Salah satu masalah utama dengan teknologi adalah penyimpangan dalam keamanan sering kita alami, banyak informasi yang dicuri setiap hari dan digunakan untuk mencuri informasi lebih banyak lagi, mengirimkan pesan spam, backdoors terbuka untuk sistem dan terkadang bahkan merusakan komputer kita.
Tak satu pun dari masalah ini diketahui WordPress, jumlah mengejutkan dari situs yang telah menjadi korban penjahat yang tidak menyenangkan, mengeksploitasi masyarakat untuk keuntungan pribadi mereka sendiri.
Agar mengurangi kekhawatiran anda terhadap ancaman ini kami telah mengumpulkan suatu kumpulan beberapa tools dan tips yang baik, tentang cara untuk menghindari menjadi korban berikutnya. Atau jika Anda tidak cukup beruntung karena sudah menjadi korban, bagaimana melawan dan memperbaiki instalasi Anda.
TimThumb rentan terhadap serangan semacam ini. Salah satu fungsinya, yang memungkinkan pengguna untuk meng-upload gambar dari berbagai situs dan mengaksesnya secara bebas, gambar yang tersimpan dalam direktori cache sehingga Timthumb yang tidak perlu memproses ulang lagi. Fungsi ini bisa dimanfaatkan oleh hacker meng-upload file ke server, yang memungkinkan mereka mengakses ke banyak sumber dari instalasi WordPress yang mereka inginkan.
Masalah yang sama persis memengaruhi Uploadify, sebuah plugin yang memungkinkan pengguna untuk meng-upload file. Bila tidak terkontrol, plugin memungkinkan akses hacker gratis untuk situs dengan meng-upload script PHP untuk memberikan izin akses.
Masalah dalam kasus ini, seperti dengan sebagian besar serangan eksploitasi, tidak WordPress melainkan plugin sendiri. Solusinya sederhana, menjaga plugin Anda up to date dan melaporkan bug yang Anda temui kepada developer untuk membantu mereka agar memperbaiki masalah potensial.
Alasan serangan SQL bisa begitu menjengkelkan adalah untuk memerangi mereka, Anda harus sering backup database Anda. Paling sedikit sekali per hari.
Untuk menghindari itu, Anda bisa mencoba untuk mengamankan file Anda menggunakan Apache dengan kode seperti ini di file htaccess Anda.:
Satu-satunya tempat yang aman untuk menyimpan password di dalam kepala Anda sendiri.
Namun, bahkan jika Anda hanya pernah menyimpan sandi dalam memori Anda sendiri, Anda masih belum aman dari serangan brute force. Sebuah serangan kekerasan hanya akan mencoba untuk 'menebak' password Anda dengan berulang kali mencoba untuk log in, Mungkin mulai dengan 'aaaaaa', melanjutkan ke 'aaaaab' dan seterusnya sampai mencapai '000000 '. Proses ini tidak terbatas pada satu komputer, biasanya ratusan mesin dijalankan melalui password potensial mencari akses.
Salah satu cara untuk menangani serangan brute force adalah dengan menginstal limiter login yang hanya akan mengizinkan mencoba login beberapa saat sebelum pemblokiran akses untuk pengguna selama satu jam atau lebih. Hal ini mengurangi jumlah kemungkinan penyerang 'harus masuk'. Ada beberapa plugin WordPress yang dapat membantu Anda dengan ini: Limit Login Attempts, Better WP Security dan Login Security Solution.
Jika Anda tidak yakin apakah situs anda telah terinfeksi ada alat yang akan memberitahu Anda. Sucuri SiteCheck misalnya akan memindai situs anda dan jika anda terinfeksi, akan memberitahu anda tentang langkah apa yang harus diambil untuk memperbaiki masalah.
Perbaikan dasar
Berikut adalah beberapa langkah dasar untuk diambil:
Ditulis untuk WDD oleh The Shock Family: Tim profesional web dan pencipta WordPress Theme Shock (Tema Wordpress Premium), WP theme Generator (Seorang pencipta wp great theme), dan DesignShock (set desain yang berguna).
 |
| Repair Image via Shutterstock |
Tak satu pun dari masalah ini diketahui WordPress, jumlah mengejutkan dari situs yang telah menjadi korban penjahat yang tidak menyenangkan, mengeksploitasi masyarakat untuk keuntungan pribadi mereka sendiri.
Agar mengurangi kekhawatiran anda terhadap ancaman ini kami telah mengumpulkan suatu kumpulan beberapa tools dan tips yang baik, tentang cara untuk menghindari menjadi korban berikutnya. Atau jika Anda tidak cukup beruntung karena sudah menjadi korban, bagaimana melawan dan memperbaiki instalasi Anda.
Exploit Attacks
Anda mungkin pernah mendengar tentang hal itu, Anda bahkan dapat mengetahui rinciannya, tetapi bagi mereka yang belum di sini masalahnya: mengeksploitasi adalah bagian dari kode berbahaya yang didistribusikan untuk mengeksploitasi kelemahan dalam kode yang ada.
TimThumb rentan terhadap serangan semacam ini. Salah satu fungsinya, yang memungkinkan pengguna untuk meng-upload gambar dari berbagai situs dan mengaksesnya secara bebas, gambar yang tersimpan dalam direktori cache sehingga Timthumb yang tidak perlu memproses ulang lagi. Fungsi ini bisa dimanfaatkan oleh hacker meng-upload file ke server, yang memungkinkan mereka mengakses ke banyak sumber dari instalasi WordPress yang mereka inginkan.
