Docstoc

10 LUBANG KELEMAHAN WORDPRESS

Document Sample
10 LUBANG KELEMAHAN WORDPRESS Powered By Docstoc
					      10 LUBANG KELEMAHAN WORDPRESS, WASPADALAH !

                                   Disclaimer And /or Legal Notices

 Walau penulis dan penerbit produk ini sudah berusaha semaksimal mungkin untuk menyajikan informasi
  yang akurat dan benar, penulis dan penerbit produk ini tidak bertanggung jawab atas kehilangan atau
kerugian yang disebabkan oleh informasi di paket ini. Walau di paket ini ada referensi ke pihak ketiga, baik
 website mau pun organisasi, itu tidak berarti bahwa penulis dan penerbit menyetujui dan merekomendasi
                               informasi yang disediakan oleh pihak ketiga.

Pembaca harus sadar bahwa website yang ditampilkan di paket ini mungkin sudah berubah atau tidak ada,
   antara periode paket ini ditulis dan dibaca. Adalah tanggung jawab pembaca untuk mematuhi semua
  peraturan dan hukum, baik hukum regional, nasional atau pun international. Nasehat dan strategi yang
           ditulis di paket ini mungkin tidak cocok dan tidak bisa diterapkan untuk setiap situasi.




Distribution Rights
   • May be SOLD - YES
   • Giveaway Rights - YES
   • Offered as a Bonus - YES
   • Packaged with Other Products - YES
   • Added to Paid Membership Websites - YES
   • Added to Free Membership Websites – YES
   • May Publish Offline : YES
   •
PERHATIAN : Bagi Anda yang benar-benar pemula saya SANGAT SARANKAN utk
melakukan LATIHAN TERSENDIRI KHUSUS buat mempelajari panduan ini,
jangan dilakukan di blog yang sekarang LIVE . Buat saja sub domain baru dan install
wordpress baru, lalu praktekkan panduan ini, cek apakah mengganggu wordpress
Anda atau tidak. DO WITH YOUR OWN RISK !! (YOU HAVE BEEN WARNED )


        +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011
Agan-aganwati yg budiman, report ini saya persembahkan untuk rekan-rekan
adsense-id sebagai salah satu sumbangsih saya terhadap forum tercinta, Adsense-
id.com. Berikut 10 Kelemahan WORDPRESS yang harus segera diperbaiki.


 1# Readme.html (berada di root folder, tempat wordpress diinstall)

Setiap Anda menginstall wordpress, baik secara manual maupun otomatis dengan
Fantastico atau Softaculous, selalu ada readme.html nya. Lalu kenapa dengan
readme.html nya ? Bukannya setiap software apapun selalu disertai dengan file
readme ? Betul, namun di sini file readme.html akan memberitahu kepad khalayak
ramai mengenai versi wordpress yang kita pakai. Kenapa begitu, karena masing
masing versi wordpress selalu saja ada bug buat securitynya. Ini yang harus kita
hindari. Caranya ? Ada dua hal yang bisa agan-aganwati lakukan, menghapusnya atau
memproteksinya dengan .htaccess

Rekomendasi saya : DELETE !




       +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011
    2# wp-admin/install.php masih bersarang di folder wp-admin

Lagi-lagi, file yang ada di folder wp-admin ini selalu TERTINGGAL ada saat installasi
selesai, dan file itu cukup berbahaya bila masih terus ada disana.
Rekomendasi saya : DELETE !




    3# wp-admin/install-helper.php bersarang di folder wp-admin

File yang juga ada di folder wp-admin ini juga menurut saya tidak berguna lagi.
Kalau yang saya lakukan adalah : DELETE !


 4# User Admin [USER ADMIN STANDAR ; brute password attack]

User admin sebetulnya bukanlah terdaftar otomatis untuk wordpress Anda, namun
saat kita mau menginstall wordpress baik dengan memakai Fantastico maupun
Softaculous kita sering mengindahkannya, jadi dengan tetap membiarkan username
“admin” itu sebagai username standar, padahal kita bisa menggantinya dengan nama
kita sendiri,atau “xxx” misalnya.

Gambar di bawah menunjukkan bahwa wordpress yg kita pakai memakai “admin”
sebagai usernamenya dan si hacker tinggal, mencrack passwordnya agar bisa masuk...
( Dasaaaaaaar Maling )




       +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011
Gambar pass error, tpi usernamenya “admin” gampang ketahuan :




Lalu bagaimana Cara mengganti Username “admin” saya ?? di dashboard wp-admin
Anda tidak bisa mengganti username begitu saja, yang bisa Anda lakukan disana
hanyalah mengganti passwordnya.




Anda bisa melakukannya , lewat phpmyadmin di hostingan Anda,
     → dari Phpmyadmin Anda pilih databasenya
     → Pilih “wp_user”
     → Centang “Edit”
     → Di kolom user login Ganti “admin” menjadi terserah Anda
     → Lalu klik “Go”




      +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011
       5# PREFIX DATABASE “wp_ “ RAWAN SQL INJECTION

Lagi-lagi, bila kita memakai Fantastico, prefix dari database yg dibuat biasanya juga
ter”create” secara otomatis dan prefix itu adalah “wp_”, karena semua wp yg terinstall
memakai “wp_”, maka ini menjadi sasaran empuk buat buat hacker untuk melakukan
suntikan, biasa disebut, SQL Injection. Dan ini BERBAHAYA. Karena itulah Anda di
sarankan untuk segera menggantinya dari “wp_” menjadi “terserah_saya”.


