Semakin lama semakin ganas pula serangan jenayah siber terhadap pengguna WordPress. Isu keselamatan blog terutamanya pengguna WordPress amatlah penting sebenarnya. Ketika saya menjalankan rutin harian ‘blogwalking’ saya dapati beberapa blog rakan-rakan di Link Exchange telah dihack. Ada yang menggunakan kaedah ‘defaced‘ dan ada juga yang memasukkan entri ‘spam‘ didalam WordPress post. Kita tidak mahu penat lelah entri blog hilang begitu sahaja disebabkan oleh salah laku penjenayah ini. Sebelum ini saya bergelut dengan bot yang meyebabkan penggunaan CPU yan tinggi dan bandwidth yang banyak. Saya ingatkan ia serangan yang paling dasyat pernah saya alami tetapi tidak sama sekali. Serangan bot hanyalah serangan picisan dari pengodam untuk melumpuhkan, mencuri entri dan lain-lain tujuan pada blog yang dikehendaki. Atas dasar apa saya tidak pasti. Mungkin pengodam ingin membuktikan pada dunia bahawa dialah yang paling hebat. Jika kita pujuk rayu belum tentu mereka akan mempertimbangkannya. Apa yang kita boleh buat adalah meningkatkan keselamatan blog kita sendiri.

keselamatan blog
Blog Wanzawawi

Keselamatan Blog WordPress : Pindah fail wp-config.php

Antara langkah yang paling mudah dan cepat untuk rakan-rakan lakukan. Tidak sampai seminit dan keselamatan blog dapat ditingkatkan. Serangan pengodam selalunya dilakukan pada fail wp-config.php WordPress. Dalam instalasi biasa, WordPress akan meletakkan wp-config.php bersama-sama fail lain didalam satu ‘folder’. Ianya terdedah kepada serangan ini jika kita tidak membuat tetapan .htaccess. Apa pun langkah ini lebih mudah tanpa perlu mengubah .htaccess. Pindahkan sahaja ke ‘folder’ server seperti gambar. Tiada gangguan sistem kerana WordPress boleh mengesan fail ini didalam direktori server.

* Peringatan : Walaupun blog beroperasi seperti biasa, bahagian plugin dan template tidak dapat disambungkan ke server WordPress. Buat masa ini tidak digalakkan untuk mencuba kaedah ini sehingga diberitahu.

Keselamatan Blog

Keselamatan Blog WordPress : Ubahsuai .htaccess

Jika kita memasukkan url domain.com/wp-config.php didalam browser kita, kita boleh menilai sejauh mana tahap keselamatan blog tersebut. Jika paparan yang keluar kosong sahaja, mungkin kita boleh menghembuskan nafas lega, tetapi jika ianya keluar teks atau kod, ini bermakna ianya tidak selamat. Cara ini boleh menghalang sesiapa sahaja untuk ‘access’ ke wp-config.php melalui .htaccess.

<Files wp-config.php>

Order Allow,Deny
Deny from all

</Files>

Keselamatan Blog : Delete Akaun Admin

Secara ‘default’, setiap instalasi WordPress akan menggunakan kata nama ‘admin’ untuk akaun didalam WordPress. Buang akaun ini dan gunakan akaun lain untuk mengelakkan serangan ‘sql injection’ menggunakan akaun admin. Walaupun kita menggunakan kata laluan yang susah, pengodam boleh mendapatkan kata laluan tersebut melalui kaedah ini. Kata laluan yang disimpan didalam database telah ditukar ke perkataan yang sukar difahami boleh ‘decode’ semula untuk medapatkan kata laluan yang sebenar. Kata laluan tersebut akan digunakan untuk ‘login’ ke akaun admin dan mereka akan melakukan onar dengan sewenang-wenangnya.

Keselamatan Blog : Update WordPress, Tema dan Plugin

Jika kita menerima notis untuk ‘update’ WordPress, tema dan plugin, sila lakukannya dengan segera. Ini kerana mereka yang berkaitan telah mengenalpasti isu-isu keselamatan lebih awal untuk mempertingkatkan keselamatan blog kita. Jika mereka gagal untuk update, pastinya setiap pengguna WordPress akan digodam besar-besaran yang mungkin mencalarkan reputasi mereka. Justeru jangan berlengah lagi kerena ia mungkin melibatkan keselamtan blog rakan-rakan blogger semua.

