Apabila sesebuah website menjadi terkenal, kebiasaanya semakin banyak spam comment yang diterima. Begitu juga dengan cubaan untuk diceroboh atau hacked. Kesan daripada WordPress anda diceroboh atau hacked sangat menggerunkan. Ada kemungkinan anda terpaksa menutup sementara website anda dan memperbaiki atau membina semula website dengan backup-backup yang ada. Malah, anda juga mungkin terpaksa menghubungi pihak hosting kerana panel hosting atau ftp anda berjaya dipecahkan. Oleh kerana itu, isu keselamatan sememangnya tidak boleh dikompromi kerana ia akan menyebabkan kesusahan daripada pihak anda sendiri. Maka dalam artikel kali ini, saya akan berkongsi sedikit beberapa isu keselamatan yang perlu kita ambil perhatian dan beberapa perkara yang mungkin boleh membantu apabila WordPress kita diceroboh.
Antara perkara-perkara yang perlu dititikberatkan:
1. Sentiasa pastikan WordPress anda adalah versi terbaru.
Kebanyakan daripada kita tidak nampak kepentingan versi terbaru memandangkan mungkin tidak banyak perubahan dari segi user interface. Walaubagaimanapun, sebahagian update versi terbaru WordPress memperbaiki kelemahan pada bahagian keselamatan. Sila beri perhatian pada wordpress update yang dikategorikan sebagai kritikal dan sangat penting. Memandangkan encik WordPress biasanya akan memaparkan kelemahan atau bugs versi lama kepada umum apabila versi baru dikeluarkan, ia akan membahayakan anda sendiri jika anda terlewat untuk update kepada versi terbaru. Sebahagian masalah dalam WordPress juga boleh selesai hanya dengan update versi terbaru.
Mungkin sebahagian daripada kita tidak suka update terlalu awal bagi memberi laluan kepada plugin update dan isu-isu yang mungkin timbul atau terlalu sibuk dengan urusan lain. Maka langkah seterusnya adalah sangat penting kepada anda
2. Melindungi versi WordPress yang anda gunakan.
Ada beberapa versi WordPress yang telah diketahui atau diumumkan oleh WordPress sendiri bugs dan masalah yang terdapat dalam versi WordPress tersebut. Apabila hackers mengetahui versi WordPress yang anda gunakan, ini bermakna hacker tersebut boleh mencari hole atau mengambil kesempatan atas kelemahan yang ada dalam versi WordPress tersebut.
Walaubagaimanapun, merahsiakan atau menyembunyikan versi WordPress disemua tempat dalam theme anda akan memenatkan diri anda sendiri. Maka, penggunaan plugin Secure WordPress boleh membantu anda.
Selain daripada melindungi versi WordPress yang anda gunakan, plugin ini berkemampuan menutup plugin update, theme update serta core update kepada user lain yang bukan berstatus admin. Anda juga boleh membuang maklumat ralat di login page. Apa yang membuat plugin ini lebih menarik, anda boleh memilih sendiri fungsi yang anda inginkan. Perlu diingatkan, plugin ini boleh menyebabkan peningkatan masa page load website anda.
3. Menukar table prefix anda
Kebiasaanya table prefix bermula dengan “wp_”. Begitu juga anggapan hackers apabila ingin menggodam WordPress anda. Maka dengan menukar table prefix kepada perkataan atau huruf lain, anda boleh menyekat kebanyakan serangan SQL-Injection. Jika anda install WordPress menggunakan installation script, salah satu installation script yang membenarkan anda mengubah table prefix semasa proses pemasangan ialah installatron. Anda boleh rujuk artikel Install WordPress Menggunakan Installatron bagi mendapatkan maklumat lebih lanjut.
4. Menukar nama admin account.
Perkara ini rasanya sangat jelas dan mudah. Pastikan anda tidak menggunakan nama default admin account anda yang diberikan semasa pemasangan WordPress. Penggunaan nama admin sebagai user sangat merbahaya.
5. File permission
Sepatutnya anda sedia maklum denga file permission yang sepatutnya anda letakkan pada direktori dan file WordPress anda. Bagi direktori, file permission yang dicadangkan oleh oleh encik WordPress ialah 755 dan file ialah 644. Pastikan juga wp-config anda hanya boleh dibaca oleh anda dan web server iaitu samada 400 atau 440.
6. Firewall
Anda pasti biasa dengan perkataan Firewall. Windows anda mempunya firewall, antivirus anda mungkin terdapat firewall juga hosting biasanya mempunya firewall mereka sendiri. WordPress juga tidak terkecuali jika anda ingin mempunyai firewall. Terdapat banyak plugin firewall, namun anda boleh mencuba plugin WordPress Firewall ini memandangkan configuration plugin ini agak mudah. Anda juga boleh menerima email secara automatik jika terdapaat cubaan serangan atau apabila plugin ini menghalang sesuatu akses.
7. Elakkan anda daripda menjadi mangsa Brute Force Attack atau Dictionary Attack.
Bagi Menyelesaikan masalah ini, anda boleh menggunakan beberapa plugin WordPress yang terdapat di internet. Terlalu banyak plugin seumpama ini dengan berlainan kaedah. Kebiasaannya plugin seperti ini akan mengira bilangan cubaan dan menghalang daripada login untuk beberapa ketika jika cubaan login tersebut gagal dalam bilangan yang ditetapkan. Anda boleh mendapatkan khidmat pak cik Google bagi mendapatkan plugin seumpama ini. Jika anda kurang pasti apakah yang dimaksudkan dengan Brute Force Attack atau Dictionary Attack, saya ada bercerita sedikit tentang perkara ini dalam artikel Elakkan Account Facebook Anda Daripada Diceroboh di bahagian new password.
