Semakin lama semakin ganas pula serangan jenayah siber terhadap pengguna WordPress. Isu keselamatan blog terutamanya pengguna WordPress amatlah penting sebenarnya. Ketika saya menjalankan rutin harian ‘blogwalking’ saya dapati beberapa blog rakan-rakan di Link Exchange telah dihack. Ada yang menggunakan kaedah ‘defaced‘ dan ada juga yang memasukkan entri ‘spam’ didalam WordPress post. Kita tidak mahu penat lelah entri blog hilang begitu sahaja disebabkan oleh salah laku penjenayah ini. Sebelum ini saya bergelut dengan bot yang meyebabkan penggunaan CPU yan tinggi dan bandwidth yang banyak. Saya ingatkan ia serangan yang paling dasyat pernah saya alami tetapi tidak sama sekali. Serangan bot hanyalah serangan picisan dari pengodam untuk melumpuhkan, mencuri entri dan lain-lain tujuan pada blog yang dikehendaki. Atas dasar apa saya tidak pasti. Mungkin pengodam ingin membuktikan pada dunia bahawa dialah yang paling hebat. Jika kita pujuk rayu belum tentu mereka akan mempertimbangkannya. Apa yang kita boleh buat adalah meningkatkan keselamatan blog kita sendiri.
Keselamatan Blog WordPress : Pindah fail wp-config.php
Antara langkah yang paling mudah dan cepat untuk rakan-rakan lakukan. Tidak sampai seminit dan keselamatan blog dapat ditingkatkan. Serangan pengodam selalunya dilakukan pada fail wp-config.php WordPress. Dalam instalasi biasa, WordPress akan meletakkan wp-config.php bersama-sama fail lain didalam satu ‘folder’. Ianya terdedah kepada serangan ini jika kita tidak membuat tetapan .htaccess. Apa pun langkah ini lebih mudah tanpa perlu mengubah .htaccess. Pindahkan sahaja ke ‘folder’ server seperti gambar. Tiada gangguan sistem kerana WordPress boleh mengesan fail ini didalam direktori server.
* Peringatan : Walaupun blog beroperasi seperti biasa, bahagian plugin dan template tidak dapat disambungkan ke server WordPress. Buat masa ini tidak digalakkan untuk mencuba kaedah ini sehingga diberitahu.
Keselamatan Blog WordPress : Ubahsuai .htaccess
Jika kita memasukkan url domain.com/wp-config.php didalam browser kita, kita boleh menilai sejauh mana tahap keselamatan blog tersebut. Jika paparan yang keluar kosong sahaja, mungkin kita boleh menghembuskan nafas lega, tetapi jika ianya keluar teks atau kod, ini bermakna ianya tidak selamat. Cara ini boleh menghalang sesiapa sahaja untuk ‘access’ ke wp-config.php melalui .htaccess.
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
Keselamatan Blog : Delete Akaun Admin
Secara ‘default’, setiap instalasi WordPress akan menggunakan kata nama ‘admin’ untuk akaun didalam WordPress. Buang akaun ini dan gunakan akaun lain untuk mengelakkan serangan ‘sql injection’ menggunakan akaun admin. Walaupun kita menggunakan kata laluan yang susah, pengodam boleh mendapatkan kata laluan tersebut melalui kaedah ini. Kata laluan yang disimpan didalam database telah ditukar ke perkataan yang sukar difahami boleh ‘decode’ semula untuk medapatkan kata laluan yang sebenar. Kata laluan tersebut akan digunakan untuk ‘login’ ke akaun admin dan mereka akan melakukan onar dengan sewenang-wenangnya.
Keselamatan Blog : Update WordPress, Tema dan Plugin
Jika kita menerima notis untuk ‘update’ WordPress, tema dan plugin, sila lakukannya dengan segera. Ini kerana mereka yang berkaitan telah mengenalpasti isu-isu keselamatan lebih awal untuk mempertingkatkan keselamatan blog kita. Jika mereka gagal untuk update, pastinya setiap pengguna WordPress akan digodam besar-besaran yang mungkin mencalarkan reputasi mereka. Justeru jangan berlengah lagi kerena ia mungkin melibatkan keselamtan blog rakan-rakan blogger semua.
bahaya gak ni..mcm2 dh skng..
mmg bahay bro..jgn amik ringan..
