Alhamdulillah… seperti saya bilang sebelumnya, hacker adalah teman para webmaster. Tanpa mereka, kita tak pernah belajar sisi securitas web. Dan alhamdulillah seharian kemarin ada hacker yang terus-terusan coba melakukan penyusupan ke blog ini.
Kemudian berkat beliau juga saya akhirnya menemukan banyak resource yang membongkar semua kelemahan WordPress. Ya, beberapa plugin memang jadi biang keladi bocornya WordPress kita. Salah satu plugin yang wajib anda hindari aja is_human. Plugin ini punya lubang keamanan yang berbahaya dan saran dari para ahli keamanan sebaiknya mencari plugin lain.
Karena kita belum tahu plugin mana lagi yang kelak ditemukan exploit-nya, maka untuk jaga-jaga, sebaiknya anda menginstall plugin WordPress FireWall 2. Plugin ini akan memblockir aneka cara exploit yang biasa digunakan hacker untuk menyusup. Nanti anda akan mendapatkan pemberitahuan cara-cara apa yang mereka pakai hehehe..
Tapi masalahnya kemudian plugin ini terlalu secure sehingga untuk mengedit themes, anda harus melakukannya di cpanel. Kalau anda coba di dashboard maka akan dianggap sebagai upaya exploit dan langsung di blockir š
Dan kepada bro k4L0ng666 saya ucapkan banyak terima kasih atas pelajaran yang diberikan. Sekarang banyak hal yang bisa saya ceritakan kepada teman-teman pemakai WordPress untuk mencegah pihak yang tidak bertanggung jawab dalam mengexploitasi blognya.
Terima kasih juga kepada Matthew Pavkov atas pluginnya yang keren ini. Dan kepada pengunjung setia maupun pengunjung nyasar WordPress.or.id segera dipasang ya pluginnya
63 replies on “Wajib Install: WordPress FireWall”
mau tanya exploit tu apa ya ??makasih udah ngasi tau..
exploitasi. Baca lengkap disini: http://id.wikipedia.org/wiki/Eksploitasi
oya..mas! klo mau edit themes, plugin firewall-nya di nonaktifkan dulu bisa gak ya??? jadi, gak perlu masuk ke Cpanel lagi
Belum coba. Bisa sepertinya
Bisa bro, saya biasa melakukannya soalnya
mas, saya mau tanyak. udah sekitar dua minggu yang lalu, blog saya di hack entah siapa yang hack, padahal gak punya musuh, udah gitu tulisan saya gak ada yang bermanfaat lagi, yang saya mau tanyak kan, yang di hack para hacker itu cpanel nya apa cuma wordpress nya ya mas? saya di suruh ganti kata sandi sama penyedia hosting nya.
Bisa dua-duanya. Lewat cpanelnya bisa, lewat plugin wordpress juga bisa
pengalaman saya 4 kali dihack selama seminggu, ternyata masuk di cpanel. kenyataan seminggu kemudian server kolap kena serangan DDOS. Baru malam ini server normal dan katanya sudah dipatch sistemnya. Untung hanya deface. Padahal pasword wp panjaaaaaaaaaang (pake alamat rumah lengkap)
mas @lenterak, jadi bener para hacker , merusaknya dari cpanel nya ya mas?
Gak selalu lewat cpanel š
salah satunya ya ( yg ini terjadi pada saya). tapi juga bisa lewat tema, plugin, admin (brute force). saya ada contoh: setelah install plugin (lupa namanya) tiba-tiba muncul file css.php 66 kb di folder tema, didonlot gak bisa karena terdeteksi trojan PHP:shell-ax oleh avast antivirus. Kalo ingin contoh file ini kontak saya.
wah, saya di kirimin email kalau koment nya dibales, jadi gak ketinggalan info. jadi gitu ya
Edit themes itu apa termasuk ganti image headernya mas ?
