• Bagaimana mengetahui ip orang yang masuk ke web kita…dan bagaimana cara mengamankan web kita dari tangan2 jahil tersebut ???gila nih orang

Melihat 15 balasan - 16 sampai 30 (dari total 32)
  • @pahdizul: Bener juga.. tp setahu sy mrk punya izin tayang..

    @bogy Harseno:
    memang setahu sy yg pake wp harus pinter2 buat scurity sendiri.. cos dr sananya banyak celah kemanannya.. Atau memang hal ini disengaja oleh pihak wp, seperti yang kadang muncul dalam pikiran sy, dan menyerahkannya kepada para pengguna.

    Yang paling tampak jelas, menurut sy, wp tidak memberikan htaccess dengan segala perintah scuritynya. Paling2 ditambah perintah rewrite.

    Mungkin moderator ada yg thu alasannya..

    Moderator Bogy Harseno

    (@bogyharseno-1)

    @nubie masta: Sejauh pemahaman saya, WordPress adalah platform penerbitan yg mlebihi ekspetasi saya, sangat istimewa, opensource dan gratis. Tingkat keamanan lebih dari cukup, misal ada celah, biasanya datang dari plugin atau template. Seperti kasus skrip timthumb.php beberapa waktu yg lalu. Ada juga dari kita yg masih saja suka memakai template (gratisan) yg di dalamnya ada kode ter-enskripsi (evalbase64, dll) yg tdk pernah tau apa isinya dan apa yg “dikerjakan” skrip terenskripsi tsb. Dan perlu dipahami security model apapun di internet tidak ada yang sempurna. Hari ini aman, mungkin 2, 1 tahun, atau bahkan bulan dpn mjd tdk aman krn ketahuan celahnya.

    WordPress memungkinkan semua orang memiliki website (weblog atau apalah namanya), WP jg bs dibentuk, didandani dgn ribuan template, diubah sesuka hati sesuai dengan kebutuhan. Bisa dibentuk menjadi blog pribadi, web berita online, website company profile, katalog produk, web forum, e-commerce atau (hanya) sekedar autoblog. Dari yang saya sebut tadi mana yg bermanfaat atau (sekedar) sampah internet demi alasan ‘dollar click’ saya tidak tahu pasti, pengin abu-abu saja, hehe… karena inilah internet..

    Pencetus Utas pahdizul

    (@pahdizul)

    Mas Bogy saya semakin ngeri nih dengan paparan mas, bahwa bagi sebagian orang sangat mudah utk masuki ke web kita? terus bagai mana langkah sy selanjutnya utk memprotek wp-setting.php dan wp-config.php karena sy terus terang nih gak tahu caranya?mungkin blia ada para suhu, guru yang saya anggap lebih tahu dari saya dg persoalan ini mohon di share caranya…mas nubie, ah kalau hanya sekedar izin mas, mungkin ribuan blog dan web udah di Kandangkan/dibredeli….????….tapi trm kasih atas semua masukannya…

    Moderator Bogy Harseno

    (@bogyharseno-1)

    @pahdizul: bukan mudah pak, tapi sedikit lebih mudah, hehe… meskipun sulit tapi orang2 spt itu benar-benar ada. Mengenai cara protect wp-settings dan wp-config sama spt yg dipaparkan om nubie masta, cari file .htaccess di instalasi wordpress, atau yg satu folder dengan wp-settings.php dan wp-config.php, tambahkan kode spt ini di file .htaccess tersebut:

    <FilesMatch "(wp-config|wp-settings)\.php$">
    order deny,allow
    deny from all
    </FilesMatch>
    

    Untuk membantu mengurangi spam, selain mengandalkan Akismet, bisa dibantu pengaturan ketat di .htaccess spt ini:

    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} POST
    RewriteCond %{REQUEST_URI} .wp-comments-post.php*
    RewriteCond %{HTTP_REFERER} !.*namadomainanda.com* [OR]
    RewriteCond %{HTTP_USER_AGENT} ^$
    RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
    
