Langkah Tingkat Keselamatan Blog WordPress

Semakin lama semakin ganas pula serangan jenayah siber terhadap pengguna WordPress. Isu keselamatan blog terutamanya pengguna WordPress amatlah penting sebenarnya. Ketika saya menjalankan rutin harian ‘blogwalking’ saya dapati beberapa blog rakan-rakan di Link Exchange telah dihack. Ada yang menggunakan kaedah ‘defaced‘ dan ada juga yang memasukkan entri ‘spam’ didalam WordPress post. Kita tidak mahu penat lelah entri blog hilang begitu sahaja disebabkan oleh salah laku penjenayah ini. Sebelum ini saya bergelut dengan bot yang meyebabkan penggunaan CPU yan tinggi dan bandwidth yang banyak. Saya ingatkan ia serangan yang paling dasyat pernah saya alami tetapi tidak sama sekali. Serangan bot hanyalah serangan picisan dari pengodam untuk melumpuhkan, mencuri entri dan lain-lain tujuan pada blog yang dikehendaki. Atas dasar apa saya tidak pasti. Mungkin pengodam ingin membuktikan pada dunia bahawa dialah yang paling hebat. Jika kita pujuk rayu belum tentu mereka akan mempertimbangkannya. Apa yang kita boleh buat adalah meningkatkan keselamatan blog kita sendiri.

keselamatan blog
Blog Wanzawawi

Keselamatan Blog WordPress : Pindah fail wp-config.php

Antara langkah yang paling mudah dan cepat untuk rakan-rakan lakukan. Tidak sampai seminit dan keselamatan blog dapat ditingkatkan. Serangan pengodam selalunya dilakukan pada fail wp-config.php WordPress. Dalam instalasi biasa, WordPress akan meletakkan wp-config.php bersama-sama fail lain didalam satu ‘folder’. Ianya terdedah kepada serangan ini jika kita tidak membuat tetapan .htaccess. Apa pun langkah ini lebih mudah tanpa perlu mengubah .htaccess. Pindahkan sahaja ke ‘folder’ server seperti gambar. Tiada gangguan sistem kerana WordPress boleh mengesan fail ini didalam direktori server.

* Peringatan : Walaupun blog beroperasi seperti biasa, bahagian plugin dan template tidak dapat disambungkan ke server WordPress. Buat masa ini tidak digalakkan untuk mencuba kaedah ini sehingga diberitahu.

Keselamatan Blog

Keselamatan Blog WordPress : Ubahsuai .htaccess

Jika kita memasukkan url domain.com/wp-config.php didalam browser kita, kita boleh menilai sejauh mana tahap keselamatan blog tersebut. Jika paparan yang keluar kosong sahaja, mungkin kita boleh menghembuskan nafas lega, tetapi jika ianya keluar teks atau kod, ini bermakna ianya tidak selamat. Cara ini boleh menghalang sesiapa sahaja untuk ‘access’ ke wp-config.php melalui .htaccess.


<Files wp-config.php>

Order Allow,Deny
Deny from all

</Files>

Keselamatan Blog : Delete Akaun Admin

Secara ‘default’, setiap instalasi WordPress akan menggunakan kata nama ‘admin’ untuk akaun didalam WordPress. Buang akaun ini dan gunakan akaun lain untuk mengelakkan serangan ‘sql injection’ menggunakan akaun admin. Walaupun kita menggunakan kata laluan yang susah, pengodam boleh mendapatkan kata laluan tersebut melalui kaedah ini. Kata laluan yang disimpan didalam database telah ditukar ke perkataan yang sukar difahami boleh ‘decode’ semula untuk medapatkan kata laluan yang sebenar. Kata laluan tersebut akan digunakan untuk ‘login’ ke akaun admin dan mereka akan melakukan onar dengan sewenang-wenangnya.

