Month: February 2017

Blok Alamat IP Cegah Akses WordPress Admin

Blok Alamat IP Cegah Akses WordPress Admin

Blok Alamat IP Cegah Akses WordPress Admin

Jika kamu merupakan pengguna atau web master website WordPress, hal penting yang selalu kamu harus utamakan adalah masalah keamanan. WordPress merupakan content management system atau CMS yang paling banyak digunakan di internet, sehingga tidaklah aneh platform ini juga menjadi target serangan popular.

Salah satu langkah yang bisa kita lakukan untuk mengamankan website WordPress kita adalah dengan blok alamat IP agar tidak bisa mengakses WordPress admin, wp-admin dan wp-login.php. Kita bisa blok alamat IP semuanya kecuali alamat IP kita sendiri. Pada tutorialnya kami membahas untuk blok alamat IP di web server yang menggunakan Nginx.

Syarat-syarat Tutorial Ini:

– Web server kamu menggunakan Nginx, bagi yang menggunakan Apache tidak bisa menggunakan cara ini.
– WordPress kini sudah bisa bekerja di Nginx,

Blok Alamat IP Cegah Akses WordPress Admin di Web Server Nginx

Dengan men-setting perlindungan berbasis IP ini, website WordPress kamu tidak akan lagi rentan akan serangan seperti brute force. Serangan brute force merupakan salah satu metode serangan yang paling banya digunakan untuk menyerang CMS di internet. Blok alamat IP akan membantu kamu untuk mencegah hacker mencoba memasuki area WordPress admin, karena memang mereka tidak bisa mengaksesnya karena alamat IP-nya tidak ada di dalam daftar whitelist alamat IP.

Nginx: Blok Akses ke Area WordPress Admin

Yang pertama harus dilakukan adalah dengan mengedit file Nginx vhost, atau file nginx.conf, hal ini tergantung bagaimana cara kamu mengkonfigurasi Nginx service.

nano -w /etc/nginx/nginx.conf

Tambahkan kode dibawah ini untuk blok alamat IP semuanya, dan whitelist alamat IP kamu:

location ~ ^/(wp-admin|wp-login\.php) {
 allow 111.111.111.111;
 deny all;
}

Jika kamu meng-install WordPress di dalam folder misalnya sub folder /blog/, maka ketik kode seperti dibawah ini:

location ~ ^/blog/(wp-admin|wp-login\.php) {
 allow 111.111.111.111;
 deny all;
}

Ganti alamat IP 111.111.111.111 dengan alamat IP kamu.

Test Login ke Area WordPress Admin

Buka browser dan coba akses ke http://www.situskamu.com/wp-admin atau http://www.situskamu.com/wp-login.php. Jika kamu mengakses dari alamat IP yang dibolehkan maka harusnya bisa mengakses halaman tersebut, dan coba lagi dari ISP yang berbeda apakah bisa mengakses halaman WordPress admin tersebut?

Kesimpulan

Melindungi area WordPress admin wp-admin dan wp-login.php sangat mudah jika kamu menggunakan Nginx. Yang kamu butuhkan adalah ISP dengan alamat IP statik, atau bisa menggunakan koneksi VPN untuk mempunya alamat IP statik.

 

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.

Hadang Serangan Brute Force di WordPress Dengan ModSecurity

Hadang Serangan Brute Force di WordPress Dengan ModSecurity

Hadang Serangan Brute Force di WordPress Dengan ModSecurity

WordPress merupakan aplikasi web content management system (CMS) yang paling popular di internet. Karena kepopulerannya ini, maka tidaklah aneh jika website yang menggunakan WordPress sering menjadi target serangan. Meski demikian kamu tidak perlu khawatir, karena ada banyak cara untuk mengamankan website WordPress kamu.

Salah satu serangan yang paling sering digunakan untuk menyerang website WordPress dengan menggunakan serangan Brute Force. Serangan Brute Force yang diterjemahkan kedalam bahasa Indonesia adalah serangan brutal. Teknik serangan terhadap sistem keamanan komputer dengan mencoba menebak password atau passcode sebanyak mungkin agar bisa masuk kedalam sistem.