    Moderator Bogy Harseno

    (@bogyharseno-1)

    Untuk mengurangi XSS / Malicious Strings Attack bs dengan menambahkan kode ini di .htaccess tadi:

    <IfModule mod_rewrite.c>
     RewriteCond %{QUERY_STRING} \.\.\/    [NC,OR]
     RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
     RewriteCond %{QUERY_STRING} tag\=     [NC,OR]
     RewriteCond %{QUERY_STRING} ftp\:     [NC,OR]
     RewriteCond %{QUERY_STRING} http\:    [NC,OR]
     RewriteCond %{QUERY_STRING} https\:   [NC,OR]
     RewriteCond %{QUERY_STRING} mosConfig [NC,OR]
     RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|'|"|;|\?|\*).* [NC,OR]
     RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]
     RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
     RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR]
     RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]
     RewriteRule ^(.*)$ - [F,L]
    </IfModule>
    

    Bisa dicoba satu-persatu, tp misal kemudian ada plugin anda yg macet gara2 tambahan kode terakhir ini, ya hapus saja yg bikin macet, hehe… tp dijamin, wordpress anda sedikit lbh “keras”.

    Pencetus Utas pahdizul

    (@pahdizul)

    Mas bogy, bukan di wp-setting.php dan wp-config.php ya masang kodenya??

    Moderator Bogy Harseno

    (@bogyharseno-1)

    hwah.. itu kode Apache, tentunya di .htaccess pak.

    Pencetus Utas pahdizul

    (@pahdizul)

    hehehe…kan dah tak bilang, wong saya ini mah gak ngerti masalah yang gituan,,,GAPTEK bangeeeet mas….Terima Kasih banyak mas Bogy

    Moderator Bogy Harseno

    (@bogyharseno-1)

    Tp tolong hati-hati ya, sekecil apapun merubah bagian WP, lakukan backup pada file lama. Supaya klo ada ketidakberesan bpk mudah utk memulihkannya. Backup juga database MySQL dan gambar/file uploads bapak secara rutin. Misal kena hack, tinggal bersihkan instalasi lama, hapus semua folder/file yg bukan bawaan instalasi hosting dan wordpress, ganti password akun hosting, instal lagi, hehehe… ga sampe 1 hari beres dan online lagi.

    Pencetus Utas pahdizul

    (@pahdizul)

    duhhh…saya jadi tambah bingung mas Bogy….Backup nya bagaimana, tempat backupnya dimana, di cpanel apa di admin area yach…yang mana yang diutak atik lagi nih…..hoalaahhh, tp ma kasih banyak mas udah mau berbagi infonya

    @bogy Harseno:
    untuk fleksibilitas wp memang jempol, tapi untuk scurity mnurut sy masih rentan.. tp dng bantuan ribuan plugin wp, kelebihan wp sbagai CMS tidak tertandingi.. asal siapkan sj memory yang up..

    @pak.Seno
    tutorial .htaccess nya mantap

    🙂

    Pencetus Utas pahdizul

    (@pahdizul)

    terima kasih utk semuanya, persoalan dianggap selesai, buat yang telah memberikan masukan dan bimbingannya Salam hormat saya…Semoga sukses ditahun baru 2012 yang akan datang.TQ

    tambah ngerii baca tulisannya pak Bogy, nubie masta dan rekan2x lainnya disini, tapi gpp tetep semangat belajar wp. tmksh sudah berbagi ilmu yang sangat3x bermanfaat teman2x 🙂

    mohon bantuanya, web wordpressqu setiap mau login selalu invalid, pas saya login di cpanel masih bisa, dan pas saya cek di php my admin ternyata ada yang merubah password admin wordpress saya, bagaimana solusinya ya, saya lihat difile managernya tidak ada file2 yang dicurigai, mohon bantuanya,

Melihat 15 balasan - 16 sampai 30 (dari total 32)
  • Topik ‘Web Dimasukin Orang yang tidak dikehendaki’ tertutup untuk balasan baru.