berhubung saya lagi males ngeposting, jadi langsung aja ke TKP >.<
Link Download :
Download (Portal Created by Faizal Abroni )
Demo :
Tampar
Kalo ada pertanyaan seputar Portal Web ini, silahkan contact Facebook / Twitter / E-mail saya.
Mr. Xenophobic <~ facebook
root@xeno=-# <~ Twitter
admin@xeno-info.com
admin@xeno-info.tk
Sekian dan Terima Kasih ^_^
Link Download :
Download (Portal Created by Faizal Abroni )
Demo :
Tampar
Kalo ada pertanyaan seputar Portal Web ini, silahkan contact Facebook / Twitter / E-mail saya.
Mr. Xenophobic <~ facebook
root@xeno=-# <~ Twitter
admin@xeno-info.com
admin@xeno-info.tk
Sekian dan Terima Kasih ^_^
Tutorial Lengkap Mengamankan Security WordPress - WordPress adalah platform open source yang berarti bahwa setiap orang, termasuk hacker dengan niat jahat, dapat menjelajahi source code platform ini untuk mencari celah di keamanan. Itulah sebabnya saya akan menunjukkan kepada Anda beberapa langkah pencegahan yang baik untuk melindungi Anda, Instalasi WordPress Anda dan yang paling penting, pembaca anda.
Better WordPress Security, WP Security
# 1 Jangan gunakan Superuser Admin
Nah, ini langkah termudah yang bisa Anda lakukan untuk melindungi situs wordpress anda adalah dengan mengubah / menghapus superuser admin. Setiap orang yang menggunakan WordPress tahu bahwa ada user bernama admin dengan izin keamanan tingkat atas, terutama hacker. Jika username adalah admin, sesulit apapun, masih memungkin kan untuk men-crack password tersebuti. Caranya anda bisa membuat akun baru tapi kali ini dengan nama yang berbeda, dan kemudian menghapus account yang dengan nama admin.
Lebih saya saran kan untuk membuat akun dengan username dan password yang sangat susah dan rumit, (seperti x7duEls91 contohnya) sangat kompleks, kemudian menyimpannya di suatu tempat yang aman, dan membuat account lain untuk menulis dan mempublikasikan konten tapi kali ini tidak memiliki hak administratif yang full akses seperti akun admin. Akun seperti editor misalnya, karena akun seperti admin tidak diperlukan untuk sehari-hari, hanya sewaktu-waktu ketika mau mengubah password, tema, mengupdate plugin, thema atau versi wordpress anda saja, sehingga security terhadap bruteforce lebih terjamin.
# 2 Pilih Password yang kuat dan aman
“Perlakukan password Anda seperti sikat gigi Anda. Jangan biarkan orang lain menggunakannya, dan mendapatkan yang baru setiap enam bulan. “ ~ Clifford Stoll
Apapun situsnya, apapun platformnya, meskipun anda tidak menggunakan wordpress anda beresikoterkena serangan bruteforce. Pada langkah pertama kita telah mengamankan situs anda dengan menghapus username admin, nah, dari situ mungkin sebagian besar hacker telah terhalang, tapi tetap saja orang masih bisa tahu password anda. Anda bisa mengamankan nya dengan memilih password yang sangat sulit. Cara yang baik untuk menentukan apakah atau tidak password Anda aman adalah dengan memasukkannya ke dalam sandi checker online seperti passwordmeter.com atau membuat password secara random atau acak.
# 3 Amankan Password Anda
Juga, saya memilih mengambil tindakan pencegahan ekstra untuk melindungi blog saya, contohnya menggunakan plugin yang dapat memblokir alamat IP orang yang berusaha melakukan brute force. Salah satu plugin yang saya anggap sangat berguna adalah LOGIN LockDown. Plugin ini akan mencatat alamat IP dan waktu (timestamp) dari semua login yang gagal, selain itu plugin ini akan memblokir IP tersebut setelah sejumlah login yang gagal. Plugin ini sangat berguna untuk mengamankan situs dari serangan brute force – kebanyakan penyerang yang menggunakan metode bruteforce akan menyerah jika IP merekea di blokir setiap 5 menit sementara mereka sedang menjalankan program brute force.
