Tag: tips keamanan

Hacker Incar Website WordPress Yang Tidak Update

Hacker Incar Website WordPress Yang Tidak Update

Hacker Incar Website WordPress Yang Tidak Update

Hacker tidak membutuhkan waktu lama bagi mereka yang lambat untuk mengupdate website WordPress-nya ke versi WordPress terbaru. Seperti yang kita tahu bahwa update terbaru adalah WordPress 4.7.2.

Update WordPress terbaru tersebut dirilis ke publik pada tanggal 26 Januari 2017. Dimana update terbaru ini memperbaiki isu termasuk cross-site scripting dan celah SQL inejction, serta masalah pada taxonomy terms.

Peneliti keamanan dari Sucuri, yang secara pribadi mengungkapkan celah pada WordPress, mengatakan bahwa ada sekitar empat campaign yang berbeda yang menargetkan website WordPress yang masih belum diupdate. Padahal WordPress telah menambahkan fitur untuk update otomatis, namun banyak pengguna yang memilih untuk menon-aktifkan fitur ini dan menguji update sebelum mereka menggunakannya pada website yang penting.

Keempat campaign ini melakukan scan massal di internet mencari website WordPress yang masih menjalankan WordPress versi yang rentan dan mencoba untuk mengeksploitasi celah yang ada. Sebagai besar serangan dimual dalam waktu dua hari dari pengungkapan publik dan mengarahkan ke website defacements.

Campaign terbesar telah menyerang lebih dari 66.000 website WordPress, dan angka tersebut akan terus bertambah seiring dengan Google membuat index baru dari halaman website. Sucuri mengidentifikasi kelompok ini sebagai w4l3XzY3 dan memiliki empat alamat IP yang digunakan dalam defacements: 176.9.36.102, 185.116.213.71, 134.213.54.163 dam 2a00.1a48.7808.104.9b57.dda6.eb3c.61e1.

Tiga campaign lainnya telah menyerang sekitar 500 website WordPress untuk setiap masing-masing campaign. Sucuri mengidentifikasi ketiganya sebagai Cyb3r-Shia, By+NeT.Defacer, dan By+Hawleri_hacker.

Celah memang terdengar sepele, namun dapat dieksploitasi dan hacker dapat mengeksploitasinya celah tersebut untuk memodifikasi konten pada halaman website, atau untuk membuat serta menghapus posting.

Website administrator sangat disarankan untuk segera meng-update versi WordPress yang digunakannya menjadi versi yang paling baru. Atau berisiko merusak reputasi website WordPress mereka di mesin pencari seperti Google.

 

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.

Tips Meningkatkan Keamanan Website WordPress

cara membuat security wordpress amanMelalui http://en.wordpress.com/stats/, WordPress mengumumkan ada sejumlah 44,567,560 situs yang tersebar di seluruh dunia dibangun dengan WordPress. Artinya, WordPress merupakan CMS yang sangat populer di mata pengguna internet dunia. Namun ada sebuah hukum tak tertulis di dunia cybercrime yang mengatakan bahwa,“Popularitas sebuah CMS berbanding lurus dengan jumlah tangan-tangan jahil yang mencoba menemukan kerentanan CMS tersebut”.

Artinya, tidak sedikit hacker yang mencoba menemukan celah pada sebuah versi. Apabila celah itu ditemukan, maka celah tersebut juga berlaku pada 44,567,560 pengguna WordPress lainnya. Makanya, perlu banget bagi pengguna WordPress untuk memberikan pertolongan pertama pada sekuriti situsnya masing-masing. Seperti apa? Berikut beberapa tips yang dapat segera anda terapkan:

1. Jangan gunakan user “admin” atau “administrator”

Common mistake pengguna WordPress adalah penggunaan username default seperti “admin”  atau “administrator”. Akibatnya? Tentu saja username yang mudah ditebak dan tidak memberikan keamanan tambahan. Jadi, segera ganti username “admin” dengan kombinasi (untuk melakukan hal ini, anda mungkin perlu setup melalui database).

2. Tambahkan file index.html buatan sendiri

WordPress tidak dilengkapi dengan index.html, sehingga direktori website anda jadi mudah sekali diintip. Sedangkan salah satu langkah awal penyusupan adalah dengan mengumpulkan sebanyak mungkin informasi dari calon korban. Makanya, buat sendiri index.html pada folder-folder penting seperti plugin dan themes. Sederhana saja, asal dapat menutupi celah ini. Misalnya:

wp1

3. Terapkan file permission yang pas bagi file dan folder anda

Lakukan pemeriksaan berkala pada file permission website anda. Sebab salah satu indikasi hacking adalah berubahnya file permission anda menjadi publik (666 atau 777). Normalnya, terapkan permission 644 untuk file dan 755 untuk folder.

4. Beberapa hal yang perlu anda ketahui tentang trik .htaccess

File .htaccess mampu melindungi folder utama website anda (public_html) dari script injeksi dan melindungi file wp-config.php yang di dalamnya terkandung informasi sensitif seputar database WordPress anda. Berikut adalah script .htaccess default bawaan WordPress:

wp2

Script di atas hanya bermanfaat untuk masking URL. Anda bisa membuat perlindungan .htaccess ke level yang lebih tinggi lagi. Misalnya dengan menambahkan beberapa baris berikut untuk memberi perlindungan pada file wp-config.php anda:

wp3

Dan script berikut untuk melindungi public_html dari serangan script injeksi:

wp4

Dan script berikut untuk melindungi file .htaccess itu sendiri:

wp5

4. Berikan keamanan tambahan pada folder wp-admin

Cara berikutnya bersifat lebih teknis. Yaitu menambahkan otentikasi password tambahan pada direktori /wp-admin anda.

Pertama, buat 2 file: file htpass.txt dan .htaccess. File htpass.txt bisa diisi dengan bantuan generator pada alamat: http://www.htaccesstools.com/htpasswd-generator/. Kemudian taruh file tersebut di folder wp-admin (Atau di folder lain yang ingin dilindungi seperti wp-includes dan wp-content, tapi JANGAN di public_html). Kemudian buat file.htaccess di folder wp-admin yang berisi:

wp6

Jika sudah, silakan coba akses halaman wp-admin anda. Jika berhasil, maka akan tampil sebuah autentikasi tambahan:

wp7

5. Jangan lupa Update. As Soon As Possible.

Untungnya selain populer, WordPress juga merupakan pengembang yang terkenal bertanggungjawab. Dia selalu merilis update terbaru secara berkala. Nah, update versi ini biasanya dilengkapi dengan penutupan terhadap lubang-lubang sekuriti yang ditemukan pada versi terdahulu. Makanya, cek terus halaman admin WordPress anda untuk menemukan apakah ada update terbaru terhadap versi, theme, maupun plugin yang anda gunakan. Termasuk plugin dan theme yang statusnya sedang tidak dipakai (disable).

sekian dulu tips meningkatkan sekuriti WordPress anda. Sebaiknya sebelum memulai penerapan di atas, lakukan backup terlebih dahulu supaya bila terjadi kesalahan dan error bisa dikembalikan ke keadaan semula. Penerapan tips di atas tidak serta merta membuat website anda 100% aman. Namun, setidaknya mampu menjadi upaya pertolongan pertama yang cukup signifikan. Semoga bermanfaat