Masalah yang sama persis memengaruhi Uploadify, sebuah plugin yang memungkinkan pengguna untuk meng-upload file. Bila tidak terkontrol, plugin memungkinkan akses hacker gratis untuk situs dengan meng-upload script PHP untuk memberikan izin akses.
 |
| Maintenance via Shutterstock |
SQL Injection
Instalasi WordPress itu sendiri tidak kebal terhadap masalah. Tergantung pada versinya, SQL injection bisa menjadi penyebab penyakit kepala anda. SQL injection adalah sebuah proses di mana seorang penyerang berusaha untuk lulus kode SQL melalui formulir di website atau script dengan harapan bahwa kode SQL akan mengurai 'benar' dan mengambil data dari database. Data itu mungkin berupa alamat email, tapi lebih mungkin lagi, itu akan menjadi username dan password yang kemudian akan memberikan pengguna akses yang lebih untuk serangan lainnya.Alasan serangan SQL bisa begitu menjengkelkan adalah untuk memerangi mereka, Anda harus sering backup database Anda. Paling sedikit sekali per hari.
Untuk menghindari itu, Anda bisa mencoba untuk mengamankan file Anda menggunakan Apache dengan kode seperti ini di file htaccess Anda.:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp: [NC,OR]
RewriteCond %{QUERY_STRING} http: [NC,OR]
RewriteCond %{QUERY_STRING} https: [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>
Ini akan menunda seorang pemula, tetapi hacker profesional akan menemukan lubang keamanan lain untuk mengeksploitasi. Untungnya sebagian besar serangan yang dilakukan oleh pemula atau spammer, menggunakan script seperti PHP R57 atau Shell. Mengurangi serangan ini akan sangat mengurangi jumlah masalah yang harus berurusan dengan anda. Default User
Lubang keamanan terbesar dalam setiap sistem adalah pengguna akhir. Tidak peduli seberapa rumit password yang Anda buat. Bahkan semakin password itu kompleks, semakin buruk risiko keamanan, karena password yang sangat kompleks harus disimpan di suatu tempat. Pengguna sering menyimpan password dalam. Txt atau file doc pada komputer mereka dan itu meninggalkan sistem yang terbuka untuk serangan phishing menggunakan file virus seperti trojan.Satu-satunya tempat yang aman untuk menyimpan password di dalam kepala Anda sendiri.
Namun, bahkan jika Anda hanya pernah menyimpan sandi dalam memori Anda sendiri, Anda masih belum aman dari serangan brute force. Sebuah serangan kekerasan hanya akan mencoba untuk 'menebak' password Anda dengan berulang kali mencoba untuk log in, Mungkin mulai dengan 'aaaaaa', melanjutkan ke 'aaaaab' dan seterusnya sampai mencapai '000000 '. Proses ini tidak terbatas pada satu komputer, biasanya ratusan mesin dijalankan melalui password potensial mencari akses.
Salah satu cara untuk menangani serangan brute force adalah dengan menginstal limiter login yang hanya akan mengizinkan mencoba login beberapa saat sebelum pemblokiran akses untuk pengguna selama satu jam atau lebih. Hal ini mengurangi jumlah kemungkinan penyerang 'harus masuk'. Ada beberapa plugin WordPress yang dapat membantu Anda dengan ini: Limit Login Attempts, Better WP Security dan Login Security Solution.
 |
| Clean up via Shutterstock |
Terlambat?
Tidak pernah ada kata terlambat. Anda selalu dapat memerangi hacker, dan mencegah diri dari menjadi korban abadi.Jika Anda tidak yakin apakah situs anda telah terinfeksi ada alat yang akan memberitahu Anda. Sucuri SiteCheck misalnya akan memindai situs anda dan jika anda terinfeksi, akan memberitahu anda tentang langkah apa yang harus diambil untuk memperbaiki masalah.
 | |
| Hazard via Shutterstock |
Perbaikan dasar
Berikut adalah beberapa langkah dasar untuk diambil:
- Backup situs dan database, dihack atau tidak, anda tentu tidak ingin kehilangan konten Anda.
- Membuat salinan dari item yang tidak ada dalam database anda, seperti gambar.
- Download versi terbaru dari WordPress.
- Pastikan semua plugin yang up to date, memeriksa versi mana yang diketahui bermasalah.
- Pastikan setiap template yang up to date, memeriksa versi mana yang diketahui bermasalah.
- Gunakan klien FTP atau cPanel untuk menghapus segala sesuatu di direktori WordPress.
- Upload file baru anda yang telah didownload.
- Jalankan upgrade database.
- Ubah password anda, anda tidak ingin membiarkan hacker langsung kembali masuk.
- Akhirnya, memeriksa setiap pos, memperbaiki kerusakan yang telah dilakukan.
Ditulis untuk WDD oleh The Shock Family: Tim profesional web dan pencipta WordPress Theme Shock (Tema Wordpress Premium), WP theme Generator (Seorang pencipta wp great theme), dan DesignShock (set desain yang berguna).
0 Response to "Seberapa amankah situs Wordpress Anda?"
Post a Comment