Pada artikel kali ini kami akan membahas mengenai salah satu cara untuk menghadang serangan Brute Force pada website WordPres. Teknik yang akan kami bahas menggunakan ModSecurity.

Apa Itu ModSecurity

ModSecurity (atau dikenal juga dengan mod_security, security2_module, modsec) merupakan module Apache yang didesain dengan fungsi yang mirip dengan Web Application Firewall, yang memiliki tujuan untuk membantu melindungi website dari berbagai tipe serangan seperti: SQL Injection, Iframe attacks, Webshell/Backdor Detection, Botnet Attack Detection, Brute Force dan HTTP Denial of Service (DoS) attacks.

Untuk cara instal ModSecurity bisa mengunjungi BlogHostingIndonesia.com

Cara Menghadang Serangan Brute Force di WordPress

Pertama yang harus dilakukan adalah membuat file yang diberi nama bruteforce.conf, yang ditaruh pada lokasi ini: /usr/local/apache/conf/bruteforce.conf.

Bisa dengan mengetik command:

nano -w /usr/local/apache/conf/bruteforce.conf

Kemudian copy code dibawah ini ke dalam file tersebut:

# WordPress ModSecurity Brute Force Rules
# -----------------------------------------------------------------------------
# TX.max_requests - # of requests allowed during x period of time
# TX.requests_ttl - time in seconds
# TX.block_ttl - block time in seconds
# -----------------------------------------------------------------------------

SecRequestBodyAccess On
SecDataDir /tmp
SecAction "phase:1,pass,setvar:TX.max_requests=6,setvar:TX.requests_ttl=180,setvar:TX.block_ttl=900,initcol:ip=%{REMOTE_ADDR},nolog,id:5001000"
SecRule IP:blocked "@eq 1" "phase:1,drop,log,id:5001001"

# WordPress Anti Brute Force Rules
<LocationMatch "/wp-login.php">
SecAction "phase:2,chain,nolog,id:5001002"
SecRule REQUEST_METHOD "^POST$" "chain"
SecRule ARGS_POST_NAMES "^log$" "chain"
SecRule ARGS_POST_NAMES "^pwd$" "chain"
SecAction "setvar:ip.request_count=+1,expirevar:ip.request_count=%{TX.requests_ttl}"

SecRule IP:request_count "@ge %{TX.max_requests}" "phase:2,drop,setvar:ip.blocked=1,expirevar:ip.blocked=%{TX.block_ttl},log,msg:'Blocked by %{TX.block_ttl} seconds',id:5001003"

Loading Rules Anti Brute Force

Sekarang kita harus mengkonfigurasi ModSecurity untuk meng-load rule anti brute force, dengan menjalankan command ini:

echo "Include /usr/local/apache/conf/bruteforce.conf" >> /usr/local/apache/conf/modsec2.user.conf

Kemudian restart Apache untu menerapkan perubahan:

service httpd restart

Hasil dari rule anti serangan brute force untuk WordPress ini akan di-log pada Apache error log.

Menonaktifkan Rule Anti Serangan Brute Force

Jika rule ModSecurity ini menyebabkan masalah, kamu bisa menonaktifkannya dengan mengedit file /usr/local/apache/conf/modsec2.user.conf, lalu hapus line dibawah ini:

Include /usr/local/apache/conf/bruteforce.conf

Kemudian restart Apache untuk menerapkan perubahan:

service httpd restart

Itulah cara untuk melindungi website WordPress kamu dari serangan brute force. Untuk cara yang lebih mudah kamu bisa menggunakan plugin.

 

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.

Hacker Mulai Menguangkan Serangan Ke Website WordPress

Hacker Mulai Menguangkan Serangan Ke Website WordPress

Hacker Mulai Menguangkan Serangan Ke Website WordPress

Hacker mulai mencoba untuk menguangkan serangan terhadap website WordPress yang masih memiliki celah pada REST API endpoint. Celah ini sebenarnya sudah di patch pada update WordPress 4.7.2 terbaru, jadi yang diserang kebanyakan masih menggunakan versi WordPress yang belum di-patch.