Keselamatan Blog : Update WordPress, Tema dan Plugin

Jika kita menerima notis untuk ‘update’ WordPress, tema dan plugin, sila lakukannya dengan segera. Ini kerana mereka yang berkaitan telah mengenalpasti isu-isu keselamatan lebih awal untuk mempertingkatkan keselamatan blog kita. Jika mereka gagal untuk update, pastinya setiap pengguna WordPress akan digodam besar-besaran yang mungkin mencalarkan reputasi mereka. Justeru jangan berlengah lagi kerena ia mungkin melibatkan keselamtan blog rakan-rakan blogger semua.

Jebeng Otaiβ„’
mcm2 ancaman.. mmg menakutkan

jebengotai

Menulis sekadar perkongsian. Memberi info dari pembacaan, pengalaman dan kajian dari penulis. Mungkin dari sini, pandangan kita dapat diperluaskan. - Freelance VPS setup ( NGINX + Pagespeed + Vesta ) - Part-Time Blogger

This Post Has 86 Comments

      1. SuhairiDotCom

        Bab2 hack blog ni mmg aku da byk kali kena sbb pkai plugin dan theme yang aku x check betul.sekali kena,down terus website aku.tp aku da ready dgn backup semua.ftp da backup tiap2 ari πŸ˜€

        1. jebengotai

          tu btul2 sediakan payung sblum hujan..hehe

  1. Blog Asyraf

    terima kasih atas perkongsian ini.. Harap-2 blog saya takkan dihack oleh mana-2 hacker πŸ™‚

    1. jebengot

      sbnarnya ada byk cara juga..guna plugin security pon ok gak..tp cara ni utk yg x mo guna plugin.. πŸ™‚

      1. Blog Asyraf

        hehe. betul ke bro, kalau guna plugin banyak2 akan memberatkan loading blog? πŸ™‚

        1. jebengotai

          tgk jenis plugin juga..kalo plugin melibatkan widget pon ade potensi blog leh lambat..plugin cronjob mcm database backup,security dalam masa2 tertentu salah satu faktor..belum lagi plugin SEO..gd rating,analytic,cache..huhu

  2. Nadot

    adoi ai..byknye ancaman… blog picis-picisan cam sy kene riso x?..hihihi
    nak tanye..kalau update theme, bende2 yg kite set kat theme cam header ke ape2 lain yg kite masukkan dlm .php akan terpadam x?..huhuhu
    siyes..mmg bute it…hehe
    tq! πŸ˜‰

    1. jebengot

      sy x pasti pula..ikut jenis update juga..

      1. Tehr

        Aku pernah update theme
        Memang banyak juga yang hilang dan perlu diaturkan semula

        1. jebengotai

          erk yeke..kalo mcm tu mmg kene backup theme la..

  3. onlajer

    Takut bro, tapi aku belum dengar cerita dari blogspot

    1. jebengot

      tu la..sy rasa blogspot mmg byk advantage juga..mmg secure..tp kene pastikan passwd emel strong la..hehe

      1. Blog Asyraf

        Blogspot jugak banyak dh kena hack.. wordpress lagi laa πŸ˜€

        1. jebengotai

          uih yeke?..nk recover mcmane ek..payah gak tu

  4. alieza dayasari

    IDAK PULA DEN GUNA WORDPRESS.. TP mengatal nk tinggal komen di sini.

  5. azydy

    informasi berguna ni.. thanks bro for sharing

    1. jebengot

      sama2 menjaga keselamatan blog.. πŸ™‚

  6. eiela

    dulu sblm tukar hosting pernah suruh kwn buat, lps tukar tak buat dah, nampaknya kena buat la htaccess nih. kena check dulu.

    1. jebengotai

      kene check blik..ade x konfigurasi ni.. πŸ™‚

  7. Mak lagenda

    Untuk apalah derang ni nk hack2 blog tu kan. Dlm 2,3tips yg jebeng bg tu,mak ada gak rajin update pkugin dan themes blog. But kalo nk pindah fail tu mmg x berani btl nk usik

    1. jebengotai

      sy dh try tadi..nmpknya ade mslh skit..bek jgn buat..huhu

      tp yg htaccess tu snang jer..tambah kod tu jer..lepastu x leh nk msuk.. πŸ™‚

  8. wandisini

    bro tahu tak macam mana nak buat file .htaccess yang baik, boleh manghalang dari diceroboh?

