Semakin lama semakin ganas pula serangan jenayah siber terhadap pengguna WordPress. Isu keselamatan blog terutamanya pengguna WordPress amatlah penting sebenarnya. Ketika saya menjalankan rutin harian ‘blogwalking’ saya dapati beberapa blog rakan-rakan di Link Exchange telah dihack. Ada yang menggunakan kaedah ‘defaced‘ dan ada juga yang memasukkan entri ‘spam’ didalam WordPress post. Kita tidak mahu penat lelah entri blog hilang begitu sahaja disebabkan oleh salah laku penjenayah ini. Sebelum ini saya bergelut dengan bot yang meyebabkan penggunaan CPU yan tinggi dan bandwidth yang banyak. Saya ingatkan ia serangan yang paling dasyat pernah saya alami tetapi tidak sama sekali. Serangan bot hanyalah serangan picisan dari pengodam untuk melumpuhkan, mencuri entri dan lain-lain tujuan pada blog yang dikehendaki. Atas dasar apa saya tidak pasti. Mungkin pengodam ingin membuktikan pada dunia bahawa dialah yang paling hebat. Jika kita pujuk rayu belum tentu mereka akan mempertimbangkannya. Apa yang kita boleh buat adalah meningkatkan keselamatan blog kita sendiri.

keselamatan blog
Blog Wanzawawi

Keselamatan Blog WordPress : Pindah fail wp-config.php

Antara langkah yang paling mudah dan cepat untuk rakan-rakan lakukan. Tidak sampai seminit dan keselamatan blog dapat ditingkatkan. Serangan pengodam selalunya dilakukan pada fail wp-config.php WordPress. Dalam instalasi biasa, WordPress akan meletakkan wp-config.php bersama-sama fail lain didalam satu ‘folder’. Ianya terdedah kepada serangan ini jika kita tidak membuat tetapan .htaccess. Apa pun langkah ini lebih mudah tanpa perlu mengubah .htaccess. Pindahkan sahaja ke ‘folder’ server seperti gambar. Tiada gangguan sistem kerana WordPress boleh mengesan fail ini didalam direktori server.

* Peringatan : Walaupun blog beroperasi seperti biasa, bahagian plugin dan template tidak dapat disambungkan ke server WordPress. Buat masa ini tidak digalakkan untuk mencuba kaedah ini sehingga diberitahu.

Keselamatan Blog

Keselamatan Blog WordPress : Ubahsuai .htaccess

Jika kita memasukkan url domain.com/wp-config.php didalam browser kita, kita boleh menilai sejauh mana tahap keselamatan blog tersebut. Jika paparan yang keluar kosong sahaja, mungkin kita boleh menghembuskan nafas lega, tetapi jika ianya keluar teks atau kod, ini bermakna ianya tidak selamat. Cara ini boleh menghalang sesiapa sahaja untuk ‘access’ ke wp-config.php melalui .htaccess.


<Files wp-config.php>

Order Allow,Deny
Deny from all

</Files>

Keselamatan Blog : Delete Akaun Admin

Secara ‘default’, setiap instalasi WordPress akan menggunakan kata nama ‘admin’ untuk akaun didalam WordPress. Buang akaun ini dan gunakan akaun lain untuk mengelakkan serangan ‘sql injection’ menggunakan akaun admin. Walaupun kita menggunakan kata laluan yang susah, pengodam boleh mendapatkan kata laluan tersebut melalui kaedah ini. Kata laluan yang disimpan didalam database telah ditukar ke perkataan yang sukar difahami boleh ‘decode’ semula untuk medapatkan kata laluan yang sebenar. Kata laluan tersebut akan digunakan untuk ‘login’ ke akaun admin dan mereka akan melakukan onar dengan sewenang-wenangnya.

Keselamatan Blog : Update WordPress, Tema dan Plugin

Jika kita menerima notis untuk ‘update’ WordPress, tema dan plugin, sila lakukannya dengan segera. Ini kerana mereka yang berkaitan telah mengenalpasti isu-isu keselamatan lebih awal untuk mempertingkatkan keselamatan blog kita. Jika mereka gagal untuk update, pastinya setiap pengguna WordPress akan digodam besar-besaran yang mungkin mencalarkan reputasi mereka. Justeru jangan berlengah lagi kerena ia mungkin melibatkan keselamtan blog rakan-rakan blogger semua.

Jebeng Otaiβ„’
mcm2 ancaman.. mmg menakutkan