                     6# Wordpress Version “view source”

Ini sangat disepelekan oleh kebanyakan kita, apalagi ini jarang dilihat oleh banyak
orang, siapa bilang. Justru para hacker biasanya pertama kali melihat targetnya adalah
dari “view source” di halaman utama. Dari sana akan terlihat jenis wordpress apa
yang kita pakai, bahkan plugin dan themes apa saja yang kita gunakan juga terlihat
disana.

Rekomendasi saya : DELETE !

Gambar View source




         7# Themes atau plugin yg mengandung malcious code

Gratisan, inilah “kegemaran” kita, apalagi jika kita sering mengoleksi themes-themes
cantik, atau themes-themes yang dianggap akan meningkatkan “CTR” buat iklan
seperti adsense atau yang lainnya. Mungkin di antara kita juga sering mengoleksi
themes-themes premium yang NULLED atau CRACK an, namun kita sering tidak sadar
bahwa themes-themes tersebut mengandung kode-kode yang membahayakan
wordpress kita, diantara ciri-cirinya adalah kode-kode php yang di enkripsi oleh
mereka, sehingga sulit bagi kita untuk menerjemahkan kode apa itu, kecuali kita
memang mampu untuk men”decrypt” kode tersebut. Kita bisa saja menghapus file
enkripsi itu,namun biasanya, themesnya TIDAK AKAN JALAN ! Atau mungkin JALAN,

       +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011
tpi disana ditaruh “GPS” oleh si pembuat kode agar dia bisa memonitor themesnya.

Cara mengetahuinya ? Anda harus cek satu-satu file yang ada di themes maupun
plugin, apakah ada kode-kode jahat itu.

SARAN SAYA : PAKAILAH THEMES-THEMES atau PLUGIN yang BERSIH !


              8# folder wp-admin TIDAK DISEMBUNYIKAN

Hampir semua kita jadi tahu dan mengenal , bahwa setiap pintu masuk ke ruangan
admin wordpress adalah lewat wp-admin, jadi kita masuknya ke lewat
hxxp://domainkita(.com)/wp-admin dan nanti biasnya akan di forward ke
hxxp://domainkita(.com)/wp-login.php, wah kalo bisa mah “DIUMPETIN DEH”, dan
bikin url yang tidak bisa “dikira-kira” orang , misalnya :
hxxp://domainkita(.com)/837dh379785, “kan enak tuh cuma kita aja yang tahu”. Dan
di wp ada kok caranya kita bisa memodifikasi pintu masuk kita. Cuma tidak semua
orang bisa dan mau memodifikasi, karena : (1.) Melibatkan coding-codingan, (2.)
Takut wordpressnya MALAH KACAWW

                  9# Folder wp-admin TIDAK TERKUNCI

“Udah folder wp-admin-nya nggak DIUMPETIN...MALAH NGGAK DIKUNCI LAGI ! “
Waduuuuuuh, bener-bener sasaran empuk nih. Sudah ! mulai sekarang,
Pertama,Sembunyikan Pintu Masuknya , Kedua, Kunci Rapat-Rapat Pintunya ( Double
Protection ).
Saran : Beri kunci tambahan berupa .htaccess ( bisa di copy dari .htaccess root folder)

          10# File Permission wp-config.php TIDAK TERKUNCI

File wp-config.php merupakan file standar untuk mengunci root folder dari para
penyusup, cuma terkadang, kita suka memakai plugin-plugin yang terkadang
mengharuskan file ini di rubah permissionnya menjadi bisa diakses oleh siapapun.
Karena itu Anda harus mengganti file permission menjadi 644.




       +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011
Demikian 10 Celah Kelemahan wordpress yang harus segera di atasi supaya tidak
menjadi bulan-bulanan, Tapi ternyata celah keamanan wordpress tidak hanya 10 tapi
PULUHAN ! ( Ini berdasarkan temuan saya saja )

Jika Anda memiliki blog wordpress yang sudah bagus visitornya, bagus backlinknya,
bagus earningnya, SANGATLAH DISAYANGKAN bila mengesampingkan ASPEK
SECURITY.

              MENCEGAH LEBIH BAIK DARIPADA MENGOBATI

Semoga Bermanfaat.
Salam
→ Bankir ←


 Bagaimana Bila Anda Ingin Memproteksi Wordpress dengan
   AMAN, MUDAH, CEPAT, dan Tools GRATIS ?
                Klik “ TOP SPECIAL SECURITY AGENT “ di bawah




       +13 Powerful Weapons Anti H4CKED for Your Wordpress – Bankir © 2011

				
DOCUMENT INFO
Shared By:
Categories:
Stats:
views:372
posted:12/28/2011
language:Indonesian
pages:7
Description: 10 LUBANG KELEMAHAN WORDPRESS