Bab2 hack blog ni mmg aku da byk kali kena sbb pkai plugin dan theme yang aku x check betul.sekali kena,down terus website aku.tp aku da ready dgn backup semua.ftp da backup tiap2 ari 😀
tu btul2 sediakan payung sblum hujan..hehe
terima kasih atas perkongsian ini.. Harap-2 blog saya takkan dihack oleh mana-2 hacker 🙂
sbnarnya ada byk cara juga..guna plugin security pon ok gak..tp cara ni utk yg x mo guna plugin.. 🙂
hehe. betul ke bro, kalau guna plugin banyak2 akan memberatkan loading blog? 🙂
tgk jenis plugin juga..kalo plugin melibatkan widget pon ade potensi blog leh lambat..plugin cronjob mcm database backup,security dalam masa2 tertentu salah satu faktor..belum lagi plugin SEO..gd rating,analytic,cache..huhu
adoi ai..byknye ancaman… blog picis-picisan cam sy kene riso x?..hihihi
nak tanye..kalau update theme, bende2 yg kite set kat theme cam header ke ape2 lain yg kite masukkan dlm .php akan terpadam x?..huhuhu
siyes..mmg bute it…hehe
tq! 😉
sy x pasti pula..ikut jenis update juga..
Aku pernah update theme
Memang banyak juga yang hilang dan perlu diaturkan semula
erk yeke..kalo mcm tu mmg kene backup theme la..
Takut bro, tapi aku belum dengar cerita dari blogspot
tu la..sy rasa blogspot mmg byk advantage juga..mmg secure..tp kene pastikan passwd emel strong la..hehe
Blogspot jugak banyak dh kena hack.. wordpress lagi laa 😀
uih yeke?..nk recover mcmane ek..payah gak tu
IDAK PULA DEN GUNA WORDPRESS.. TP mengatal nk tinggal komen di sini.
mana tau nk pakai ker..hehe
informasi berguna ni.. thanks bro for sharing
sama2 menjaga keselamatan blog.. 🙂
dulu sblm tukar hosting pernah suruh kwn buat, lps tukar tak buat dah, nampaknya kena buat la htaccess nih. kena check dulu.
kene check blik..ade x konfigurasi ni.. 🙂
Untuk apalah derang ni nk hack2 blog tu kan. Dlm 2,3tips yg jebeng bg tu,mak ada gak rajin update pkugin dan themes blog. But kalo nk pindah fail tu mmg x berani btl nk usik
sy dh try tadi..nmpknya ade mslh skit..bek jgn buat..huhu
tp yg htaccess tu snang jer..tambah kod tu jer..lepastu x leh nk msuk.. 🙂
bro tahu tak macam mana nak buat file .htaccess yang baik, boleh manghalang dari diceroboh?
kalo hacker amateur diorg akan guna wp-config ni utk buat serangan..kalo guna kod diatas tu dah memadai..tp jgn letak permission 777 pula ya..hehe
htaccess ni byk kegunaannya..boleh redirect, tingkatkan speed blog..dan mcm2 ag..
Kiranya kita perlu jaga keselamatan di alam maya la ni, bro
btul..xnak usaha kita jdik sia2 sbb pihak2 yg x bertanggungjawab ni..
entry ni bagus untuk saya yang memang terasa macam nak ber wp lepas ni..:p
owh…keselamtan blog mmg kene fikirkan sblum berblogging ag.. 🙂
macam-macam ancaman sekarang ni..bahaya betul
btul..mkin lama makin teruk pula..kene ikhtiar sendiri utk elak jadik mangsa..
Memang pengalaman mimpi ngeri kalau blog kena serang oleh hackers. 🙁
yela..trauma jugak tu..kalo dh kene serang jgn dibiarkan jer..mungkin serangan susulan akan berlaku..
Akupun tak mahir pasal keselamatan blog ni.. terima kasih berkongsi sekurang-kurangnya ada juga panduan
kalo hacker pro xkan die nk hack blog biasa..mesti dia hack blog yg leh untungkan dia..ni keje hacker yg baru nk naik..huhu
Betul tu.. biasa diorang buat sekadar untuk berbangga dalam kalangan group diorang..
mmg geram jugak kadang2..
Emm kalau update wordpress dan theme tu, kita kena setting balik ke paparan blog kita??pondok kecil ada terima update wordpress ngn theme tu..tapi takut kena setting balik macam mana awal aku buat dulu..lepas update dia jadi mcm biasa ke @ jadi luar biasa kacau bilau?
setakat ni saya update WP x der per2 mslh..cuma update tema saya x pasti pula..
memang kene amek langkah berhati-hati..
hati2 bro.. 🙂
Kawe pon dah rasa kena hack dan serangan bot dulu. Mmg sakit jiwa dibuatnya. Tapi itulah cabaran sebagai blogger. Btw, nasihat2 yg berguna buat semua. Tqvm.
mmg byk dugaan..pada masa yg sama dpt ilmu baru juga.. 🙂
Pengguna WordPress perlu ambil perhatian isu ini. Jangan ambil mudah tahap keselamatan blog!
