Sebulan terakhir web berbasis WordPress dan CMS lainnya, kena serangan besar-besaran dari botnet dengan ribuan IP berbeda mengincar username login default “admin” .
Jika sampai saat ini masih menggunakan username : admin dan pemilihan password yang mudah ditebak, sebaiknya diganti untuk meminimalisir blog terkena scanning secara massal.
Untuk lebih mengamankan wp-login, bisa mengikuti tulisan Private Login dan Private Login Lanjutan.
Pastinya sudah tahu dengan file wp-config.php di WordPress, yap file yang sangat penting dan harus dijaga rahasia yang ada didalamnya π
Biasanya file wp-config.php menjadi incaran bagi cracker yang iseng, mereka bisa saja memanfaatkan kelemahan dari suatu plugin / theme WordPress atau sengaja mengupload file “backdoor shell” ke hosting untuk mengintip isi wp-config web WordPress lainnya.
Kalau wp-config sudah mereka dapatkan, mereka tinggal meng-koneksikan ke MySql melalui menu di backdoor shell tadi, edit table wp_users dan diubah password login.
Lalu bagaimana cara Manipulasi dan Mengamankan wp-config WordPress ?
Salah satu caranya dengan memindahkan file wp-config.php satu level di atas root direktori WordPress. Cara ini hanya bisa jika WordPress di instal di direktori tersendiri misalnya /public_html/wordpress dan bukan di root direktori hosting /public_html.
Nah, berikut cara manipulasi sekaligus “mengerjai” cracker yang intip file wp-config
[*] Buat folder baru di hosting setingkat dengan folder WordPress lainnya, misal : cgi-byn
[*] Copy / Upload file wp-config asli ke folder tersebut. (biar lebih aman rename jadi nama lain. Misalnya menjadi : log.php)
[*] Buka file wp-config asli yang nantinya akan dimanipulasi, kemudian tambahkan kode berikut sebelum baris
// ** MySQL settings – You can get this info from your web host ** //
kode :
require_once(ABSPATH . 'cgi-byn/log.php');
ket : file konfigurasi WordPress dialihkan ke ../cgi-byn/log.php
Saya sendiri lebih suka menempatkannya paling atas sesudah kode <?php
penampakannya
[*] Edit bagian DB_NAME, DB_USER dan DB_PASSWORD untuk menipu cracker
misalnya :
[*] Simpan dan Coba cek Web.
Jika ada tulisan “error establishing a database connection” atau hanya tampilan putih saja, berarti ada yang salah alias gagal. Coba ulangi lagi!
Jika tampilan dan akses normal, berarti berhasil.
Bila sudah berhasil, tukang ngintip hanya akan menemukan wp-config.php hasil manipulasi seperti diatas dan koneksiΒ ke database tetap aman (kecuali jika mereka teliti lihat kode dimana wp-config yang telah dipindahkan) π
Semoga Berguna
Ilmu yang bermanfaat,,,watur nuwun ndorooo
Balas Yoo
memang sekarang sedang banyak yang lagi ngincar username sama password login dengan berbagai teknik, lalu nantinya mengobrak -abrik isi blog kita.
Kapan ya mereka sadar?
Balas Yoo
hehe.. ntar mereka juga bosan sendiri kok. yg penting diantisipasi dulu π
Balas Yoo
Kadangkala ketika update WordPress juga dapat mengalami error pada wp ini…kalau saya yang tidak begitu tahu tentang html seperti ini langsung aja kontak penyedia hosting untuk memperbaikinya….salam mas…
Balas Yoo
Manipulasi dan Mengamankan wp-config WordPress | [ JhezeR ].com…
Sebulan terakhir web berbasis WordPress dan CMS lainnya, kena serangan besar-besaran dari botnet dengan ribuan IP berbeda mengincar username login default βadminβ . Jika sampai saat ini masih menggunakan username : admin dan pemilihan password yang mud…
Wah .. bisa belajar dulu kang,thanks youu yaa ^_^
Balas Yoo
hmmm…. ane coba dulu gan…
Balas Yoo
Waduw, serem juga ya.
Mudah2an blog saya aman2 aja.
Pengen sih ikut trik dan tipsnya mas, cuma belum sempat ngoprek2 nih.
Ntar deh pas libur π
Balas Yoo
seremnya kalo sampai database di drop dan gak ada backup-an
Balas Yoo
Iya gan,ampun-ampun deh.bnyk web klien kena serangan Cracker.apa untungnya coba isengin web orang.mending amazon,ebay,dll yg jls2 bnyk duitnya.apa otak mereka ga mampu membobol situs-situs gede?.
ksel jg kdng dbkin repot -_-
Balas Yoo
kdg mereka ngejar setoran defacing gan π
Balas Yoo
wahahaha, bisa di coba nih.. π
Balas Yoo
ilmunya simple dan sangat bermanfaat. thank ya gan. oya gimana caranya tukeran link ya gan??
Balas Yoo
mas, kalo wp-config nya ane pindahkan, trus w3 total cache ko ada notif eror ya?
Balas Yoo
Masih awam soal wp, ijin mempelajari ilmunya gan
Balas Yoo
Waduhh.. serem juga gan
ane coba dulu ya gan,
Balas Yoo
Sepertinya sekarang udah agak aman gan soalnya WP sering melakukan update.. tp ga ada salahnya untuk berjaga-jaga.
Thanks untuk artikelnya gan
Balas Yoo
Ane coba dulu ya gan.. semoga blog ane tetep aman
Balas Yoo
bagus banget nih buat newbie kaya ane yang masih awam tentang daleman wp, thanks yoo sharingnya
Balas Yoo
santoso tewas kang, alhamdulillah. Raider kostrad emang debes.
Balas Yoo
Halo, Silahkan Tinggalkan Jejak Komentarnya Yoo...
[ Tulisan Terbaru ]
[ Tulisan Populer]
Blogger Tamu