    1. jebengotai

      kalo hacker amateur diorg akan guna wp-config ni utk buat serangan..kalo guna kod diatas tu dah memadai..tp jgn letak permission 777 pula ya..hehe

      htaccess ni byk kegunaannya..boleh redirect, tingkatkan speed blog..dan mcm2 ag..

  9. Tehr

    Kiranya kita perlu jaga keselamatan di alam maya la ni, bro

    1. jebengotai

      btul..xnak usaha kita jdik sia2 sbb pihak2 yg x bertanggungjawab ni..

  10. diana

    entry ni bagus untuk saya yang memang terasa macam nak ber wp lepas ni..:p

    1. jebengotai

      owh…keselamtan blog mmg kene fikirkan sblum berblogging ag.. πŸ™‚

    1. jebengotai

      btul..mkin lama makin teruk pula..kene ikhtiar sendiri utk elak jadik mangsa..

  11. akubiomed

    Memang pengalaman mimpi ngeri kalau blog kena serang oleh hackers. πŸ™

    1. jebengotai

      yela..trauma jugak tu..kalo dh kene serang jgn dibiarkan jer..mungkin serangan susulan akan berlaku..

  12. Kulanzsalleh

    Akupun tak mahir pasal keselamatan blog ni.. terima kasih berkongsi sekurang-kurangnya ada juga panduan

    1. jebengotai

      kalo hacker pro xkan die nk hack blog biasa..mesti dia hack blog yg leh untungkan dia..ni keje hacker yg baru nk naik..huhu

      1. Kulanzsalleh

        Betul tu.. biasa diorang buat sekadar untuk berbangga dalam kalangan group diorang..

  13. hafizul

    Emm kalau update wordpress dan theme tu, kita kena setting balik ke paparan blog kita??pondok kecil ada terima update wordpress ngn theme tu..tapi takut kena setting balik macam mana awal aku buat dulu..lepas update dia jadi mcm biasa ke @ jadi luar biasa kacau bilau?

    1. jebengotai

      setakat ni saya update WP x der per2 mslh..cuma update tema saya x pasti pula..

  14. akhiyy

    memang kene amek langkah berhati-hati..

  15. Kawe pon dah rasa kena hack dan serangan bot dulu. Mmg sakit jiwa dibuatnya. Tapi itulah cabaran sebagai blogger. Btw, nasihat2 yg berguna buat semua. Tqvm.

    1. jebengotai

      mmg byk dugaan..pada masa yg sama dpt ilmu baru juga.. πŸ™‚

  16. anif

    Pengguna WordPress perlu ambil perhatian isu ini. Jangan ambil mudah tahap keselamatan blog!

  17. Shack

    ini yg buat aku gementar ni bro ( sdng bangunkan laman ecommerce skrg)..,mesti kena bljr lebih pasal benda ni..tq bro jebengotai..info amat berguna

  18. wazy

    Terima kasih untuk backlink tu bro,walaupun kita sentiasa berhati-hati,sekali terlalai kena juga,biasa la kan di alam maya ni .Alhamdulillah blog dah pulih seperti biasa,tips yang bro bagi ni pun berguna juga

    1. jebengotai

      terperanjat juga mula2 tgk blog bro kene mcm ni..diorg mmg x der belas kasihan punya..

  19. Norizwan

    skang ni ngah fikir nak pindahkan blogger ke wordpress takut ada banyak data hilang….ermmm

    1. jebengotai

      sy x berapa pasti pasal blogspot..tp mesti ada org yg dh wat tutorial nya..hehe

  20. Cikgu Hairul

    Memang ngeri pengalaman dihack ni. Cuba guna plugin wp batter security. plugin ni dapat menghalang dari sesiapa saja menukar semua file terutamanya .htaccess dan wp-config.php. Cuma ada isu sikit, banyak plugin lain yg tak sebulu dengan dia. Apapun rantai besi perlu untuk keselamatan blog sendiri.

    1. jebengotai

      yela..x compatible utk certain plugin..camne la caranya ya..

  21. irsah

    hah satu cubaan tu bro, macam @cikgu Hairul cakap. Kalau ada tip leh share.

