Pada kesempatan kali ini, saya mau menulis Cara mengamankan WordPress ala DevilScreaM.
Oke, Lebih Baik kita langsung ke tahap2 tutorialnya
1. Brute Force
Saya Sering Kali Melihat WordPress yang kena brute force, entah karena username dan password mudah ditebak, atau entahlah.
Kalo Cara Saya untuk mencegah brute force adalah menambahkan Auth Login Pada Login Admin Page WordPress. Jadi terdapat dua login pada WordPress, berikut tutorialnya
TUTORIAL
1.Buka CPanel / FTP Kalian
2.Lalu Cari File wp-login.php , Rename File Tersebut, Misalkan login12345.php
3.Buka File login12345.php , Cari Kata wp-login.php dengan cara Ctrl+ F, Setelah banyak ditemukan, ganti kata wp-login.php dengan login12345.php
Kemudian Save, Jangan gak di save yah
4.Masuk ke Folder wp-includes, Lalu Cari File general-template.php lalu buka/edit , Cari lagi kata wp-login.php lalu ganti dengan login12345.php
5.Setelah Cari Code :
$login_url = site_url(‘wp-login.php’, ‘login’);$login_url = site_url(‘hacked.php‘, ‘login’);6.Setelah itu, Buat File bernama hacked.php, lalu isi dengan sembarang Script.
Contoh Seperti Web Saya, Saat Membuka /wp-admin atau wp-login.php
![[Image: 2eahte9.png]](http://i44.tinypic.com/2eahte9.png)
7.Jika si tukang pentest ketemu admin login aslinya, tambahkan Auth Login pada Login12345.php
Buka File login12345.php, Lalu cari code <?php echo $title; ?></title>, Lalu Letakan Code Berikut dibawahnya :
<?php
$auth_pass = '21232f297a57a5a743894a0e4a801fc3'; //admin
if( get_magic_quotes_gpc() ) {
function stripslashes_array($array) {
return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
}
$_POST = stripslashes_array($_POST);
}
function printLogin() {
?>
<h1>Login by Users Has Been Disable</h1>
<p>ID Anda Bukan Admin, Maaf Anda Tidak Bisa Login</p>
<hr>
<style>
input { margin:0;background-color:#fff;border:1px solid #fff; }
</style>
<center>
<form method=post>
<input type=password name=pass>
</form></center>
<?php
exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
if( empty( $auth_pass ) ||
( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
$_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
else
printLogin();
Code 21232f297a57a5a743894a0e4a801fc3 ganti dengan password anda, jangan lupa gunakan Generate MD5 Untuk menggantinyaWebsite untuk Generate MD5
http://www.md5hashgenerator.com/index.php
8. Setelah itu Buka http://website.com/login12345.php
Hasilnya tidak ada Form Login, tenang, itu cuman mengelabui hacker, pencet Tab pada Keyboard anda, dan otomatis akan ke Form Login Authnya, setelah itu masukan password yang anda generate pakai MD5 tadi
2. Themes/Plugins
Banyak Sekali WordPress yang kena Deface Karena Themes Atau Plugins, pada kali ini tips saya adalah menelusuri Themes/Plugins WordPress Tersebut
Check Satu Per Satu Filenya, jika ada nama file yang mencurigakan segera hapus
Nama File yang mencurigakan
upload-handler.php
upload.php
upload/upload.php
uploadify.php
ajax-upload.php
uploader.php
timthumb.php
3. Symlink / Jumping Server
Tutorial Selanjutnya yaitu Mengamankan Dari Symlink
Karena biasanya Hacker mencari wp-config.php untuk melakukan aksi Symlink, jadi Kita harus mengamankan wp-config.php tersebut, berikut caranya
1. Login ke cPanel Anda
2. Masuk ke File Manager
3. Cari File wp-config.php
4. Klik Kanan, Lalu Seting Chmod
Ubah Chmod dari 644 ke 400
5. Setelah diganti, edit file .htaccess pada WordPress Anda
Tambahkan Code Berikut dibawah script .htaccess anda
<files wp-config.php>
order allow,deny
deny from all
</files>
Hasilnya, jika hacker membuka wp-config.php dari Symlink, maka menjadi 403 Forbidden
Nah mungkin hanya segitu saja tutorial dari saya, jika ada yang kurang, silahkan search di google
-={ Referensi }=-
Sign up here with your email
ConversionConversion EmoticonEmoticon