi. Rekomendasi untuk pengaturannya sebagai berikut;

"Level 4: Lockdown. Lindungi situs terhadap serangan berlangsung pada hal yang merepotkan beberapa pengguna. "Itu akan mengalahkan sebagian besar upaya hack otomatis tanpa berdampak pada kegunaan situs! Wordfence dapat dikonfigurasi untuk memberikan peringatan email dari berbagai ancaman, termasuk:
* Pemberitahuan pada masalah kritis* Pemberitahuan pada warning* Peringatkan ketika sebuah alamat IP akan diblokir* Peringatkan ketika seseorang terkunci dari login* Peringatkan ketika "lost password" bentuk ini digunakan untuk pengguna yang valid* Peringatkan ketika seseorang dengan tanda-tanda akses di administrator * Peringatkan ketika sebuah tanda-tanda dalam pengguna non-admin

Aspek penting lainnya meliputi:
* Aktifkan scan otomatis yang dijadwalkan
* Scan File inti terhadap versi repositori untuk perubahan* Scan untuk tanda tangan dari file berbahaya yang dikenal* Pindai Isi file backdoors, trojans dan kode yang mencurigakan* Scan posting untuk URL berbahaya yang dikenal dan konten yang mencurigakan* Scan komentar untuk URL berbahaya yang dikenal dan konten yang mencurigakan* Scan untuk out-of-date plugin, tema dan versi Wordpress* Periksa kekuatan password* Monitor ruang disk* Memindai untuk perubahan DNS yang tidak sah* Scan file di luar instalasi WordPress Anda
Peringatannya cepat, begitu ada yang mencurigakan akan ada tanda peringatan.

3. Bullet Proof Security
Bullet Proof Security juga merupakan plugin aplikasi keamanan yang kuat dan belum penah terjadi crash dengan aplikasi sebelumnya.

4. Secure WordPress
Secure WordPress tampaknya berada pada skala kompleksitas lower end. Instalasinya tidak sulit atau rumit. Akan memerlukan: 
* Sebuah account (gratis) di WebsiteDefender,
* 'Agen' upload file ke situs Anda yang memverifikasi / kewenangan account
WebsiteDefender menyediakan pemindaian otomatis dari situs untuk Anda. Pemberitahuan Pemberitahuan yang dikirim lewat email, dan scan 1st di satu situs bahkan mengangkat telepon pada link dari situs web ke halaman yang tampaknya telah dikompromikan!

Bersambung...
 
Tunggu postingan berikutnya tentang Hal yang perlu diwaspadai dalam keamanan Wordpress

Tidak ada komentar:

masukkan email anda: