Selamat pagi sahabat Praz Komputer semua. Kali ini Praz Komputer akan share tutorial tentang bagaimana mengamankan website wordpress dari tangan para attacker dan defacer. Sebelumnya terima kasih kepada defacer yang telah mendeface web ini beberapa minggu yang lalu. Karena telah memberikan pencerahan dan isnpirasi sehingga Praz Komputer bisa memberikan tutorial ini kepada sahabat Praz Komputer semua.
Sebelum masuk ke pembahasan tutorialnya, kita akan membahas tekhnik yang sering di pakai para attacker untuk menyerang suatu website, beberapa tekhnik diantaranya adalah SQLI, LFI, RFI dan XSS. Adapun penjelasan tekhnik di atas sahabat Praz Komputer bisa mencarinya di berbagai mesin pencari. Ok, di sini kita akan membuka sedikit tentang tekhnik SQLI. Teknik SQLI adalah teknik pentester yang di pakai attacker untuk mendapatkan user dan password suatu website. Setelah mendapat user dan password tersebut attacker akan masuk melalui page admin website tersebut, biasanya, attacker akan menanam shell atau backdoor terlebih dahulu sebelum melakukan hal hal yang lain. Ini untuk versi beginner, kalau untuk versi dewa, dengar dengar sich, katanya tidak perlu melalui page admin untuk tanam shellnya.
( teknik gabungan gitu, SQLI dan LFI frend katanya ) Heheuy icon biggrin mengamankan website wordpress dari tangan para attacker
Dari penjelasan di atas kita dapat mengambil kata kunci yaitu page admin. Kenapa ? karena dalam worpdress, page admin defaultnya adalah webku.com/wp-admin yang akan redirect ke webku.com/wp-login.php. hal inilah yang membuat para attacker dengan bebas melakukan serangannya. Adapun solusi cara mengamankannya adalah dengan menganti page admin default wordpress kita. Jadi, walaupun si attacker berhasil mendapatkan user dan password webiste kita, tapi dia tidak tahu page admin worpdess kita, berarti website wordpress kita aman dong. icon biggrin mengamankan website wordpress dari tangan para attacker cara ini di sebut juga dengan menyembunyikan page admin wordpress.
Adapun langkah langkah cara mengganti page admin default wordpress adalah sebagai berikut
SECURITY VERSI 1
Masuk ke Cpanel wordpress kalian
Masuk “File Manager“
Cari file wp-login.php, biasanya di Public_Html
Ganti wp-login.php menjadi alamat Login anda misalkan masuktulang.php
Buka file masuktulang.php ganti wp-login menjadi, contoh nya disini gue pakai kata masuktulang ada 10 char disitu, Capek kan!
Save
setelah semua berhasil, hapus wp-login.php, ya kalau file ini masih ada, harus di hapus ini.
oke sekarang kita test, webku.com/wp-admin, biasanya kalau kita masuk wp-admin akan otomatis redirect ke webku/wp-login.php
tara, hasilnya 404 not found,
skrg coba masuk kw webku/masuktulang.php,
tara, akhirnya kita berhasil —–> jangan lupa ucap alhamdulillah, only muslim icon biggrin mengamankan website wordpress dari tangan para attacker
Catatan : buatlah alamat Login sobat dengan nama yang tidak umum, agar tools admin finder tidak dapat mendeteksi page admin sobat.
Salah satu kelebihan cara di atas adalah, Walaupun di cari menggunakan tools admin finder, page admin web kita tidak akan ketemu, karena tools admin finder mencari page admin yang default atau umum di pakai oleh orang, sesuai dengan list admin yang telah kita masukan.
kelemahan dari cara ini, menurut saya saja, tapi ini belum saya buktikan.
Kelemahannya adalah web di scan menggunakan tools crwl, like acunetix dan webcruiser, dll. Dalam hal ini saya butuh teman teman semua untuk membukitkan hasil scanner tools di atas, apakah benar dari hasil crawl tersebut page admin kita dapat di ketahui.
Adapun tutorial mengamankan website wordpress yang lainnya adalah dengan merubah chmod file config.php yang ada di worpdress sobat semua.
Update, untuk security versi 1, mohon jangan di gunakan dulu, soalnya untuk versi 1 ini masih memiliki vulner, ada baiknya apabila sobat ingin mengamankan/security page admin wordpressnya, sobat Praz Komputer semua bisa menggunakan plugin ini, plugin ini memiliki tingkat security page admin yang sangat kuat, ini terbukti dari screenshot gambar di bawah ini, plugin ini memiliki 3 Authentication/validasi untuk login adminnya. plugin ini dapat di download di sini http://wordpress.org/extend/plugins/google-authenticator/
Plugin Google Authenticator
SECURITY VERSI 2
Masuk ke Cpanel wordpress kalian
Masuk “File Manager“
Public_Html – wp-config.php ( rubah chmod nya ke 400 )
Adapun fungsi dari merubah chmod wp-config.php adalah :
Tentunya sahabat Praz Komputer semua sudah mengetahui tekhnik symlink, yaitu tekhnik untuk mendapatkan config suatu website untuk melakukan jumping ke website lain yang masih satu server dengan website pertama. Adapun cara melindungi website kita dari tekhnik symlink adalah dengan merubah chmod dari file config kita. jadi perannya adalah, apabila ada seorang attacker yang melakukan symlink di server website kita, maka config dari website kita tidak ter detect atau terbaca di di tekhnik symlink si attacker.
SECURITY VERSI 3
Kasusnya seperti ini, mungkin sahabat Praz Komputer sudah pernah menanam shell pada worpdress, yg tekhnik pentesternya menggunakan teknik SQLI, yaitu langkah langkah dalam menanam shell di wordpress,
Masuk ke website target melalui admin page, setelah berhasil masuk
Pilih menu Appereance pilih editor – ( theme-editor.php )
Pilih 404.php atau yang lainnya, copy kan script shell sobat di 404.php
Terus klik Update file ( untuk menyimpan shell kita ke website target )
Shell telah tersimpan di website target, saatnya di panggil
Webku.com/wp-content/themes/theme_yang_aktif/404.php
Dari langkah langkah menanam shell di atas, kita dapat mengambil kesimpulan bahwa, shell dapat tersimpan di website target apabila menu editor aktif pada wordpress kita. sehingga mengizinkan si attacker menanam shell ataupun merubah file pada wordpress kita.
Adapun langkah langkah nya adalah sebagai berikut :
Masuk ke Cpanel wordpress sobat
Masuk “File Manager“
Public_Html – wp-config.php
Klik edit, tambahkan file ini di wp-config.php
define(‘DISALLOW_FILE_MODS’,true);
Saran saya di bawah tulisan ini “ define(‘DB_USER’, ‘username_here’); “
Trus klik save change , pasti tidak bisa kan, ini karena chmod dari file wp-config.php sobat masih 400, rubah dulu chmod nya ke 0644, setelah chmod di rubah ke 0644, mari kita coba simpan kembali, klik save change, setelah berhasil tersimpan, jangan lupa mengembalikan chmod dari file wp-config.php sobat ke chmod 400 kembali.
Yang wajib sahabat Praz Komputer tahu tentang fungsi dari script di atas adalah,
Script di atas juga berfungsi untuk mendisble –Ã mengganti theme, upload theme, semua yang berhubungan dengan thema wordpress di non aktifkan, jadi, bagi sobat Praz Komputer yang ingin mengganti theme pada wordpress, harus menghapus script ini dulu di wp-config.php sobat. Sebelumnya rubah dulu chmod wp-config.php nya ke chmod 0644, setelah theme wordpress selesai di ganti, jangan lupa menambahkan script itu kembali di wp-config.php dan merubah kembali chmod wp-config.php nya ke 400 ( wajib di ingat langkah langkahnya ). Kalau tidak END :v
Script di atas juga berfungsi untuk mendisble –Ã add new plugin, ini dilakukan untuk mengantisipasi agar attacker tidak bisa menanam shell di wordpress kita melalui plugin. Bagi sobat Praz Komputer yang ingin menambah plugin pada wordpressnya, bisa mengikuti langkah langkah yang sama dengan mengganti theme di wordpress, harus menghapus script tersebut terlebih dahulu di wp-config.php sobat. Sebelumnya rubah dulu chmod wp-config.php nya ke chmod 0644, setelah itu baru di hapus scriptnya – save – baru bisa add new plugin di wordpress, dan jangan lupa merubah kembali chmod wp-config.php nya ke 400. Ribet banget ya, he he he, ini juga biar wordpress kita aman dari tanggan attacker yang tidak bertanggung jawab. icon biggrin mengamankan website wordpress dari tangan para attacker
Saran tambahan dari Praz Komputer sebaiknya sobat merubah juga chmod semua file theme yang berada di theme-editor.php dari chmod 0644 ke chmod 0444 melalui cpanel sobat. Ini berguna agar file yang berada pada theme-editor.php tidak dapat di rubah. Lihat gambar di atas
SECURITY VERSI 4
Security WordPress menggunakan Plugin.