Jebeng Otaiβ„’

86 Replies to “Langkah Tingkat Keselamatan Blog WordPress

      1. Bab2 hack blog ni mmg aku da byk kali kena sbb pkai plugin dan theme yang aku x check betul.sekali kena,down terus website aku.tp aku da ready dgn backup semua.ftp da backup tiap2 ari πŸ˜€

        1. tgk jenis plugin juga..kalo plugin melibatkan widget pon ade potensi blog leh lambat..plugin cronjob mcm database backup,security dalam masa2 tertentu salah satu faktor..belum lagi plugin SEO..gd rating,analytic,cache..huhu

  1. adoi ai..byknye ancaman… blog picis-picisan cam sy kene riso x?..hihihi
    nak tanye..kalau update theme, bende2 yg kite set kat theme cam header ke ape2 lain yg kite masukkan dlm .php akan terpadam x?..huhuhu
    siyes..mmg bute it…hehe
    tq! πŸ˜‰
    Nadot recently posted..Sihat la Konon!My Profile

    1. kalo hacker amateur diorg akan guna wp-config ni utk buat serangan..kalo guna kod diatas tu dah memadai..tp jgn letak permission 777 pula ya..hehe

      htaccess ni byk kegunaannya..boleh redirect, tingkatkan speed blog..dan mcm2 ag..

  2. Akupun tak mahir pasal keselamatan blog ni.. terima kasih berkongsi sekurang-kurangnya ada juga panduan

  3. ini yg buat aku gementar ni bro ( sdng bangunkan laman ecommerce skrg)..,mesti kena bljr lebih pasal benda ni..tq bro jebengotai..info amat berguna

  4. Terima kasih untuk backlink tu bro,walaupun kita sentiasa berhati-hati,sekali terlalai kena juga,biasa la kan di alam maya ni .Alhamdulillah blog dah pulih seperti biasa,tips yang bro bagi ni pun berguna juga
    wazy recently posted..Siapalah AkuMy Profile

  5. Memang ngeri pengalaman dihack ni. Cuba guna plugin wp batter security. plugin ni dapat menghalang dari sesiapa saja menukar semua file terutamanya .htaccess dan wp-config.php. Cuma ada isu sikit, banyak plugin lain yg tak sebulu dengan dia. Apapun rantai besi perlu untuk keselamatan blog sendiri.

  6. info baru nih. .. wlupun aku dh lama berwordpress. . adeyh. . advance lg ko dr aku. . thanks bro.. πŸ™‚

  7. blom delete akaun admin lagi ler bro,.. takut jugak nih,. thanks bro dengan tutorial ni, ada juga yang bertanya kepada saya tentang macam mana nak atasi daripada blog digodam,. cuma ilmu jaerul mengenai ini masih kosong,.

  8. Letak wp-config.php kat tempat lain akan sebabkan plugin x dpt connect dengan server sebab maybe wordpress dah hard coded wordpress punya config file dalam /wp-config.php

    Deny dengan .htaccess macam x ada function sebab:
    1. memang file wp-config.php x boleh baca
    2. kalau dah berjaya upload shell, semua benda boleh baca

  9. Lepakk.com telah banyak kali di hack.namun bukan melalui wordpress atau plugin lain..namun melalui folder web lain yg turut diletak di dalam server yang sama.Antara punca masalah iini ialah kurang prihatin terhadap keselamatan web sendiri heheh.Apapun pihak pengurusan server sentiasa memantau dan membuat backup sekerap yang boleh.Ini sedikit sebanyak mengurangkan kerisauan terhadap ancaman hackers.
    lepakk.com recently posted..Samsung Bayar Saman Apple Guna SyilingMy Profile

  10. memang susah sebenarnya untuk penggodam menyahkod password pada wordpress kalau kita menggunakan gabungan nombor , aksara dan character sehingga 16 aksara. Kalau guna bruteforce pun ambik masa bertahun-tahun.

  11. bagaimanapun juga blog wordpress masih memiliki kekurangan terutama pada keamanannya ya..
    terima ksih atas tips2nya, izin bookmark..

Leave a Reply

Your email address will not be published. Required fields are marked *

CommentLuv badge