Posted inBlog Wordpress

Tips Security WordPress Tingkat Lanjut

June 26, 2015No Comments

Wordpress

Artikel ini merupakan artikel lanjutan dari artikel: Tips-Tips Dasar Menjaga Keamanan Blog WordPress Anda.

Pada umumnya, WordPress memanglah platfom website yang memiliki keamanan yang bagus, selama anda tidak melakukan hal yang aneh – aneh dan mengikuti standar keamanan WordPress. Tips – tips yang akan saya barikan pada artikel kali ini adalah untuk lapisan keamanan ekstra bagi website WordPress anda (anda tidak perlu menerapkan semuannya.

Tetapi, jika anda memang ingin mencoba untuk memberikan lapisan keamanan tingkat lanjut pada WordPress anda, maka tips – tips ini akan menjadi hal yang berguna bagi anda.

Catatan: Sebagian besar dari teknik – teknik ini membutuhkan anda untuk mengerti apa yang anda lakukan. Saya merekomndasikan untuk mengetes teknik – teknik ini pada situs percobaan sebelum menerapkannya pada situs anda yang asli. Beberapa teknik ini dapat merusak situs anda jika tidak dilakukan dengan benar.

Jika terjadi kesalahan pada situs anda setelah anda menerapkan tips – tips ini, itu bukanlah tenggung jawab kami. Juga, tolong diperhatikan bahwa untuk menjalankan teknik – teknik ini, instalasi WordPress anda menjalankan Apache dan anda juga sudah menginstal mod_alias dan mod_rewrite.

1. Mendisable Metode HTTP Trace

Ada sebuah teknik untuk menyerang keamanan WordPress yang bernama Cross Site Tracing (XST) yang bisa digunakan bersama dengan teknik penyerangan lain yang bernama Cross Site Scripting (XSS) yang mengeksploitasi sistem yang memiliki HTTP TRACE yang berfungsi. HTTP TRACE adalah fitur fungsional default pada sebagian besar webserver dan digunakan untuk hal – hal seperti debugging. Hacker yang menggunakan XST biasanya akan mencuri cookie dan informasi server sensitif lainnya melalui request header.

Anda dapat mendisable fungsi trace melalui file konfigurasi Apache anda atau dengan meletakkan kode – kode berikut ke file .htaccess anda:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]

2. Hapus Output Header Dari Installasi WordPress Anda

WordPress terkadang bisa menambah cukup banyak output dalam header anda yang berkaitan dengan berbagai service. Kode berikut akan menunjukkan bagaimana anda bisa menghapus banyak output tersebut.

Peringatan: Hal ini bisa merusak beberapa fungsi WordPress anda jika anda tidak berhati – hati.

Tambahkan kode berikut ke file theme functions.php anda:

remove_action(‘wp_head’, ‘index_rel_link’);
remove_action(‘wp_head’, ‘feed_links’, 2);
remove_action(‘wp_head’, ‘feed_links_extra’, 3);
remove_action(‘wp_head’, ‘rsd_link’);
remove_action(‘wp_head’, ‘wlwmanifest_link’);
remove_action(‘wp_head’, ‘parent_post_rel_link’, 10, 0);
remove_action(‘wp_head’, ‘start_post_rel_link’, 10, 0);
remove_action(‘wp_head’, ‘adjacent_posts_rel_link_wp_head’, 10, 0);
remove_action(‘wp_head’, ‘wp_generator’);
remove_action(‘wp_head’, ‘wp_shortlink_wp_head’, 10, 0);
remove_action(‘wp_head’, ‘noindex’, 1);

3. Tolak Komentar Posting Melalui Server Proxy

Anda dapat mengurangi spam dan request proxy dengan mencoba untuk mencegah komentar yang dipost melalui server proxy. Masukkan  kode dibawah ini dalam file .htaccess anda:

RewriteCond %{REQUEST_METHOD} =POST
RewriteCond %{HTTP:VIA}%{HTTP:FORWARDED}%{HTTP:USERAGENT_VIA}%{HTTP:X_FORWARDED_FOR}%{HTTP:PROXY_CONNECTION} !^$ [OR] RewriteCond %{HTTP:XPROXY_CONNECTION}%{HTTP:HTTP_PC_REMOTE_ADDR}%{HTTP:HTTP_CLIENT_IP} !^$
RewriteCond %{REQUEST_URI} !^/(wp-login.php|wp-admin/|wp-content/plugins/|wp-includes/).* [NC] RewriteRule .* – [F,NS,L]

4. Tolak Query String Yang Berpontsi Menjadi Berbahaya

Anda dapat menepatkan kode dibawah ini pada file .htaccess anda untuk membantu mencegah serangan XSS.

Peringatan: Beebrapa fungsi plugin atau theme dapat rusak jika anda tidak hati – hati untuk mengecualikan string yang digunakan oleh mereka.

# QUERY STRING EXPLOITS
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ../   [NC,OR] RewriteCond %{QUERY_STRING} boot.ini [NC,OR] RewriteCond %{QUERY_STRING} tag= [NC,OR] RewriteCond %{QUERY_STRING} ftp: [NC,OR] RewriteCond %{QUERY_STRING} http: [NC,OR] RewriteCond %{QUERY_STRING} https:   [NC,OR] RewriteCond %{QUERY_STRING} mosConfig [NC,OR] RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|’|”|;|?|*).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC] RewriteRule ^(.*)$ – [F,L] </IfModule>

Dan itu adalah tips – tips yang bisa saya tawarkan, jika memang merasa bahwa tips – tips yang saya berikan apada artikel ini meamng terlalu sulit (dan beresiko) untuk dilakukan, maka silahkan baca Tips-Tips Dasar Menjaga Keamanan Blog WordPress Anda, yang dapat dipastikan akan memberikan keamanan yang cukup bagi situs WordPress anda dan membuat tidur anda menjadi lebih nyamana 🙂

Source: https://www.tipsandtricks-hq.com/advanced-wordpress-security-tips-4659

Tags:

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *