Cara High Security Wordpress

Kali ini saya akan share tutorial tentang bagaimana mengamankan website wordpress dari tangan para attacker dan defacer.
Sebelum masuk ke pembahasan tutorialnya, kita akan membahas tekhnik yang sering di pakai para attacker untuk menyerang suatu website, beberapa tekhnik diantaranya adalah SQLI, LFI, RFI dan XSS. Adapun penjelasan tekhnik di atas sahabat Thama bisa mencarinya di berbagai mesin pencari yaitu MBAH GOOGLE. Ok, di sini kita akan membuka sedikit tentang tekhnik SQLI. Teknik SQLI adalah teknik pentester yang di pakai attacker untuk mendapatkan user dan password suatu website. Setelah mendapat user dan password tersebut attacker akan masuk melalui page admin website tersebut, biasanya, attacker akan menanam shell atau backdoor terlebih dahulu sebelum melakukan hal hal yang lain. Ini untuk versi beginner, kalau untuk versi dewa, dengar dengar sich, katanya tidak perlu melalui page admin untuk tanam shellnya.
( teknik gabungan gitu, SQLI dan LFI frend katanya ) Heheuy  
Dari penjelasan di atas kita dapat mengambil kata kunci yaitu page admin. 

Kenapa ?
karena dalam worpdress, page admin defaultnya adalah webku.com/wp-admin yang akan redirect ke webku.com/wp-login.php. hal inilah yang membuat para attacker dengan bebas melakukan serangannya. Adapun solusi cara mengamankannya adalah dengan menganti page admin default wordpress kita. Jadi, walaupun si attacker berhasil mendapatkan user dan password webiste kita, tapi dia tidak tahu page admin worpdess kita, berarti website wordpress kita aman dong. cara ini di sebut juga dengan menyembunyikan page admin wordpress.
Adapun langkah langkah cara mengganti page admin default wordpress adalah sebagai berikut
SECURITY VERSI 1

1. Masuk ke Cpanel wordpress kalian
2. Masuk “File Manager“
3. Cari file wp-login.php, biasanya di Public_Html
4. Ganti wp-login.php menjadi alamat Login anda misalkan loginmacho.php
5. Buka file loginmacho.php ganti wp-login menjadi, contoh nya disini gue pakai kata loginmacho  ada 10 char disitu, Capek kan!

Save

1. setelah semua berhasil, hapus wp-login.php, ya kalau file ini masih ada, harus di hapus ini.
2. oke sekarang kita test, webku.com/wp-admin, biasanya kalau kita masuk wp-admin akan otomatis redirect ke webku/wp-login.php
3. tara, hasilnya 404 not found,
4. skrg coba masuk kw webku/masuktulang.php,
5. tara, akhirnya kita berhasil —–>  jangan lupa ucap alhamdulillah, only muslim 

Catatan : buatlah alamat Login sobat dengan nama yang tidak umum, agar tools admin finder tidak dapat mendeteksi page admin sobat.
Salah satu kelebihan cara di atas adalah, Walaupun di cari menggunakan tools admin finder, page admin web kita tidak akan ketemu, karena tools admin finder mencari page admin yang default atau umum di pakai oleh orang, sesuai dengan list admin yang telah kita masukan.
kelemahan dari cara ini, menurut saya saja, tapi ini belum saya buktikan.
Kelemahannya adalah web di scan menggunakan tools crwl, like acunetix dan webcruiser, dll. Dalam hal ini saya butuh teman teman semua untuk membukitkan hasil scanner tools di atas, apakah benar dari hasil crawl tersebut page admin kita dapat di ketahui.

Adapun tutorial mengamankan website wordpress yang lainnya adalah dengan merubah chmod file config.php yang ada di worpdress sobat semua.

SECURITY VERSI 2

1. Masuk ke Cpanel wordpress kalian
2. Masuk “File Manager“
3. Public_Html – wp-config.php ( rubah chmod nya ke 400 )

Adapun fungsi dari merubah chmod wp-config.php adalah :
Tentunya sahabat Thama semua sudah mengetahui tekhnik symlink, yaitu tekhnik untuk mendapatkan config suatu website untuk melakukan jumping ke website lain yang masih satu server dengan website pertama. Adapun cara melindungi website kita dari tekhnik symlink adalah dengan merubah chmod dari file config kita. jadi perannya adalah, apabila ada seorang attacker yang melakukan symlink di server website kita, maka config dari website kita tidak ter detect atau terbaca di di tekhnik symlink si attacker.

SECURITY VERSI 3
Kasusnya seperti ini, mungkin para sahabat Thama sudah pernah menanam shell pada worpdress, yg tekhnik pentesternya menggunakan teknik SQLI, yaitu langkah langkah dalam menanam shell di wordpress,

1. Masuk ke website target melalui admin page, setelah berhasil masuk
2. Pilih menu Appereance pilih editor – ( theme-editor.php )
3. Pilih 404.php atau yang lainnya, copy kan script shell sobat di 404.php
4. Terus klik Update file ( untuk menyimpan shell kita ke website target )
5. Shell telah tersimpan di website target, saatnya di panggil
6. Webku.com/wp-content/themes/theme_yang_aktif/404.php

Dari langkah langkah menanam shell di atas, kita dapat mengambil kesimpulan bahwa, shell dapat tersimpan di website target apabila menu editor aktif pada wordpress kita. sehingga mengizinkan si attacker menanam shell ataupun merubah file pada wordpress kita.

Solusi dari kasus di atas adalah mendisable kan atau menonaktifkan dari menu editor di atas, agar si attacker tidak bisa menanam shell atau merubah file pada wordpress kita.

Adapun langkah langkah nya adalah sebagai berikut :

1. Masuk ke Cpanel wordpress sobat
2. Masuk “File Manager“
3. Public_Html – wp-config.php
4. Klik edit, tambahkan file ini di wp-config.php

define(‘DISALLOW_FILE_MODS’,true);

Saran saya di bawah tulisan ini “  define(‘DB_USER’, ‘username_here’);  “

Trus klik save change , pasti tidak bisa kan, ini karena chmod dari file wp-config.php sobat masih 400, rubah dulu chmod nya ke 0644, setelah chmod di rubah ke 0644, mari kita coba simpan kembali, klik save change, setelah berhasil tersimpan, jangan lupa mengembalikan chmod dari file wp-config.php sobat ke chmod 400 kembali.
Yang wajib sahabat Thama tahu tentang fungsi dari script di atas adalah,
Script di atas juga berfungsi untuk mendisble –à mengganti theme, upload theme, semua yang berhubungan dengan thema wordpress di non aktifkan, jadi, bagi sobat Thama yang ingin mengganti theme pada wordpress, harus menghapus script ini dulu di wp-config.php sobat. Sebelumnya rubah dulu chmod wp-config.php nya ke chmod 0644, setelah theme wordpress selesai di ganti, jangan lupa menambahkan script itu kembali di wp-config.php dan merubah kembali chmod wp-config.php nya ke 400 ( wajib di ingat langkah langkahnya ). Kalau tidak END :v

Script di atas juga berfungsi untuk mendisble –à add new plugin, ini dilakukan untuk mengantisipasi agar attacker tidak bisa menanam shell di wordpress kita melalui plugin. Bagi sobat Thama yang ingin menambah plugin pada wordpressnya, bisa mengikuti langkah langkah yang sama dengan mengganti theme di wordpress, harus menghapus script tersebut  terlebih dahulu di wp-config.php sobat. Sebelumnya rubah dulu chmod wp-config.php nya ke chmod 0644, setelah itu baru di hapus scriptnya – save – baru bisa add new plugin di wordpress, dan jangan lupa merubah kembali chmod wp-config.php nya ke 400. Ribet banget ya, he he he, ini juga biar wordpress kita aman dari tanggan attacker yang tidak bertanggung jawab. 
Saran tambahan dari sidoarjo blackhat sebaiknya sobat merubah juga chmod semua file theme yang berada di theme-editor.php dari chmod 0644 ke chmod 0444 melalui cpanel sobat. Ini berguna agar file yang berada pada theme-editor.php tidak dapat di rubah. Lihat gambar di atas

SECURITY VERSI 4
Security WordPress menggunakan Plugin.
http://wordpress.org/extend/plugins/anti-hacking-tools/
ini adalah plugin buatannya bang jasman ihsana, admin explorecrew, fungsinya adalah sebagai berikut “ Easy way in protect your blog from hacking tools, ircbot (botnet), fake browser or hacking technique “. Fungsinya melindungi website kita dari hacking tools, dari scanner melalui ircbot dan fake browser atau teknik hacking lainnya.
Tambahan dari security versi 4 ini adalah file .htaccess,
Ini dia scriptnya, simpan dengan nama .htaccess    trus upload di Public_Html ( Cpanel )

menulis script .htaccess 

//save this command on .htaccess

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} SF [OR]
RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwhisker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR]
RewriteCond %{HTTP:Acunetix-Product} ^WVS
RewriteRule ^.* http://127.0.0.1/ [R=301,L]

Adapun fungsi dari script .htaccess ini menurut saya, apabila ada attacker yang mencoba scan menggunakan tools scanner seperti w3af, dirbuster, nikto, SF, sqlmap, fimap, nessus, whatweb, Openvas, jbrofuzz, libwhisker, webshag, WVS, dia akan men scan localhostnya sendiri.
SECURITY TAMBAHAN
-          UPDATE dengan dunia HACKING
-          Coba scan terlebih dahulu web sobat menggunakan tools audit security tools, seperti webcruiser, acunetix, nikto, vega, whatsweb, dan tools lainnya. Bagi pengguna OS seperti kali linux, sebagian tools tersebut sudah termasuk di dalam OS nya. Jadi coba aja scan sendiri, apabila terdapat vuln, maka segeralah patch vuln tersebut.
-          Jangan gunakan user ADMIN untuk user web sobat, karna apabila sobat menggunakan user admin, attacker tinggal menggunakan tools bruteforce buat menemukan password web sobat.
-          Usahakan memberikan password yang terdiri dari huruf, angka dan tanda simbolik, agar kekuatan password sobat kuat. Dan ini harus sobat lakukan tentunya.,.,.

Terima kasih telah membaca blog saya yg kecil ini.,.
Mohon komentar dan saran nya :)

Share this post