Ndak. Cuma edit coding themes aja
Oh kalo gini berarti secara default, dihosting saya dah protect bgt. Soalnya saya cuma bisa update apapun via cpanel. Kalau autoupgrade ga bisa. Tks mas infonya
Tp masih wajib pasang plugin ini ga ya?!
Wajib pasang !!
tengkyu atas petunjuknya š
saking hebatnya… IP saya sendiri diblok oleh firewall2, padahal saya ngedit di cpanel dg dashboard terbuka. Setelah ngedit kembali ke dashbord jadi hang. Saran: nonaktifkan dulu firewall2 apabila ngedit tema, setelah selesai cepat-cepat aktifkan kembali.
Wah sama kejadiannya seperti saya kemarin dalam 1 minggu blog saya kena 3 kali deface. Eh, ternyata setelah di selidiki ada celahnya, soalnya baru buat folder pada CPanel. Untung kemarin hanya di deface aja, nggak di ubrak-abrik.
Intinya Hacker itu penolong WebMaster…kalau nggak ada hacker maka nggak ada namanya perbaikan security. Bukan begitu mas Lutvi???
Bener š Siapa coba yang mau repot-repot memeriksa keamanan blog kita kalau bukan mereka?
Alamakkk…kayanya yang nysup di blog sy ( http://www.kastok.net/) si k4L0ng666.
Padahal saya udh ngistal wp firewall dan sy pu udh dapat email dari firewall wp tp karen saat itu sy ga bisa buka blog saya maka saya diamin aja, ehh besok paginya saya buka langsung buka http://www.kastok.net/ hany tampilan laki2 berjubah dan suara mp3.
Saya jadi penasaran ama sang k4L0ng666 nihhh?
Saya butuh masukkannya nih untuk keamanan Wp plugin apa aja yg harus di install ?
Iya, saya kemarin juga gitu. Dia mengubah password WordPress juga hehehe… Untungnya cpanel masih open jadi bisa langsung rubah password lagi dari cpanel. Tak lupa, password cpanel dirubah juga
Pusing jg y WP..
Sy pk hosting gratisan, WP nya 3.2.1. Kl mau edit tampilan, spt background dr WP langsung gak bisa ya?hrs dr file di hosting?caranya gmn?
Thx
Hehehe… siapa bilang hosting gratis. Memang anda nggak bayar pakai duit, tapi pakai kepala pusing hehehe…
Baru dapat refrensi dan langsung saya coba > makasih om š
hari ini saya juga baru install wordpress…,,
kalo ada bug bisa hub sya mas2,
wah mastah security hadir. jadi malu nich
Beberapa blog wp saya juga pernah dikunjungi tangan-tangan jahil, sekarang makin berhati-hati mengamankan blog. Thanks atas infonya bro..
jiiiaaahhhhhh,selamat puasa aje wez…
disini mah kita belajar bareng mas, š
cara setting plugin ini gimana???
Tidak perlu setting. Install dan aktifkan aja
Plugin ini hebat. tapi sering memblock googlebot dan membuat restricted di googlewebmaster. coba cek ip yg di blok, paling banyak milik google bot. Sampai skarang sih masih bingung cara nanggulanginya..mas Lutvi ada saran?
Masukkan aja IP-nya di Whitelisted IPs gampang kan
weleh bener jg yah. nga kepikir. thanks mas.
mas saya punya masalah pada WP saya, saya lihat di sourcepage ada banyak link orang lain, padahal saya tidak pernah memasangnya, dan stylenya disembunyikan, apakah blog saya kena ulah penyusup trus ngatasinnya gmana, oiya bukan hanya satu blog saja, semua blog dalam satu host tersebut sama kayak gitu ada banyak link orang lain.
mohon pencerahannya.