http://wordpress.org/extend/plugins/anti-hacking-tools/
ini adalah plugin buatannya bang jasman ihsana, admin explorecrew, fungsinya adalah sebagai berikut “ Easy way in protect your blog from hacking tools, ircbot (botnet), fake browser or hacking technique “. Fungsinya melindungi website kita dari hacking tools, dari scanner melalui ircbot dan fake browser atau teknik hacking lainnya.
Tambahan dari security versi 4 ini adalah file .htaccess,
Ini dia scriptnya, simpan dengan nama .htaccess trus upload di Public_Html ( Cpanel )
menulis script .htaccess
//save this command on .htaccess
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} SF [OR]
RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwhisker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR]
RewriteCond %{HTTP:Acunetix-Product} ^WVS
RewriteRule ^.* http://127.0.0.1/ [R=301,L]
Adapun fungsi dari script .htaccess ini menurut saya, apabila ada attacker yang mencoba scan menggunakan tools scanner seperti w3af, dirbuster, nikto, SF, sqlmap, fimap, nessus, whatweb, Openvas, jbrofuzz, libwhisker, webshag, WVS, dia akan men scan localhostnya sendiri.
SECURITY TAMBAHAN
- UPDATE dengan dunia HACKING
- Coba scan terlebih dahulu web sobat menggunakan tools audit security tools, seperti webcruiser, acunetix, nikto, vega, whatsweb, dan tools lainnya. Bagi pengguna OS seperti kali linux, sebagian tools tersebut sudah termasuk di dalam OS nya. Jadi coba aja scan sendiri, apabila terdapat vuln, maga segeralah patch vuln tersebut.
- Jangan gunakan user admin untuk user web sobat, karna apabila sobat menggunakan user admin, attacker tinggal menggunakan tools bruteforce buat menemukan password web sobat.
- Usahakan memberikan password yang terdiri dari huruf, angka dan tanda simbolik, agar kekuatan password sobat kuat. Dan ini harus sobat lakukan tentunya
Seperti ini, F$%#6hg3y36*^@d ( maaf, password ini sudah ada yang punya icon biggrin mengamankan website wordpress dari tangan para attacker )
Jangan menyamakan akun login website, dengan akun database sobat, dan akun cpanel, usakan sobat membedakan ke tiga akun tersebut.
- dan yang terpenting adalah dengan membackup database web anda, krna tidak ada security yang 100 %, setiap sistem pasti memiliki celah,
kalau kata2 para hacker sich, security terkuat itu adalah menyerang
dedikasi untuk para owner website wordpress indonesia, agar websitenya tidak kena deface orang yang tidak bertanggung jawab, miris aja lihat web indonesia di pepes orang indonesia juga, dengan bangga menulis owned by, di suruh memperbaiki index yang di rusaknya tidak bisa,
ada baiknya kita memberikan hal yang berharga untuk orang lain, dari pada merusak tidak ada tujuan, setidaknya kita di beri ilmu yang sedikit ini oleh Tuhan yang maha esa berguna untuk diri sendiri dan orang lain.
dan ini juga bisa menjadi parameter IT di suatu negara, khususnya di bagian website, krna semakin tinggi security website suatu negara tersebut, maka semakin maju pula dunia IT negara tersebut
:.