# 4 Selalu Update WordPress Anda
Seperti yang saya katakan sebelumnya, WordPress adalah platform open source, sehinggamenjadi target mudah bagi hacker. Hampir 60 juta situs menggunakan WordPress, ketika pemberitahuan Automattic update keluar , alangkah baiknya anda cepat mengupdatenya, seperti gambar diatas, ketika tim developer membuat update baru (maintenance and security release) mereka juga akan memposting celah keamanan yang diperbaiki dan juga beberapa bugs yang juga diperbaiki di. Bahkan, tidak butuh waktu lama untuk memperbarui instalasi WordPress, menurut WordPress hanya dibutuhkan 5 menit untuk menyelesaikan, sangat singkat untuk meningkatkan security website anda.
# 5 Sembunyikan Versi Wordpress
Andaikan Anda lupa untuk mengupdate instalasi WordPress Anda, atau anda tidak memiliki 5 menit untuk memperbaharui versi wordpress. Kita bisa mencegah hacker untuk membobol pertahanan dengan menyembunyikan versi WordPress, versi wordpress memberikan hacker jalan yang baik tentang bagaimana mereka bisa meng-hack situs Anda, terutama jika situs itu ketinggalan jawan, segingga security nya kedodoran.
Secara default, WordPress menampilkan versi, karena mereka ingin untuk metrik untuk melihat berapa banyak orang yang menggunakan versi, dll … Namun, ini seperti memasang tanda merah terang pada situs Anda mengatakan hacker apa yang harus dilakukan.
Jika Anda menggunakan tema premium, kemungkinan besar pengembang telah menonaktifkannya untuk Anda, tetapi selalu lebih baik untuk memastikan. Buka file functions.php dan hapus baris kode dibawah:
Secara default, WordPress menampilkan versi, karena mereka ingin untuk metrik untuk melihat berapa banyak orang yang menggunakan versi, dll … Namun, ini seperti memasang tanda merah terang pada situs Anda mengatakan hacker apa yang harus dilakukan.
Jika Anda menggunakan tema premium, kemungkinan besar pengembang telah menonaktifkannya untuk Anda, tetapi selalu lebih baik untuk memastikan. Buka file functions.php dan hapus baris kode dibawah:
<Php remove_action (‘wp_head’, ‘wp_generator’);?>
Jika anda mengalami kesulitan, anda dapat dengan mudah menggunakan plugin Secure WordPress, untuk otomatis menyembunyikan WP Version di halaman website anda.
# 6 Ubah permission File
Sangat penting untuk anda untuk membatasi hak akses file anda menjadi 744 seperti diatas, yang pada dasarnya membuat situs anda read-only untuk semua orang kecuali Anda.
Anda dapat melakukan nya via FTP atau CPanel anda, jika melalui CPanel anda perlu membuka File Manager, lalu klik kanan pada folder atau file dan klik pada “File Permissions”. Jika ternyata masih hak akses penuh atau 777, Anda sangat beruntung Anda belum terkena hack. Anda harus mengubah nilai CHMOD ke 744, yang hanya memberikan “pemilik” akses penuh.
# 7 Membuat transparentlist
transparentlist memungkinkan Anda untuk mengelola dan mengakses bagian-bagian tertentu dari situs Anda. Yah, seperti membangun Tembok Besar China di sekitar folder admin, sehingga tidak ada seorang pun, kecuali Anda, yang dapat mengakses folder tersebut.