Lebih dari satu juta website WordPress telah di-deface, para peneliti sekarang menemukan hacker mengirimkan link ke website farmasi palsu. Mencoba untuk melakukan spam terhadap pengguna agar mau membeli obat dan melakukan pembayaran dengan tujuan untuk mendapatkan informasi kartu kredit yang digunakan untuk pembayaran.

Hacker memanfaatkan website yang masih menggunakan versi WordPress yang belum diupdate ke versi yang paling baru. Para peneliti dari SiteLock memperkirakan bahwa ada sekitar 20 hacker yang bersaing untuk mendapatkan dollar, dengan cara men-deface website WordPress berkali-kali.

Men-deface website WordPress awalnya hanya dijadikan petualangan oleh para hacker, namun saat ini serangan dilakukan dengan motif ingin mendapatkan dollar.

Celah REST API endpoint pertama kali dikenal pada WordPress 4.7 di bulan Desember 2016, dan patch untuk menutup celah ini dirilis pada update WordPress 4.7.2 di bulan Januari. WordPress defaultnya telah mengaktifkan fitur otomatis update, jadi kebanyakan website WordPress secara otomatis diupdate dan lebih aman. Namun ada banyak juga yang men-disable fitur ini, menjadikan celah ini ada. SiteLock memperkirakan ada 15 sampai 20 persen website WordPress.

Secara keseluruhan, website WordPress yang di-deface karena dari celah ini meningkat dengan sangat cepat dari angka 10.000 hingga lebih ke 800.000 hanya dalam waktu 48 jam. Jika versi WordPress kamu belum diupdate ke versi yang paling baru, inilah saatnya kamu harus mengupdatenya.

 

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.

 

Cara Perbaiki Error Redirect di WordPress

Cara Perbaiki Error Redirect di WordPress

Cara Perbaiki Error Redirect di WordPress

Menjalankan website atau blog WordPress.org yang kita hosting sendiri memiliki banyak keuntungan, kita bisa bebas mendandani website atau blog kita serta kita akan mendapatkan banyak sekali ilmu. Namun tentunya yang dapat membuat kita menjadi pusing tujuh keliling adalah ketika website atau blog kita mengalami error.

Salah satu error yang paling sering terjadi adalah error redirect di WordPress. Hal ini terjadi karena terlalu banyak redirect sehingga menimbulkan masalah.

Mengapa Saya Mendapatkan Error Redirect di WordPress?

Error redirect ini biasanya terjadi karena kesalahan konfigurasi pada masalah redirect. Seperti yang kita ketahui bahwa WordPress memiliki struktur URL yang SEO friendly yang digunakan sebagai fungsi redirect. Beberapa plugin WordPress yang popular juga menggunakan fungsi redirect. Sebagai contoh, plugin SEO WordPress memungkinkan untuk menghapus category base dari category URL dengan me-redirect pengunjung ke URL tanpa category base. Plugin SSL dan Cache WordPress juga menggunakan fungsi redirect.

Karena kesalahan konfigurasi ini dari plugin-plugin tersebut, website atau blog website kamu akan me-redirect pengunjung ke URL yang sebenarnya telah me-redirect mereka kembali ke reffering URL. Hal ini menyebabkan web browser terjebak dalam dua halaman dan memunculkan pesan error.

Cara Memperbaiki Error Redirect di WordPress

Kebanyakan salah konfigurasi yang paling sering terjadi adalah URL yang salah pada WordPress Address URL atau setting Site Address URL.

Misalnya, kita asumsikan bahwa website kamu memiliki URL http://www.example.com. Masuk ke Dasboard WordPress, masuk ke menu Settings-> General, ganti WordPress dan Site Address. Jika kamu menggunakan prefix www, maka ganti ke menjadi http://example.com. Dan jika kamu tidak menggunakan prefix www, maka ganti menjadi http://www.example.com.

