Khidhir dot Com

Tingkatkan Keselamatan WordPress


177 makhluk telah membaca artikel ini

Apabila sesebuah website menjadi terkenal, kebiasaanya semakin banyak spam comment yang diterima. Begitu juga dengan cubaan untuk diceroboh atau hacked. Kesan daripada WordPress anda diceroboh atau hacked sangat menggerunkan. Ada kemungkinan anda terpaksa menutup sementara website anda dan memperbaiki atau membina semula website dengan backup-backup yang ada. Malah, anda juga mungkin terpaksa menghubungi pihak hosting kerana panel hosting atau ftp anda berjaya dipecahkan. Oleh kerana itu, isu keselamatan sememangnya tidak boleh dikompromi kerana ia akan menyebabkan kesusahan daripada pihak anda sendiri. Maka dalam artikel kali ini, saya akan berkongsi sedikit beberapa isu keselamatan yang perlu kita ambil perhatian dan beberapa perkara yang mungkin boleh membantu apabila WordPress kita diceroboh.

Antara perkara-perkara yang perlu dititikberatkan:

1. Sentiasa pastikan WordPress anda adalah versi terbaru.

Kebanyakan daripada kita tidak nampak kepentingan versi terbaru memandangkan mungkin tidak banyak perubahan dari segi user interface. Walaubagaimanapun, sebahagian update versi terbaru WordPress memperbaiki kelemahan pada bahagian keselamatan. Sila beri perhatian pada wordpress update yang dikategorikan sebagai kritikal dan sangat penting. Memandangkan encik WordPress biasanya akan memaparkan kelemahan atau bugs versi lama kepada umum apabila versi baru dikeluarkan, ia akan membahayakan anda sendiri jika anda terlewat untuk update kepada versi terbaru. Sebahagian masalah dalam WordPress juga boleh selesai hanya dengan update versi terbaru.

Mungkin sebahagian daripada kita tidak suka update terlalu awal bagi memberi laluan kepada plugin update dan isu-isu yang mungkin timbul atau terlalu sibuk dengan urusan lain. Maka langkah seterusnya adalah sangat penting kepada anda

 

2. Melindungi versi WordPress yang anda gunakan.

Ada beberapa versi WordPress yang telah diketahui atau diumumkan oleh WordPress sendiri bugs dan masalah yang terdapat dalam versi WordPress tersebut. Apabila hackers mengetahui versi WordPress yang anda gunakan, ini bermakna hacker tersebut boleh mencari hole atau mengambil kesempatan atas kelemahan yang ada dalam versi WordPress tersebut.

Walaubagaimanapun, merahsiakan atau menyembunyikan versi WordPress disemua tempat dalam theme anda akan memenatkan diri anda sendiri. Maka, penggunaan plugin Secure WordPress boleh membantu anda.

Selain daripada melindungi versi WordPress yang anda gunakan, plugin ini berkemampuan menutup plugin update, theme update serta core update kepada user lain yang bukan berstatus admin. Anda juga boleh membuang maklumat ralat di login page. Apa yang membuat plugin ini lebih menarik, anda boleh memilih sendiri fungsi yang anda inginkan. Perlu diingatkan, plugin ini boleh menyebabkan peningkatan masa page load website anda.

3. Menukar table prefix anda

Kebiasaanya table prefix bermula dengan “wp_”. Begitu juga anggapan hackers apabila ingin menggodam WordPress anda. Maka dengan menukar table prefix kepada perkataan atau huruf lain, anda boleh menyekat kebanyakan serangan SQL-Injection. Jika anda install WordPress menggunakan installation script, salah satu installation script yang membenarkan anda mengubah table prefix semasa proses pemasangan ialah installatron. Anda boleh rujuk artikel Install WordPress Menggunakan Installatron bagi mendapatkan maklumat lebih lanjut.

 

4. Menukar nama admin account.

Perkara ini rasanya sangat jelas dan mudah. Pastikan anda tidak menggunakan nama default admin account anda yang diberikan semasa pemasangan WordPress. Penggunaan nama admin sebagai user sangat merbahaya.

 

5. File permission

Sepatutnya anda sedia maklum denga file permission yang sepatutnya anda letakkan pada direktori dan file WordPress anda. Bagi direktori, file permission yang dicadangkan oleh oleh encik WordPress ialah 755 dan file ialah 644. Pastikan juga wp-config anda hanya boleh dibaca oleh anda dan web server iaitu samada 400 atau 440.

