Celah Kelemahan Blog WordPress untuk hacker

security wordpressWordPress , adalah sebuah CMS ( Content Management System ) yang sangat populer di kalangan Blogger , dan bahkan dapat dikatakan sangat kompleks dan keamanan penuh , tapi sebenernya dengan hal tersebut banyak celah yang dimanfaatkan seorang Hacker untuk mengetahui celah kemanan kita termasuk secara sederhana saja yaitu mengetahui Root Server dari Website kita , bagaimana cara hacker mengeatahui root server kita? kan script themes kita sudah tidak ada error dan sangat kompatible dengan WordPress seri terbaru 🙂 , walaupun seperti itu WordPress adalah sebuah Mesin pengelola script php kita, tapi coba akses link header.php / footer.php berikut ini :

 

contoh : http://www.domain.com/wp-content/themes/diretorythemes/footer.php

lihat error yang tampil di browser sahabat , dan itulah yang menjadi sebuah jalan untuk mengetahui root server sahabat, bagi sebagian haker hal inilah yang menjadi jalan apalagi hacker yang sudah terbiasa mengakses root untuk mengambil celah keamanan. website sahabat, tulisan ini adalah hasil dari inspirasi sahabat yang ada di www.cyber-meong.net.

Bukan hanya di folder themes saja tapi WordPress juga punya kelamahan yang tidak ditutup celahnya , dan coba akses :
http://www.domain.com/wp-settings.php
/wp-includes/ms-settings.php
dan lain sebagainya.

lalu bagaimana cara mengatasinya? ,, ada beberapa cara yaitu dengan mendisable error warning / notice dan error report lainnya melalui php.ini, Htacess ataupun menambahkan code untuk mendisable error log di sript php bisa dibaca disni : http://www.inforiatif.com/cara-menyembunyikan-atau-menghilangkan-error-php , tapi hal tersebut juga pasti akan membuat repot ita sendiri.

Dan cara termudah adalah menambahkan code pada .htacess yaitu :

#disable error report
#Options +FollowSymlinks
#RewriteEngine on
#php_flag display_errors off
#end display error

dan akan tetapi , tidak semua hosting dapat mengatasi kode ini dengan baik , dan berakibat fatal yaitu menunjukan tampilan internal server error 500 misconfiguration.

500 Internal Server Error500 Internal Server Error

Nah lo , bagaimana jadinya? kalau saya tes menggunakan localhost semuanya jalan lancar akan tetapi saya terapkan di website ini malah jadi 500 error.

pada pembahasan sebelumnya , Website aman dari serangan Hacker?  sudah saya paparkan curhatan saya , dan masih banyak cara hacker untuk menyusup ke directory file kita jadi yah kalau website ita terkena serangan anggap saja sebuah kewajaran , namanya juga website.

Lalu bagaimana cara mengamankan WorPress sahabat? banyak caranya coba cari di google dan cari pula seurity menggunakan htaccess dan lain sebagainya.

 

Serta ini adalah sebuah pengalaman saya terhadap beberapa Blog wordpress yang menjual Barang digital sedangkan barang digital tersebut disimpan di directory uploads wordpress, sehingga dengan mudah pengunjung melihat list dari directory kontent tersebut, sebagai contoh , ( ini berfungsi pada beberapa blog wordpress yang tidak terlindungi )

http://www.domainanda.com/wp-includes/

blog sahabat yang tidak terlindungi atau folder yang tidak mempunyai file default / index akan menampilkan list dari file dan directory , ontoh lagi ini :

http://www.domainanda.com/wp-content/uploads/

maka sahabat akan menemukan list dari directory  uploads sahabat, dan bagaimana alau sahabat mengupload barang digital / software / arsip untuk dijual di direktori uploads? pasti akan dengan mudah dilihat / hanya mengira ngira saja pengunjung akan mengakses direktori tersebut.

cara termudah untuk menghindari direktori listing adalah dengan menambahkan htaccess code :

#prevent directory listing
Options All -Indexes
#end Prevent directory listing

nah dengan menambahkan code diatas maka saat orang mengakses halaman folder maka akan teredirect ke halaman error not found / 404 tidak ditemukan.

Dan untuk pengamanan file .htaccess sahabat bisa di tambahkan kode :

 

# secure htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
#END secure htaccess

Happy Blogging 🙂