    1. jebengotai

      kene kaji lebih mendalam ag tu..huhu πŸ™‚

  22. yas

    perkongsian yg bagus nih…thxs bro….

  23. Hairul Hissam

    terima kasih bro atas info tu.. penting sgt tu kerana blog wordpress nadi bisnes saya…

    1. jebengotai

      saya pon hanya berkongsi..jika x pasti kita leh bincang disini.. πŸ™‚

  24. MDHAFiZ.NET

    info baru nih. .. wlupun aku dh lama berwordpress. . adeyh. . advance lg ko dr aku. . thanks bro.. πŸ™‚

    1. jebengotai

      uih x la advance…tkut gak kene hack..huhu

  25. ProfHariz

    Aku nak cuba buat, tapi takut nak tanggung risiko. Bro buatkan boleh ? Ehehe

      1. ProfHariz

        Tawaran yang menarik ni. Bila bro free? Boleh roger melalui facebook ?

  26. titan

    pepandailah jaga ekk..

  27. jaerul

    blom delete akaun admin lagi ler bro,.. takut jugak nih,. thanks bro dengan tutorial ni, ada juga yang bertanya kepada saya tentang macam mana nak atasi daripada blog digodam,. cuma ilmu jaerul mengenai ini masih kosong,.

    1. jebengotai

      sy pon sama..sama2 mengkaji bro.. πŸ™‚

  28. phantom crew ke tu yang U Mad Bro? lulz..
    otai tu rasa.. htaccess takut dah nak edit oo. sekali salah ambik, blank satu blog..kakak
    btw thanks pengongsian ni, mana taw aku edit balik ke

    1. jebengotai

      xper..hanya tmbah kod seperti entri sblum ni..rasanya tu dh memadai..

    2. ProfHariz

      Aku pun pernah buat habis. Sebab tu takut dah weh

  29. Juan

    terima kasih diatas perkongsian ni bro

    1. jebengotai

      sama2 bro..penting gak keselamatan blog ni..

  30. Ahmad Fikrizaman

    Letak wp-config.php kat tempat lain akan sebabkan plugin x dpt connect dengan server sebab maybe wordpress dah hard coded wordpress punya config file dalam /wp-config.php

    Deny dengan .htaccess macam x ada function sebab:
    1. memang file wp-config.php x boleh baca
    2. kalau dah berjaya upload shell, semua benda boleh baca

    1. jebengotai

      alamak..yg tu mcm level tinngi dah..huuhu

      tp bab upload shell tu kalo satu domain vulnerable..semua shared terancam ke bro?

    2. lepakk.com

      Betul tu.. Kalau dah ada files connection diorg tanam dlm server kita..update mcmana pun diorg senang je dtg balik sbb da ada backdoor

  31. Blog Keperawatan

    Saya masih menggunakan fasilitas Blogspot.com sahabat.
    Masih yang gratisan lagi

  32. Mus

    saya berharap dengan beberapa plugins sahaja..
    kalau buat manual.. rosak blog dibuatnya

  33. lepakk.com

    Lepakk.com telah banyak kali di hack.namun bukan melalui wordpress atau plugin lain..namun melalui folder web lain yg turut diletak di dalam server yang sama.Antara punca masalah iini ialah kurang prihatin terhadap keselamatan web sendiri heheh.Apapun pihak pengurusan server sentiasa memantau dan membuat backup sekerap yang boleh.Ini sedikit sebanyak mengurangkan kerisauan terhadap ancaman hackers.

  34. hatiputera

    memang susah sebenarnya untuk penggodam menyahkod password pada wordpress kalau kita menggunakan gabungan nombor , aksara dan character sehingga 16 aksara. Kalau guna bruteforce pun ambik masa bertahun-tahun.

  35. majid

    TQ maklumat bermanfaat

  36. Rina

    bagaimanapun juga blog wordpress masih memiliki kekurangan terutama pada keamanannya ya..
    terima ksih atas tips2nya, izin bookmark..

  37. AZENI AHMAD

    Terima kasih atas perkongsian tip.
    Kena pastikan betul-betul keselamatan blog kita.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.