 

6. Firewall

Anda pasti biasa dengan perkataan Firewall. Windows anda mempunya firewall, antivirus anda mungkin terdapat firewall juga hosting biasanya mempunya firewall mereka sendiri. WordPress juga tidak terkecuali jika anda ingin mempunyai firewall. Terdapat banyak plugin firewall, namun anda boleh mencuba plugin WordPress Firewall ini memandangkan configuration plugin ini agak mudah. Anda juga boleh menerima email secara automatik jika terdapaat cubaan serangan atau apabila plugin ini menghalang sesuatu akses.

 

7.  Elakkan anda daripda menjadi mangsa Brute Force Attack atau Dictionary Attack.

Bagi Menyelesaikan masalah ini, anda boleh menggunakan beberapa plugin WordPress yang terdapat di internet. Terlalu banyak plugin seumpama ini dengan berlainan kaedah. Kebiasaannya plugin seperti ini akan mengira bilangan cubaan dan menghalang daripada login untuk beberapa ketika jika cubaan login tersebut gagal dalam bilangan yang ditetapkan. Anda boleh mendapatkan khidmat pak cik Google bagi mendapatkan plugin seumpama ini. Jika anda kurang pasti apakah yang dimaksudkan dengan Brute Force Attack atau Dictionary Attack, saya ada bercerita sedikit tentang perkara ini dalam artikel Elakkan Account Facebook Anda Daripada Diceroboh di bahagian new password.

8. Berhati-hati dengan theme percuma

Terdapat beberapa sumber yang menyatakan terdapat beberapa theme di internet yang mengandungi script yang memberikan backdoor kepada hacker untuk mendapatkan akses dalam WordPress anda apabila anda upload theme tersebut. Teknik yang paling mudah adalah script penukaran email admin (anda) dengan email hacker tersebut. Apa yang perlu hacker tersebut lakukan seterusnya ialah klik reset password dan password baru akan dihantar kepada email hacker tersebut.  Maka anda dinasihatkan supaya berhati-hati dengan theme yang anda ambil daripada internet secara percuma. Pastikan anda mengetahui dan yakin dengan sumber atau pencipta theme tersebut

 

9. Pastikan plugin yang anda gunakan adalah selamat

Selain daripada theme, plugin wordpress juga tidak terkecuali daripada diselitkan dengan code yang tidak sihat. Oleh itu, anda sangat digalakkan untuk download plugin melalui website WordPress atau daripada ruangan admin website anda sendiri. Elakakan daripada download plugin daripada website yang tidak diketahui.

 

10. Backup data anda

Mungkin inilah kali ke seratus anda mendengar perkataan ini. Namun itulah yang paling penting. Anda seharusnya sentiasa memastikan anda mempunya backup data termasuk database anda semasa ianya masih bersih atau belum digodam. Ini bertujuan memudahkan anda sendiri jika anda terpaksa restore kembali semua data-data anda.

 

Perkara-perkara yang saya kongsikan disini ialah lebih kepada perkara yang perlu anda lakukan dan berhati-berhati sebelum terkena serangan atau semasa WordPress masih bersih. Orang kata sediakan payung sebelum hujan. Jika anda telah terkena serangan anda boleh rujuk artikel sebelum ini bagi mengatasi masalah ini.

 

Banyak lagi perkara lain yang tidak kurang pentingnya. Namun apa yang saya kongsikan disini adalah beberapa perkara yang mudah yang boleh anda lakukan demi memelihara kesucian WordPress anda sendiri.

Sekian.. Selamat Mencuba

Author:

Jika anda ingin dapatkan update artikel baru terus ke email anda, sila letakkan email anda di bawah. Serius, Free je.

24 Responses to “Tingkatkan Keselamatan WordPress”

  1. akubiomed says:

    Perkara yang perlu dibimbangi apabila tahap sekuriti WordPress kita dicerobohi.
    akubiomed recently posted..Bila hero-hero kacak melangkah ke alam dewasa.My Profile

  2. puanbee says:

    Takutnya , tak pandai2 bab2 gini ..