Karena Tips Nomor 7 Ini Menggunakan pembatas IP, diharapkan Tips ini digunakan hanya jika anda TIDAK MENGGUNAKAN INTERNET YANG IP nya DYNAMIC, Seperti GSM/CDMA modem, Speedy dan paket internet tanpa IP statis, bila anda mengalami kendala atau permasalahan silahkan bertanya melalui komol komentar
Jika anda yakin IP anda statis, silahkan melanjutkan
Dari CPanel, anda bisa masuk ke direktori /wp-admin , kemudian memeriksa apakah sudah ada file htaccess disana, Jika tidak ada, anda bisa membuat satu melalui text editor. Jika sudah ada satu di sana, saya sarankan untuk membuat cadangan/BACKUP file .htaccess sebelum melakukan pengeditan. Dan PASTIKAN Anda berada di folder/direktori wp-admin, dan bukan folder root atau public_html anda.
Kemudian Paste kode berikut ke dalam file htaccess:
Dari CPanel, anda bisa masuk ke direktori /wp-admin , kemudian memeriksa apakah sudah ada file htaccess disana, Jika tidak ada, anda bisa membuat satu melalui text editor. Jika sudah ada satu di sana, saya sarankan untuk membuat cadangan/BACKUP file .htaccess sebelum melakukan pengeditan. Dan PASTIKAN Anda berada di folder/direktori wp-admin, dan bukan folder root atau public_html anda.
Kemudian Paste kode berikut ke dalam file htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# transparentlist Your IP address
allow from xx.xx.xx.xxx
# transparentlist Your Office’s IP address
allow from xx.xx.xx.xxx
# transparentlist Your IP address While Your Traveling (Delete When You Come Back Home)
allow from xx.xx.xx.xxx
</LIMIT>
Ganti xx dengan alamat IP STATIS Global Anda, anda bisa melihatnya di situs WhatsMyIP.org. Selain dari alamat IP anda, wp-admin tidak akan bisa dibuka oleh siapapun.
# 8 Backup
Sebagus apapun security Website anda, Melakukan backup rutin adalah hal yang wajib. Ada banyak cara untuk melakukan ini, dengan mudah tentunya. Anda dapat membuat cron job, jika Anda perusahaan hosting menyediakan itu. Anda bisa melihatnya di CPanel anda.
Kemudian anda bisa menggunakan perintah ini di cron Job:
Dbname = DB_NAMEDbpass = DB_PASSWORDDBUSER = DB_USEREMAIL = “you@your_email.com”
mysqldump – opt-u $ DBUSER-p $ dbpass $ dbname> backup.sqlgzip backup.sqlDATE = `date +% Y% m% d`, mv backup.sql.gz $ dbname-backup-$ DATE.sql.gzecho ‘BLOG BACKUP: Backup Anda terpasang’ | mutt-a $ dbname-backup-$ DATE.sql.gz $ EMAIL-s “MySQL Backup”rm $ dbname-backup-$ DATE.sql.gz
Dan cara termudah adalah melalui CPanel lalu klik backup.
# 9 Meningkatkan Security WP-Config
File wp-config.php berisi semua konfigurasi dan pengaturan WordPress anda, memperlihatkan file ini ke hacker adalah ancaman yang sangat besar untuk blog Anda, mereka bisa dengan mudah menyuntikkan malware ke dalam blog atau menghapus konten di blog Anda. Solusi untuk ini adalah untuk mencabut izin untuk file konfigurasi. WordPress file konfigurasi wp-config.php yang terletak di root direktori instalasi anda. Ubah izin untuk sesuatu yang aman seperti CHMOD 0600 dengan cara yang sama seperti mengubah permission file diatas, untuk meningkatkan keamanan situs anda.
Sekarang dengan instalasi WordPress yang aman, Anda siap untuk mem-posting konten Anda tanpa harus takut jika Anda gampang di-hack.