btul..byk kelemahan juga wp ni..huhu
ini yg buat aku gementar ni bro ( sdng bangunkan laman ecommerce skrg)..,mesti kena bljr lebih pasal benda ni..tq bro jebengotai..info amat berguna
owh..tahniah dh nk bkk kedai online..huhu
Terima kasih untuk backlink tu bro,walaupun kita sentiasa berhati-hati,sekali terlalai kena juga,biasa la kan di alam maya ni .Alhamdulillah blog dah pulih seperti biasa,tips yang bro bagi ni pun berguna juga
terperanjat juga mula2 tgk blog bro kene mcm ni..diorg mmg x der belas kasihan punya..
skang ni ngah fikir nak pindahkan blogger ke wordpress takut ada banyak data hilang….ermmm
sy x berapa pasti pasal blogspot..tp mesti ada org yg dh wat tutorial nya..hehe
Memang ngeri pengalaman dihack ni. Cuba guna plugin wp batter security. plugin ni dapat menghalang dari sesiapa saja menukar semua file terutamanya .htaccess dan wp-config.php. Cuma ada isu sikit, banyak plugin lain yg tak sebulu dengan dia. Apapun rantai besi perlu untuk keselamatan blog sendiri.
yela..x compatible utk certain plugin..camne la caranya ya..
hah satu cubaan tu bro, macam @cikgu Hairul cakap. Kalau ada tip leh share.
kene kaji lebih mendalam ag tu..huhu 🙂
perkongsian yg bagus nih…thxs bro….
dh nk tukar wordpress ke bro ?..hehe
terima kasih bro atas info tu.. penting sgt tu kerana blog wordpress nadi bisnes saya…
saya pon hanya berkongsi..jika x pasti kita leh bincang disini.. 🙂
info baru nih. .. wlupun aku dh lama berwordpress. . adeyh. . advance lg ko dr aku. . thanks bro.. 🙂
uih x la advance…tkut gak kene hack..huhu
Aku nak cuba buat, tapi takut nak tanggung risiko. Bro buatkan boleh ? Ehehe
haha..boleh2.. 🙂
Tawaran yang menarik ni. Bila bro free? Boleh roger melalui facebook ?
hehe..cuak gk nk buat kn org nya..huhu
pepandailah jaga ekk..
pandai2 jaga rumah sendiri bro..hehe
blom delete akaun admin lagi ler bro,.. takut jugak nih,. thanks bro dengan tutorial ni, ada juga yang bertanya kepada saya tentang macam mana nak atasi daripada blog digodam,. cuma ilmu jaerul mengenai ini masih kosong,.
sy pon sama..sama2 mengkaji bro.. 🙂
phantom crew ke tu yang U Mad Bro? lulz..
otai tu rasa.. htaccess takut dah nak edit oo. sekali salah ambik, blank satu blog..kakak
btw thanks pengongsian ni, mana taw aku edit balik ke
xper..hanya tmbah kod seperti entri sblum ni..rasanya tu dh memadai..
Aku pun pernah buat habis. Sebab tu takut dah weh
terima kasih diatas perkongsian ni bro
sama2 bro..penting gak keselamatan blog ni..
Letak wp-config.php kat tempat lain akan sebabkan plugin x dpt connect dengan server sebab maybe wordpress dah hard coded wordpress punya config file dalam /wp-config.php
Deny dengan .htaccess macam x ada function sebab:
1. memang file wp-config.php x boleh baca
2. kalau dah berjaya upload shell, semua benda boleh baca
alamak..yg tu mcm level tinngi dah..huuhu
tp bab upload shell tu kalo satu domain vulnerable..semua shared terancam ke bro?
Betul tu.. Kalau dah ada files connection diorg tanam dlm server kita..update mcmana pun diorg senang je dtg balik sbb da ada backdoor
Saya masih menggunakan fasilitas Blogspot.com sahabat.
Masih yang gratisan lagi
btul..percuma tu yg best..hehe
saya berharap dengan beberapa plugins sahaja..
kalau buat manual.. rosak blog dibuatnya
Lepakk.com telah banyak kali di hack.namun bukan melalui wordpress atau plugin lain..namun melalui folder web lain yg turut diletak di dalam server yang sama.Antara punca masalah iini ialah kurang prihatin terhadap keselamatan web sendiri heheh.Apapun pihak pengurusan server sentiasa memantau dan membuat backup sekerap yang boleh.Ini sedikit sebanyak mengurangkan kerisauan terhadap ancaman hackers.
memang susah sebenarnya untuk penggodam menyahkod password pada wordpress kalau kita menggunakan gabungan nombor , aksara dan character sehingga 16 aksara. Kalau guna bruteforce pun ambik masa bertahun-tahun.
TQ maklumat bermanfaat
bagaimanapun juga blog wordpress masih memiliki kekurangan terutama pada keamanannya ya..
terima ksih atas tips2nya, izin bookmark..
Terima kasih atas perkongsian tip.
Kena pastikan betul-betul keselamatan blog kita.