Tips Sebelum Dan Selepas WordPress Anda Di Hack!

WordPress Hack atau Deface! Inilah yang paling tidak sedap didengar dan digeruni oleh pengguna WordPress platform. Baru-baru ini mobilityworlds telah di hack. Sememangnya saya agak bernasib baik kerana coder (Dr. Cruzz), pihak yang bertanggungjawab tidak melakukan sebarang kerosakan kepada fail database dan juga tidak meng”inject” sebarang malware ke dalam fail mobilityworlds. Jadi, saya amat berterima kasih kepada Dr. Cruzz kerana tindakannya telah menyedarkan saya (wake-up call) tentang peri pentingnya security di WordPress. Dengan prasangka yang baik saya menerimanya seolah-olah Dr. Cruzz memaklumkan kepada saya “…bro, di mana sekuriti ni?”.

WordPress Hack

Bertitik tolak dari kejadian tersebut, saya telah melakukan beberapa perubahan drastik, antaranya update versi WordPress yang disediakan oleh pihak hosting di Fantastico  kepada versi yang terkini, membuang plugin yang berisiko, patching code dan macam-macam lagi.

WordPress Hack! Tips Sebelum Dan Selepas

Hari ini, saya telah memutuskan untuk menulis post perkongsian yang dirasakan berguna kepada rakan-rakan blogger dan pembaca yang menggunakan WordPress sebagai platform untuk berblog. Di bawah ini, saya senaraikan beberapa langkah atau kaedah yang boleh diguna pakai untuk meningkatkan tahap keselamatan blog anda. Sesetengah “patching” asas boleh membantu melindungi dan mencegah blog anda daripada di hack.

1. Backup

Ini adalah langkah pertama dan yang paling penting. Sebelum anda merancang untuk membuat apa-apa perubahan, pastikan anda melakukan backup database terlebih dahulu. Anda boleh lakukan ini secara manual melalui cPanel atau menggunakan plugin yang tersedia.

2. Update Versi WordPress Anda

Langkah kedua yang penting selepas membuat backup ialah update WordPress anda kepada versi yang terkini. Anda harus sentiasa memastikan bahawa versi blog anda sentiasa up to date.

3. Tukarkan Username Login Password Anda

Secara default, login wordpress adalah “admin” dan kebanyakan penggodam maklum akan hal ini. Kita perlu mengubah ini kepada sesuatu yang lain yang sukar untuk diteka. Perkara yang terbaik untuk dilakukan ialah dengan “delete” default admin dan membuat custom login yang baharu. Saya mencadangkan agar anda menggunakan kata laluan yang kukuh yang melibatkan kombinasi upper key, lower key, nombor dan simbol. Kebanyakan penggodam akan cuba menggunakan kaedah “brute force” untuk meneka kata laluan anda, dan sekiranya kata laluan anda adalah benar-benar kuat seperti yang saya nyatakan sebelum ini, anda tidak perlu risau.

4. Install Better WP Security plugin

Sekiranya anda memilih untuk menggunakan plugin, Better WP Security adalah pilihan pertama. Segala fungsi keselamatan blog WordPress telah lengkap.

5. Install WP Security Scan

WP Security Scan Plugin

Plugin ini adalah antara yang terbaik. Ianya mudah digunakan dan bertindak secara automatik. Ia akan mengimbas blog wordpress anda untuk mengenal pasti sebarang kelemahan dan memaklumkan kepada anda jika mendapati mana-mana kod jahat dan sebagainya. Sekiranya teks yang dipamerkan di Initial Scan berwarna hijau, maka segalanya berada dalam keadaan yang baik. Sebaliknya, jika berwarna merah, anda perlu berbuat sesuatu untuk mengubahnya.

6. Tukarkan WordPress Database Table Prefix

Pilihan ini boleh dilakukan menggunakan WP Security Scan (no.5) di atas di bahagian Database. Secara default, wordpress database table prefix menggunakan wp_. Rujuk di cPanel -> Database -> phpMyAdmin -> dan klik di bahagian wordpress database anda. Semua awalannya bermula dengan wp_. Situasi ini sememangnya diketahui oleh penggodam.

Serangan SQL Injection adalah lebih mudah dilakukan dengan penggunaan awalan yang sedia ada kerana ia lebih mudah untuk diteka. Menukar table prefix ini amat disyorkan dan anda boleh melakukannya menerusi dua kaedah. Cara manual memerlukan beberapa peringkat kerja yang rumit dan teknikal dan tidak disyorkan untuk newbie; dan cara yang kedua anda boleh gunakan plugin WP Security Scan dan jauh lebih mudah.

Klik di WSD Security -> Database. Sebaik sahaja anda berada di dalamnya, anda diberi pilihan untuk menukar nama table prefix anda kepada sesuatu yang sukar untuk diteka.

7. Elakkan Script Injection

Lindungi blog WordPress anda daripada script injection, dan sebarang pengubahsuaian yang tidak diingini. Copy dan Paste kod di bawah di root .htaccess anda;

[code]# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L][/code]

8. Scan Blog Anda Di Sucuri SiteCheck

Untuk mengenalpasti samada blog anda dijangkiti malware atau di blacklist, anda boleh menggunakan perkhidmatan Sucuri SiteCheck secara percuma.

9. Install Bulletproof Security Plugin

Selain daripada menggunakan plugin WP Security Scan (no.5) anda boleh pertimbangkan penggunaan  plugin Bulletproof Security.

10. Gunakan cPanel dan Logik

Ini adalah logik sahaja, sekiranya blog anda di hack, sebarang perubahan akan direkodkan di cPanel anda samada di “Error Log” atau anda boleh mengenalpasti fail yang telah diubah berdasarkan masa dan waktu yang tercatat di root WordPress Installer anda.

11. Hubungi Syarikat Hosting Anda

Last but not least, pilihan ini saya letak sebagai pilihan terakhir kerana pada pendapat peribadi adalah lebih baik sekiranya kita dapat “explore” terlebih dahulu kesan daripada pencerobohan tersebut. Setidak-tidaknya dapat mempelajari sesuatu yang berguna dan sebagai mempersiapkan diri di masa hadapan sekiranya perkara yang sama berulang. Sememangnya pihak hosting anda akan menyelesaikan masalah anda, tapi adakah anda mempelajari sesuatu daripada apa yang terjadi. Biasanya penyedia hosting hanya akan memaklumkan anda perkara yang asas sahaja seperti “terlalu banyak plugin outdated” dan sebagainya.

Kesimpulan

Ini hanyalah sebahagian sahaja tips sebelum dan selepas wordpress anda di hack. Terdapat banyak lagi cara lain yang boleh dilakukan untuk melindungi atau meningkatkan tahap keselamatan blog WordPress kesayangan anda daripada dicerobohi. Sekiranya ada yang ingin bertanya lebih lanjut, sila kemukakan di bahagian komen di bawah dan saya akan cuba membantu setakat yang termampu.

Perlu diingatkan adalah mustahil untuk melindungi blog wordpress anda 100% dari dicerobohi dan tips yang saya kemukakan di atas hanyalah sebahagian daripada cadangan. Diharapkan perkongsian ini dapat memanfaatkan pembaca dan pengguna blogger yang lain dalam usaha kita untuk mengurangkan risiko daripada WordPress Hack atau Deface ini.