Seminggu belakangan ini aku cukup disibukkan dengan kerjaan orang iseng, baik itu ulah spammer yang menguras bandwidth, maupun usaha penjebolan akun wordpress. Sampai-sampai inbox email penuh notifikasi alert layaknya bom email pemberitahuan.
Serangan demi serangan yang bertubi-tubi memaksaku untuk mengoptimalkan “keamanan blog wordpress” yang bisa Anda temukan tutorial lengkapnya di WordPress.or.id, M-alwi.com, kafegue.com dan jhezer.web.id atau menginstal beberapa plugin security wordpress.
Karena topik kali ini membahas tentang plugin security, di bawah ini merupakan plugin anti hack yang saya gunakan untuk mencegah pihak-pihak tertentu mengobrak-abrik wordpress blog milik kita.
WordPress Firewal 2
Kemampuannya untuk menangani masalah Sql injection attack memang patut diacungi jempol, namun tidak menutup kemungkinan Anda dapat menerima serangan jenis lain.
Salah satu plugin wajib untuk menghalau upaya hack wordpress melalui log suspicious-looking parameters. Informasi lebih lengkap silahkan ke halaman berikut
http://wordpress.org/extend/plugins/wordpress-firewall-2/faq/
Tips. Nonaktifkan wordpress firewall 2 apabila ingin mengedit sesuatu di halaman dashboard WordPress Anda(edit script php) atau masukkan IP Address yang sedang digunakan agar tidak dianggap upaya serangan oleh plugin tersebut (cara lain)
Cara menggunakan, cukup instal dan aktifkan konfigurasinya di dashboard >> settings >> firewall
Limit Login Attempts
Menghalau serangan hacker / cracker melalui cara brute force. Brute force sendiri Teknik yang paling banyak digunakan untuk memecahkan password, kunci, kode atau kombinasi. Cara kerja metode ini sangat sederhana yaitu mencoba semua kombinasi yang mungkin. (http://id.wikipedia.org/wiki/Brute_force)
Dengan Plugin limit login attempts, Anda dapat membatasi berapa kali seseorang mengakses halaman login wordpress Anda sebagai upaya mencoba kemungkinan kombinasi username dan password.
http://wordpress.org/extend/plugins/limit-login-attempts/
Tips. Hati-hati menggunakan plugin ini, jika kurang mengingat username dan password, tentu kita sendiri yang akan direpotkan. ^^
Cara menggunakan, cukup instal dan aktifkan konfigurasi di dashboard >> settings >> limit login attemps
Stealth Login
UPDATE 2/11/11
Plugin ini telah dihapus dari wordpress.org belum ada informasi yang jelas mengapa pihak wordpress menghapusnya. Tapi, dari informasi yang beredar, blog yang menggunakan plugin ini akan mengalami dead link di semua post.
Informasi ini bisa Anda baca di
http://www.techzoomin.com/stealth-login-took-my-wordpress-blog-down/
Bagi yang sudah menginstalnya, masuk ke .htaccess di root directory blog Anda, cari dan hapus eksekusi dari # STEALTH-LOGIN hingga # END STEALTH-LOGIN kemudian save.
Hapus stealth login dari wp-content/plugins. Maka, login ke wordpress Anda akan kembali normal
—————————————————————————-
—————————————————————-
Plugin yang berfungsi untuk menyembunyikan alamat URL Login wordpress yang sebelumnya beralamat di domainanda.com/wp-admin menjadi domainanda.com/katalain.
Jika ada usaha pihak tertentu yang ingin menjebol akun wordpress Anda secara terus menerus walaupun sudah dihalau menggunakan limit login attemps maka, menggunakan plugin stealth login adalah pilihan
http://wordpress.org/extend/plugins/stealth-login/
Tips. Sebelum mengaktifkan plugin jenis ini ada baiknya Anda membackup terlebih dahulu file .htaccess dari root direktory wordpress Anda. Untuk jaga-jaga jika terjadi kesalahan yang tidak diinginkan sehingga mengakibatkan kesalahan fatal berupa internal server error.
Cara menggunakan, cukup instal dan atur konfigurasi di dashboard >> settings >> Stealth Login
—————————————————————————-
—————————————————————-
Tapi perlu diingat, menggunakan plugin di atas hanya meminimalkan resiko blog wordpress Anda kena hack. Tidak ada sistem Keamanan yang sempurna di dunia ini.
Setidaknya, kita sudah berusaha semampu yang kita bisa dan jangan lupa untuk acap kali membackup database Anda, karena kita tidak pernah tahu jenis serangan seperti apa yang nantinya akan menyerang. Apakah hanya deface atau merusak bahkan menghapus database. CMIIW
Tips lain
- Ubah username login wordpress. Jangan Gunakan “admin” sebagai username karena mayoritas kerjaan iseng menggunakan username tersebut untuk menebak password login wordpress milik kita.
- Gunakan plugin wp-optimize untuk mengganti username.
- Jangan gunakan email login ke wordpress Anda untuk kepentingan umum seperti blog comenting dll. Sekiranya merahasiakan email Anda tersebut agar tidak disalahgunakan oleh pihak tertentu yang berusaha iseng terhadap blog wordpress Anda.
Akhir kata.. Take your own risk
Semoga Bermanfaat ^^
plugin terakhir nampaknya tidak perlu, karena itu akan membingungkan guest post di blog kita..
iya sih gan,, tapi bisa disiasati dengan memberi tahu si guest blog, alamat wp admin rahasianya jika kita menggunakan stealth login ^
Sekarang wordpress.or.id di hack! katanya sih oleh orang iran! coba liat deh!
sudah kembali normal gan,, saya lihat barusan.. kemarin juga sempat lihat,
Seperti beberapa hari y lalu wktu q tanya itu mas, ternyata menurut support tempat sy berhosting file .htaccess-nya terinject script dari luar. Alhmdllh skrg dh bs lagi, dan tips di atas perlu di coba tu 🙂
Alhamdulillah, bagus klo begitu mas sudah fix masalahnya,
Dulu pernah pakai stealth login mas, tapi jadi ngerasa kurang nyaman. Jadi ya ga dipakai lagi deh.
Dari ke3 plugin ini memang manteb sih, terutama yang firewall.
ooowh,,pake Stealth Login to buat nyamarin wp-admin.. baru tau aku..hehe
bagus om, komplit pemberitahuanya, saya mau nyobain buat blog saya om…..
hehehe, saya masih belasan tahun umurnya mas, belum om-om 🙂
barusan blog saya kena deface! untuk hostingnya siap bantu jadi bener lagi deh! sekarang saya pakai banyak plugin keamanan demi menjaga agar aman! (tentunya di pasang sama pihak hosting ckckck)
Iya 3 plugin diatas patut untuk di install. Saat ini banyak sekali hacking yang menyerang berbagai web cms wordpress. Lumayan untuk pertahanan dari serangan malware yg tidak bertanggung jawab.
wah perlu di coba nih bro,
makasih nih info nya…
mantap banget, di tunggu kunjungan baliknya ya…
thank you
web sitenya keren uey
terima kasih atas kunjungan dan komentarnya ^^
kalau saya sih pake bulletproof security.. kemaren2 blog ane sempet off gara2 (katanya) kena backdoor, masuknya dari server, gak cuma blog ane doang.. tapi alhamdulillah pihak hosting lumayan cepat tanggap tuh, backup juga lancar…
apa karena pengaruh menggunakan cloudflare gan ? atau menggunakan plugin nulled ?
mksih infonya mas..
sangat menarik
mas saya ko nda bisa nemuin plugin stealth login yah, dah cari dari dashboard wp ga nemu, langsung k wp’y dr link yg d atas juga g nemu, d google aja g nemu, kemana pergi’y ya?
mas saya ko nda bisa nemuin plugin stealth login yah, dah cari dari dashboard wp ga nemu, langsung k wp’y dr link yg d atas juga g nemu, d google aja g nemu, kemana pergi’y ya? saya sih kmrn smpet dapet tuh plugin, cmn krn ada masalah berat sama blog yg baru d buat, jd terpaksa wp ane install ulang, dan semua plugin pun lenyap, nah kebetulan skrg mo di develop lg tuh blog, eh nyari stealth login g nemu2, saya sih biasa’y make plugin yg buat login’y make captcha gitu, jd untuk di bruteforce rada repot, klo stealth login msh bsa d bypass dgn mudah, tapi klo di combine dgn plugin yg meminta isi captcha gitu saya lebih merasa aman, tapi ko nih plugin ngilang ya? kaga nemu2 saya, ngumpet dimana coba mas? ayo mas! mas yg umpetin yah?