8. Berhati-hati dengan theme percuma
Terdapat beberapa sumber yang menyatakan terdapat beberapa theme di internet yang mengandungi script yang memberikan backdoor kepada hacker untuk mendapatkan akses dalam WordPress anda apabila anda upload theme tersebut. Teknik yang paling mudah adalah script penukaran email admin (anda) dengan email hacker tersebut. Apa yang perlu hacker tersebut lakukan seterusnya ialah klik reset password dan password baru akan dihantar kepada email hacker tersebut. Maka anda dinasihatkan supaya berhati-hati dengan theme yang anda ambil daripada internet secara percuma. Pastikan anda mengetahui dan yakin dengan sumber atau pencipta theme tersebut
9. Pastikan plugin yang anda gunakan adalah selamat
Selain daripada theme, plugin wordpress juga tidak terkecuali daripada diselitkan dengan code yang tidak sihat. Oleh itu, anda sangat digalakkan untuk download plugin melalui website WordPress atau daripada ruangan admin website anda sendiri. Elakakan daripada download plugin daripada website yang tidak diketahui.
10. Backup data anda
Mungkin inilah kali ke seratus anda mendengar perkataan ini. Namun itulah yang paling penting. Anda seharusnya sentiasa memastikan anda mempunya backup data termasuk database anda semasa ianya masih bersih atau belum digodam. Ini bertujuan memudahkan anda sendiri jika anda terpaksa restore kembali semua data-data anda.
Perkara-perkara yang saya kongsikan disini ialah lebih kepada perkara yang perlu anda lakukan dan berhati-berhati sebelum terkena serangan atau semasa WordPress masih bersih. Orang kata sediakan payung sebelum hujan. Jika anda telah terkena serangan anda boleh rujuk artikel sebelum ini bagi mengatasi masalah ini.
Banyak lagi perkara lain yang tidak kurang pentingnya. Namun apa yang saya kongsikan disini adalah beberapa perkara yang mudah yang boleh anda lakukan demi memelihara kesucian WordPress anda sendiri.
Sekian.. Selamat Mencuba
Perkara yang perlu dibimbangi apabila tahap sekuriti WordPress kita dicerobohi.
betul tu..
Takutnya , tak pandai2 bab2 gini ..
erk, puanbee kan expert wordpress ni. kalau puanbee takut, sy gementar 🙂
lindungi kesucian wp anda
hehe aku suka ayat ni
thanks, banyak aku dapat ni
welcome..
backup data. Sakit woo kalau hilang..
yup. apa-apa pun, backup memang penting
mantap2 nih bro… nak buat semua memang susah… aku berminat nak guna firewall plugin tuh..
yup. jangan buat semua plugin tu. nanti lembap la wordpress tu. try, pilih yang best je
Aku biasa upgrade version tetapi masalah akan jadi pada plugin. Ada yang tak compatible. Akhir sekali berterabur theme. hehe
Betul tu. Aku pun kadang-kadang camtu gak. Biasanya aku tengok update tu punya fix dulu. Kalau important security je aku cuba update cepat sikit. kalau bende-bende lain, aku tunggu plugin update dulu.
salam tuan rumah sihat ke idak?
blog saya teruk kena hack spjng 2 tahun berblog tahun ni paling teruk dlm sejarah.tak akan d lupakan paling lama berdiam selama 3 bulan..
sblum blog meragam gak..nak2 sebulan tu masal pertegahan tahun leps huhu..dugaan tol..
alhamdulillah. tuan rumah sihat. sekali sekali kena inject ngan malware je. nasib baik tak teruk sangat. Admin hosting pun rajin inform kalau dia detect problem.
yup, betul. memang perasan suri blog suri bermasalah agak lama. sian suri. maybe blog terkenal kot. tu yang org attack tu. sabar ye..
setakat ni ok smua d kawak.harap bertahan.amin
amin..
Aku sentiasa memastikan blog aku mengguna WP yang sentiasa up to date…Cuma nak tanye satu soalan senang tapi aku tak tau la,kenapa ye setiap kali wP diupdate,mesti ada sesetengah theme blog rosak/tidak boleh digunakan.Aku tau theme tu tak dapat digunakan kerana ia tidak serasi dengn WP baru,tetapi apa yang menyebabkan theme tu tidak sesuai dengan WP terkini??
yeke. sy bab2 theme ni mmg kurang sikit. sy pun kurang pasti. cuma apa yg boleh sy terfikir mungkin bila ada core update melibatkan component cam threaded comment, post thumbnails yang berbeza daripada versi terdahulu. kadang2 ada limitation yg ditambah pd beberapa component bertujuan utk security, maka theme lama dah tak boleh nak gunakan sepenuhnya component tu. Atau mungkin perbezaan calling function seperti the_excerpt,the_content dan sebagainya. yeke? agaknya la. lebih kurang cam plugin gak kan. Tapi sebenarnya, da jarang dengar theme break sejak wordpress 3++ ni. Encik wordpress mungkin mula pandang serius pada isu compatibility theme dan plugin kot.
Wah macam best je guna wordpress … benjy guna blogspot je … 🙂
best memang best. tapi risiko nya besar gak. agak mencabar kalau datang problem. pening kepala.. Tapi kalau benjy nak try silakan. kalau ada problem, boleh tanya saya atau otai-otai wordpress cam nama-nama yang komen kat atas tu. Kalau boleh kami bantu, kami bantu..
Membaca entri ini mengingatkan aku untuk backup data…
Betul-betul. tapi kadang-kadang sy pun malas nak backup. dah kena baru nyesal. hehe
Dah backup data jangan lupa simpan di tempat selamat. Bagi pc yang banyak virus umpama ladang virus sila simpan jauh-jauh. Tak pasal2 backup data tu dimasukki virus.
yup. backup pun rosak tak guna gak kan.