Mengamankan wordpress dari tangan hacker

Kembali lagi dengan saya  Kcx-els

Yang selalu setia menemani anda. Kali ini Kcx-els akan membahas "Cara mengamankan wordpress dari tangan hacker,defacer" semacam itulah. :D

Selamat pagi sahabat Kcx-els semua. Kali ini Kcx-els akan share tutorial tentang bagaimana mengamankan website wordpress dari tangan para attacker dan defacer.
Sebelum masuk ke pembahasan tutorialnya, kita akan membahas tekhnik yang sering di pakai para attacker untuk menyerang suatu website, beberapa tekhnik diantaranya adalah SQLI, LFI, RFI dan XSS. Ok, di sini kita akan membuka sedikit tentang tekhnik SQLI. Teknik SQLI adalah teknik pentester yang di pakai attacker untuk mendapatkan user dan password suatu website. Setelah mendapat user dan password tersebut attacker akan masuk melalui page admin website tersebut, biasanya, attacker akan menanam shell atau backdoor terlebih dahulu sebelum melakukan hal hal yang lain. Ini untuk versi beginner, kalau untuk versi dewa, dengar dengar sich, katanya tidak perlu melalui page admin untuk tanam shellnya.
( teknik gabungan gitu, SQLI dan LFI frend katanya ) Heheuy
Dari penjelasan di atas kita dapat mengambil kata kunci yaitu page admin. Kenapa ? karena dalam worpdress, page admin defaultnya adalah webku.com/wp-admin yang akan redirect ke webku.com/wp-login.php. hal inilah yang membuat para attacker dengan bebas melakukan serangannya. Adapun solusi cara mengamankannya adalah dengan menganti page admin default wordpress kita. Jadi, walaupun si attacker berhasil mendapatkan user dan password webiste kita, tapi dia tidak tahu page admin worpdess kita, berarti website wordpress kita aman dong. cara ini di sebut juga dengan menyembunyikan page admin wordpress.
Adapun langkah langkah cara mengganti page admin default wordpress adalah sebagai berikut :
SECURITY VERSI 1

1. Masuk ke Cpanel wordpress kalian
2. Masuk “File Manager“
3. Cari file wp-login.php, biasanya di Public_Html
4. Ganti wp-login.php menjadi alamat Login anda misalkan masuktulang.php
5. Buka file masuktulang.php ganti wp-login menjadi, contoh nya disini gue pakai kata  masuktulang  ada 10 char disitu, Capek kan!

Save

1. setelah semua berhasil, hapus wp-login.php, ya kalau file ini masih ada, harus di hapus ini.
2. oke sekarang kita test, webku.com/wp-admin, biasanya kalau kita masuk wp-admin akan otomatis redirect ke webku/wp-login.php
3. tara, hasilnya 404 not found,
4. skrg coba masuk kw webku/masuktulang.php,
5. tara, akhirnya kita berhasil —–>  jangan lupa ucap alhamdulillah, only muslim

Catatan : buatlah alamat Login sobat dengan nama yang tidak umum, agar tools admin finder tidak dapat mendeteksi page admin sobat.

Salah satu kelebihan cara di atas adalah, Walaupun di cari menggunakan tools admin finder, page admin web kita tidak akan ketemu, karena tools admin finder mencari page admin yang default atau umum di pakai oleh orang, sesuai dengan list admin yang telah kita masukan.
kelemahan dari cara ini, menurut saya saja, tapi ini belum saya buktikan.
Kelemahannya adalah web di scan menggunakan tools crwl, like acunetix dan webcruiser, dll. Dalam hal ini saya butuh teman teman semua untuk membukitkan hasil scanner tools di atas, apakah benar dari hasil crawl tersebut page admin kita dapat di ketahui.
Adapun tutorial mengamankan website wordpress yang lainnya adalah dengan merubah chmod file config.php yang ada di worpdress sobat semua.

To be continued --> akan saya posting ke posting selanjutnya. :D


Sumber : Baliona.com