thanks gan informasinya,
sudah saya hapus nih stelth loginnya,
alasan di hapus sama wordpress,, saya belum nemu tapi banyak user yang mengatakan, blog yang memakai stealth login blognya menjadi down, alias semua post menjadi dead link
iya sih gan maka’y dah ga nemu lg tuh plugin’y, cmn kata’y klo mo di pasang lg bisa gan, cara’y tuh plugin di deactivate dulu, trus hapus record’y yg ada di httaccess. setelah di hapus, baru pasang kembali plugin stealth login’y, tambahin pk captcha mas biar g mudah di bruteforce, cmiiw
saya menggunakannya masih normal gan, cuma pas baca di blog yang bermasalah,, jalannya memang normal tapi ada suatu kondisi tertentu semua post jadi deadlink (teredirect)..
makanya dari pada ntar suatu hari bermasalah saya cabut,,
terima kasih atas sarannya.. sepertinya cukup pake limit login attemps saja, lockoutnya di set ke angka satu 🙂
WordPress Firewal 2 plugin wajib buat saya gan
Ngomong2 nyembunyiin URL Login kayanya dah ga efektif gan, karena bulan kemaren sy monitor ada yang iseng nyoba bobol beberapa blog saya dan sy juga pake plugin buat sembunyiin URL Login tapi ketauan juga (sy taunya dari notifikasi WordPress Firewal 2 ada yg akses url login yg sy umpetin itu) artinya tu orang bisa tau url login kita dirubah kemana
Selain pake plugin kayanya coba cek satu2 theme2 nya terutama yg gratisan dan dah lama ga diupdate, karena bisa jadi celah juga (waktu itu sy dapetin ada yg coba baca direktori wp theme dan terus2an nyari theme2 gratisan itu buat dibobol kayanya / tapi lupa theme apa aja)
Yang paling penting update plugin & WP nya jangan lupa, karena kemaren 1 blog sy kena inject dari plugin yg kelamaan ga diupdate (jadi di footer dan dibawah title artikel muncul 1 link ke luar) untung keburu ketauan
baru tahu gan, klo sudah diganti loginnya tetap ketahuan. padahal sya punya rencana untuk mengganti url login wordpress dengan cara manual. mengingat stealth login sudah dihapus sama wordpress.org.
klo themes gratisan,, themes yang saya gunakan juga gratis, belum tau ada updatenya atau tidak.. selain itu, saya juga sudah menghapus themes yang tidak digunakan
BTW trims atas infonya
pantesan saya search2 stealth login untuk dipasang di blog baru kok gak ada2 eh2 ternyata dah dihapus…mana yang blog lagi 1 masih terpasang lagi…segera akan dihapus seperti saran mas adhan.thx
wordpress firewall 2 aneh gan, tiap kali ngedit wordpress lewat dashboard selalu direct ke homepage jadi memang harus dinonaktifkan dulu
memang seperti itu gan cara enaknya,
nonaktifkan dahulu firewall 2 apabila ingin mengedit themes
pantes, klo komen ane selalu diminta login k wp..
nice infony
Blog saya kena hack!
Padahal sudah aku Firewall 2.
coba pakai limit login attemps gan
Mas Dhani, masih relevankan info yang mengatakan wordpress firewall sering memblock googlebot dan membuat restricted di googlewebmaster?
blog ini setelah saya pasangin cloudflare sudah tidak pernah lagi kena sql injection attack mas.
percakapan yang saya tangkap dari blog mas lutvi di wordpress.or.id kalau ada notifikasi plugin ini di email, coba cek kembali ip addressnya kalau punya google tinggal dimasukkan saja di bagian whitelist di plugin ini
Sekedar bagi pengalaman aja mas… sejak pasang firewall awal thn 2013, halaman yg terindex oleh googlebot menurun drastis, dari >10 rb mjd hanya sekitar 1-2 rb halaman… efeknya kunjungan pun menurun mjd hanya 20% dr sebelumnya…
Mas Dani, bagaimana cara mengetahui ip addres itu punya google ato bukan?
maaf saya tidak tahu mas,
kalau index halaman menurun drastis, coba cek file robot.txt, sapa tahu ada yang ngeblokir. memang wordpress firewall 2 ini stelah saya melakukan searching di beberapa halaman google, saya menemukan beberapa contoh kasus. bagi sebagian orang plugin tersebut membawa banyak masalah.
dan ada yang menyarankan agar mendisable plugin kemudian menggantinya dengan plugin security lain. ternyata setelah saya melihat di halaman wordpress.org, plugin ini sudah 3 tahun tidak pernah update. sehingga saya juga memutuskan untuk mendisable dan mendeletenya,
informasi terkait, mas jo. widiya bisa ke halaman ini sebagai referensi
http://wordpress.org/support/topic/plugin-wordpress-firewall-2-google-images-and-yahoo-images-causing-false-positives
http://talkingmanuals.com/wordpress-plugin-reviews/wp-security/