  3. tehr says:

    lindungi kesucian wp anda
    hehe aku suka ayat ni
    thanks, banyak aku dapat ni
    tehr recently posted..Kumpul DuitMy Profile

  4. titan says:

    backup data. Sakit woo kalau hilang..
    titan recently posted..Komisen ke 4 dari TeliadMy Profile

  5. zik says:

    mantap2 nih bro… nak buat semua memang susah… aku berminat nak guna firewall plugin tuh..

  6. Zaini says:

    Aku biasa upgrade version tetapi masalah akan jadi pada plugin. Ada yang tak compatible. Akhir sekali berterabur theme. hehe

    • Khidhir says:

      Betul tu. Aku pun kadang-kadang camtu gak. Biasanya aku tengok update tu punya fix dulu. Kalau important security je aku cuba update cepat sikit. kalau bende-bende lain, aku tunggu plugin update dulu.

  7. suri says:

    salam tuan rumah sihat ke idak?

    blog saya teruk kena hack spjng 2 tahun berblog tahun ni paling teruk dlm sejarah.tak akan d lupakan paling lama berdiam selama 3 bulan..

    sblum blog meragam gak..nak2 sebulan tu masal pertegahan tahun leps huhu..dugaan tol..

    • Khidhir says:

      alhamdulillah. tuan rumah sihat. sekali sekali kena inject ngan malware je. nasib baik tak teruk sangat. Admin hosting pun rajin inform kalau dia detect problem.
      yup, betul. memang perasan suri blog suri bermasalah agak lama. sian suri. maybe blog terkenal kot. tu yang org attack tu. sabar ye..

  8. suri says:

    setakat ni ok smua d kawak.harap bertahan.amin

  9. Pejuang Kesenian Extreme says:

    Aku sentiasa memastikan blog aku mengguna WP yang sentiasa up to date…Cuma nak tanye satu soalan senang tapi aku tak tau la,kenapa ye setiap kali wP diupdate,mesti ada sesetengah theme blog rosak/tidak boleh digunakan.Aku tau theme tu tak dapat digunakan kerana ia tidak serasi dengn WP baru,tetapi apa yang menyebabkan theme tu tidak sesuai dengan WP terkini??
    Pejuang Kesenian Extreme recently posted..Cara Buat Cover Ebook 3DMy Profile

    • Khidhir says:

      yeke. sy bab2 theme ni mmg kurang sikit. sy pun kurang pasti. cuma apa yg boleh sy terfikir mungkin bila ada core update melibatkan component cam threaded comment, post thumbnails yang berbeza daripada versi terdahulu. kadang2 ada limitation yg ditambah pd beberapa component bertujuan utk security, maka theme lama dah tak boleh nak gunakan sepenuhnya component tu. Atau mungkin perbezaan calling function seperti the_excerpt,the_content dan sebagainya. yeke? agaknya la. lebih kurang cam plugin gak kan. Tapi sebenarnya, da jarang dengar theme break sejak wordpress 3++ ni. Encik wordpress mungkin mula pandang serius pada isu compatibility theme dan plugin kot.

  10. b3njy says:

    Wah macam best je guna wordpress … benjy guna blogspot je … 🙂
    b3njy recently posted..CERITA OMBAK RINDU VERSI BLOGGERMy Profile

    • Khidhir says:

      best memang best. tapi risiko nya besar gak. agak mencabar kalau datang problem. pening kepala.. Tapi kalau benjy nak try silakan. kalau ada problem, boleh tanya saya atau otai-otai wordpress cam nama-nama yang komen kat atas tu. Kalau boleh kami bantu, kami bantu..

  11. eastbullet says:

    Membaca entri ini mengingatkan aku untuk backup data…
    eastbullet recently posted..Di Mana Ada Komputer, Di Situ Ada Mia Si KucingMy Profile

  12. Cikgu Hairul says:

    Dah backup data jangan lupa simpan di tempat selamat. Bagi pc yang banyak virus umpama ladang virus sila simpan jauh-jauh. Tak pasal2 backup data tu dimasukki virus.
    Cikgu Hairul recently posted..Menulis Dengan Dua JariMy Profile

Tinggalkan Komen Anda

CommentLuv badge

Khidhir, Admin at Khidhir dot Com.
Tingkatkan Keselamatan WordPress 10 out of 10 based on 19 ratings. 12 user reviews.