makasih banyak infonya om.. š
Thank you baNgeT Ya UntUk inFOrMAsiNya. SemOga BermanFaat Buat Ane JUga. Please FaceBack me Okey. Good Job
Kemarin blog sy jg habis kena hack mas, awalnya kagetnya setengah hidup… lha tau2 yg muncul gambar tengkorak…. heheehe tp berkat adanya kejadian itu, sy langsung cari2 artikel gmn cr meminimalisir agar tdk mudah di hack lg, dan akhirnya banyak jg yg sy rubah dan tambah didalam scriptnya, dan tentunya sy pakai plugin firewall juga. Moga ga dihack lagi yach…
Plugin ini wajib di instal. Mantaps banget.
mas, ane install wordpress firewall tiap hari notifikasi yg masuk ke email banyak banget. Apa kalo ada email masuk dari wp firewall itu berarti ada yang ingin meng-hack wordpress kita? matur suwun atas jawabannya
hehe kadang2 juga sebel pake plugin ni, lupa ga di disable dulu, abis ngedit eh dianggep exploit, ga ke simpen deh settingannya š
Mas kalau kita pake akses internet dengan Ip dinamis nanti bisa pengaruh ?
terima kasih infonya gan
Mas…saya pake plugin ini dan kemudian saya pindahan hosting…ternyata di IP dari hosting baru di blok oleh Firewall jadi web nggak bisa diakses..bagaimana cara mengatasinya…
Mas, maksudnya whitelist IPs itu apa, saya menerima banyak email dari firewall 2 apakah semua IP yang di kirimkan ke email itu saya harus masukkan ke plugin firewall 2 atau sebaliknya. Kok gak ada tempat untuk blacklistnya. makasi
Untuk cara settingnya biarin standart ya mas?
siph terima kasih sangat membantu sekali
Makasih gan..sharingnya, Info yang sangat bermanfaat, memang kalo ga dihack kita agar pernah peduli akan keamanan website kita.
Salam buat para master wp, saya bingung maklum newbi. Saya install plugin OSE Firewall Setelah itu kok malah ga bisa akses semua halaman dasbord admin panel “You do not have sufficient permissions to access this page.” Dan saya jadi bignung gimana cara supaya bisa akses lagi
terima kasih
Wah bagus banget nih infonya bagi para pengguna wp, semoga kita makin hati-hati dalam mengamankan blog wp kita, thanks mas bro..
Maaf Agan Master mau tanya nih, Komponen-komponen apa saja sih pada wordpress yang biasa dipakai oleh hacker sebagai jalan atau celah untuk menjahili blog wp ?
makasih infonya mas, sangat bermanfaat bagi pemula seperti saya
I simply want to tell you that I’m beginner to weblog and honestly loved you’re web page. Most likely Iām planning to bookmark your site . You definitely come with incredible posts. Cheers for sharing with us your web page.
I simply want to say I am beginner to blogging and site-building and really enjoyed this web site. Very likely Iām planning to bookmark your blog . You absolutely have superb well written articles. Thanks a lot for sharing with us your blog.
Just desire to say your article is as astounding. The clearness in your post is simply great and i could assume you’re an expert on this subject. Fine with your permission let me to grab your RSS feed to keep updated with forthcoming post. Thanks a million and please carry on the enjoyable work.
Can I just say what a relief to uncover an individual who really understands what they’re discussing on the net. You actually understand how to bring an issue to light and make it important. More and more people have to read this and understand this side of the story. I was surprised that you are not more popular since you certainly possess the gift.
Your Fb colleague have been choice your statuses like it’s their work
I comparable this web blog very a large amount accordingly a large amount magnificent information.
Excellent post. I was checking continuously this blog and I’m impressed! Very useful information particularly the last part š I care for such info much. I was looking for this certain information for a long time. Thank you and best of luck.
This is really interesting, You’re a very skilled blogger. I have joined your feed and look forward to seeking more of your excellent post. Also, I’ve shared your website in my social networks!
I was recommended this website by my cousin. I am not sure whether this post is written by him as nobody else know such detailed about my trouble. You are wonderful! Thanks!
Good write-up. I certainly love this site. Keep it up!