Ganti Site URL Tanpa Akses ke Admin Area

Jika kamu tidak bisa masuk ke area WordPress Admin, kamu tetap bisa mengganti setting ini dengan menggantinya pada file wp-config.php. Masuk ke website menggunakan aplikasi FTP client. Setelah masuk ke website kamu, cari file yang bernama wp-config.php. Download file ini, lalu kemudian edit file ini menggunakan aplikasi teks editor seperti Notepad. Tinggal tambahkan dua baris script dibawah ini, dan ganti example.com dengan URL domain kamu.

define('WP_HOME','http://example.com');
define('WP_SITEURL','http://example.com');

Save dan upload kembali ke server lewat FTP. Dan sekarang coba akses website WordPress kamu. Jika masih belum bisa, coba tambahkan prefix www didepan url domain kamu.

Cara Memperbaiki Error Redirect Lainnya

Jika cara diatas masih belum memperbaiki error redirect yang kamu alami, bisa jadi error ini disebabkan oleh plugin. Apakah sebelumnya error redirect ini terjadi kamu memasang plugin? Atau mengupdate plugin? Jika ya maka kamu harus menonaktifkan plugin tersebut.

Untuk menonaktifkan plugin, kamu bisa masuk ke FTP. Lalu cari folder wp-content/plugins/. Cara plugin yang baru kamu pasang atau kamu update, hapus foldernya. Dan coba lihat apakah website kamu sudah normal atau belum.

Atau jika kamu tidak tahu plugin mana yang menyebabkan error redirect, maka kamu harus mencobanya satu persatu. Backup dulu semua plugin dengan mendownloadnya. Setelah itu hapus semua plugin, dan coba apakah website kamu sudah kembali normal, seharusnya sih tidak ada masalah. Sekarang coba upload kembali plugin satu persatu, setelah mengupload satu plugin selesai, harus coba website kamu apakah berjalan normal. Jika normal, lanjutkan mengupload plugin satu lagi, begitu seterusnya. Jika kamu sehabis meng-upload satu plugin, website kamu error, berarti plugin tersebut yang menyebabkan error.

 

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.

Lihat Versi WordPress Dari Command Line

Lihat Versi WordPress Dari Command Line

Lihat Versi WordPress Dari Command Line

Bagaimana saya tahu versi WordPress yang saya gunakan pada website saya? Salah satu cara untuk mengetahui versi WordPress bisa dari Linux terminal, dengan mengetik command line yang terbilang simpel.

Kenapa Saya Harus Tahu Versi WordPress Yang Digunakan?

Mengetahui versi dari software WordPress yang kamu gunakan sangat penting untuk mengetahui apakah kamu aman dari berbagai serangan terbaru, eksploitasi dan masalah bugs yang terjadi pada versi WordPress yang telah usang. Sangat penting untuk kamu selalu mengupdate software WordPress yang kamu gunakan ke versi terbaru yang memperbaiki bugs dan menambal lubang keamanan yang ditemukan pada versi terdahulu. Selain itu kamu juga harus selalu mengupdate versi plugin dan tema yang kamu gunakan.

Versi WordPress dapat diketahui dengan berbagai cara, cara yang paling mudah menemukannya adalah dengan login ke area admin WordPress. Dari sini kamu bisa melihat apakah sudah menggunakan software WordPress terbaru atau juga mengetahui jika ada update terbaru yang tersedia.

Melihat Versi WordPress Dari Command Line

Namun, jika kamu membutuhkan untuk mengetahu versi WordPress dari command line karena kamu tidak memiliki akses ke area Admin WordPress. Maka kamu bisa menjalankan command grep untuk melihat versinya dari file version.php, yang berada di dalam direktori wp-includes.

Ketik command dibawah ini dari terminal sebagai root:

grep wp_version /home/user/public_html/wp-includes/version.php

Pastikan kamu menggantinya dengan full path dari instalasi WordPress di server kamu. Outputnya kurang lebih seperti ini:

[[email protected]:~]grep wp_version /home/wordpresshostingindonesia/public_html/wp-includes/version.php
 * @global string $wp_version
$wp_version = '4.7.2';
[[email protected]:~]

Seperti yang kamu lihat, versi yang diperlihat dari command line sama dengan yang ada pada Dasboard WordPress.

Sekarang kamu sudah tahu versi dari software WordPress yang kamu gunakan untuk website kamu. Cara ini menjadi solusi jika kamu tidak memiliki akses ke area Admin atau Dasboard WordPress.

 

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.