Jika Anda memiliki pertanyaan tentang tutorial ini, keamanan WordPress atau keamanan secara umum, silahkan meninggalkan komentar dan saya akan segera membalasnya
Jika Anda memiliki pertanyaan tentang tutorial ini, keamanan WordPress atau keamanan secara umum, silahkan meninggalkan komentar dan saya akan segera membalasnya
Berikut ada tutorial video meng-aman-kan wordpress
1.Password yang kuat
2. Cek CHMOD permission
cek CHMOD kalian seperi di bawah ini :
Required – ./inc/settings.php – 666
Required – ./inc/config.php – 666 (install) 444 (after installation)
Required – ./cache/ – 777
Required – ./cache/themes/ – 777
Required – ./uploads/ – 777
Required – ./uploads/avatars/ – 777
Optional – ./admin/backups/ – 777
Optional – ./inc/languages/*language*/*all files*/ – 666
Optional – ./inc/languages/*language*/admin/*all files*/ – 666
3. Lindungi file Config.php
Buat file .htaccess pada direktori /inc lalu masukan kode dibawah ini :
<files config.php>
Order deny,allow
deny from all
</files>
4. Lindungi halaman admin dng .htaccsess.
buat file .htaccess di dalam direktori /admin lalu masukan kode berikut :
buat file .htaccess di dalam direktori /admin lalu masukan kode berikut :
RewriteEngine On5. mengubah direktori admin.
RewriteBase /RewriteCond %{REMOTE_HOST} !^12\.345\.678\.9RewriteRule .* http://www.link untuk dialihkan.com [R=301,L]
masuk ke /inc/config.php lalu cari kode dibawah ini :
$config['admin_dir'] = 'admin';
ganti 'admin' dengan direktori admin yang baru
setelahitu masuk ke public_html dan rename direktori admin dengan yang tadi di config.php
6. menyembunyikan link Admin Control Panel (ACP).
bila dalam ke adaan default mybb akan menampilkan ACP,nah biar hacker gak tau admin dirnya dimna hrus di sembunyikan.Caranya :
masuk ke /inc/config.php lalu cari kode dibawahini:
$config['hide_admin_links'] = 0;
Lalu ganti 0 menjadi 1
$config['hide_admin_links'] = 1;
simpan
7. Matikan HTML dalam posting
masuk PhpMyAdmin lalu run query dibawah ini :
UPDATE `mybb_forums` SET `allowhtml` = '0';
Setelah itu, masuk ke ACP > Tools & Maintenance > Cache Manager > forums > Rebuild Cache. selsesai deh
8. menyembunyikan versi MyBB
Jika kalian tidak menyembunyikn versi mybb kalian hacker akan lebih mudah mencari mybb sasarannya
9. Tetap up-to-date dengan mengikuti Milis MyBB
Agar kalian tidak ketinggalan info lebih baik anda mengikuti milis
10. upgrade ke versi yang baru
Bila mybb merilis versi yang baru berarti ditemukan bug di versi sebelumnya jadi kalian harus mengupgradenya
11. Jangan terlalu banyak menggunakan Plugin
Penggunaan banyak plugins bsa menimbulkan bug jadi lebih baik secukupnya saja
12. Manambahkan Pin di admin login
1. Edit directory di /admin/inc/class_page.php (itu kalau klian masih menggunakan direktori admin default)
cari code:
<div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
dan ganti dengan begini :
<div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
<div class="label"{$login_label_width}><label for="pin">Secret PIN</label></div>
<div class="field"><input type="password" name="pin" id="pin" class="text_input" /></div>
2. Edit Di Directory /admin/index.php
cari code ini :
if($user['uid'])
{
$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
$mybb->user = $db->fetch_array($query);
}
trus ganti dengan ini :
if($user['uid'])
{
$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
$mybb->user = $db->fetch_array($query);
}
if (isset($config['acp_pin']) && $mybb->input['pin'] != $config['acp_pin']) {
$default_page->show_login("Invalid PIN","error");
}
3. Edit di Directory ./inc/config.php latak kan code di bawah ini dimana saja
$config['acp_pin'] = 'pinnya';
Ganti $config['acp_pin'] = 'pinnya'; dengan pin kalian
13. BACKUP
sumber