Tips Security WordPress Tercanggih - Ini adalah lanjutan dari artikel Tips Menjaga Keamanan Wordpress. Di WordPress umum cukup aman selama Anda menerapkan akal sehat dan mengikuti praktik keamanan standar. Tips yang disebutkan dalam artikel ini adalah untuk keamanan tambahan (Anda tidak perlu menerapkan mereka semua).
Namun, jika Anda berada dalam mood untuk beberapa tweaking canggih maka tips keamanan berikut harus berguna
Sangat disarankan bahwa Anda pertama kali menguji teknik ini pada tes atau pengembangan situs sebelum menerapkannya ke situs hidup Anda. Melakukan beberapa tips yang disarankan di sini dapat merusak situs Anda jika tidak dilakukan dengan benar.
Kami tidak bertanggung jawab atas kecelakaan sebagai akibat dari usaha Anda dalam menerapkan teknik yang dibahas dalam artikel ini.
Juga mencatat bahwa teknik ini mengasumsikan bahwa instalasi WordPress Anda berjalan Apache dan Anda memiliki mod_alias dan mod_rewrite diinstal.
Anda dapat menonaktifkan jejak fungsi baik melalui file konfigurasi Apache atau dengan menempatkan berikut dalam file .htaccess:
Namun, jika Anda berada dalam mood untuk beberapa tweaking canggih maka tips keamanan berikut harus berguna
CATATAN dan DISCLAIMER
Sebagian besar teknik ini mengharuskan Anda untuk memahami apa yang Anda lakukan.Sangat disarankan bahwa Anda pertama kali menguji teknik ini pada tes atau pengembangan situs sebelum menerapkannya ke situs hidup Anda. Melakukan beberapa tips yang disarankan di sini dapat merusak situs Anda jika tidak dilakukan dengan benar.
Kami tidak bertanggung jawab atas kecelakaan sebagai akibat dari usaha Anda dalam menerapkan teknik yang dibahas dalam artikel ini.
Juga mencatat bahwa teknik ini mengasumsikan bahwa instalasi WordPress Anda berjalan Apache dan Anda memiliki mod_alias dan mod_rewrite diinstal.
1. Nonaktifkan Metode HTTP
Ada teknik serangan keamanan yang disebut Cross Site Tracing (XST) yang dapat digunakan bersama-sama dengan mekanisme serangan lain yang disebut Cross Site Scripting (XSS) yang mengeksploitasi sistem yang memiliki fungsi HTTP TRACE. HTTP TRACE adalah fitur fungsional default pada kebanyakan webservers dan digunakan untuk hal-hal seperti debugging. Hacker yang menggunakan XST biasanya akan mencuri cookie dan informasi server sensitif lainnya melalui permintaan sundulan.Anda dapat menonaktifkan jejak fungsi baik melalui file konfigurasi Apache atau dengan menempatkan berikut dalam file .htaccess:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
2. Nonaktifkan output header dari instalasi WordPress
WordPress sering dapat menambahkan cukup banyak output dalam header yang berkaitan dengan berbagai layanan. Kode berikut menunjukkan bagaimana Anda dapat menghapus banyak output ini.
Peringatan: Ini dapat mematahkan beberapa fungsi jika Anda tidak berhati-hati. Misalnya, jika Anda menggunakan RSS feed maka Anda mungkin ingin komentar garis yang keluar.
Tambahkan kode berikut ke file functions.php tema Anda:
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'parent_post_rel_link', 10, 0);
remove_action('wp_head', 'start_post_rel_link', 10, 0);
remove_action('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0);
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0);
remove_action('wp_head', 'noindex', 1);
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'parent_post_rel_link', 10, 0);
remove_action('wp_head', 'start_post_rel_link', 10, 0);
remove_action('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0);
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0);
remove_action('wp_head', 'noindex', 1);
3. Menolak komentar posting melalui server proxy
Anda dapat mengurangi spam dan permintaan proxy umum dengan mencoba untuk mencegah komentar yang diposting melalui server proxy. Gunakan kode di bawah (pujian dari perishablepress.com) dalam file .htaccess:
RewriteCond %{REQUEST_METHOD} =POST
RewriteCond %{HTTP:VIA}%{HTTP:FORWARDED}%{HTTP:USERAGENT_VIA}%{HTTP:X_FORWARDED_FOR}%{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION}%{HTTP:HTTP_PC_REMOTE_ADDR}%{HTTP:HTTP_CLIENT_IP} !^$
RewriteCond %{REQUEST_URI} !^/(wp-login.php|wp-admin/|wp-content/plugins/|wp-includes/).* [NC]
RewriteRule .* - [F,NS,L]
RewriteCond %{HTTP:VIA}%{HTTP:FORWARDED}%{HTTP:USERAGENT_VIA}%{HTTP:X_FORWARDED_FOR}%{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION}%{HTTP:HTTP_PC_REMOTE_ADDR}%{HTTP:HTTP_CLIENT_IP} !^$
RewriteCond %{REQUEST_URI} !^/(wp-login.php|wp-admin/|wp-content/plugins/|wp-includes/).* [NC]
RewriteRule .* - [F,NS,L]
4. Ubah bawaan WordPress DB prefix Anda
Anda mungkin sudah menyadari bahwa WP menggunakan nilai awalan default "wp_" untuk tabel DB. Hal ini pada gilirannya dapat digunakan oleh bot berbahaya dan hacker untuk menebak nama tabel DB Anda.
Secara umum, mengubah nilai awalan DB WP Anda jauh lebih mudah dilakukan pada waktu instalasi karena Anda dapat mengaturnya dalam file wp-config.php Anda.
Sebaliknya jika Anda sudah memiliki situs WP hidup dan Anda ingin mengubah prefix DB Anda, maka prosedur ini sedikit lebih rumit.
Sebuah panduan dasar untuk mengubah awalan DB setelah menginstal untuk mereka yang ingin tahu secara singkat diuraikan di bawah:
1) Lakukan backup DB penuh dan menyimpan cadangan di suatu tempat offboard. Menggunakan sesuatu seperti BackupBuddy bisa berguna.
2) Apakah dump lengkap DB WP Anda menggunakan PHPMyAdmin ke file teks dan menyimpan 2 eksemplar - satu untuk editing dan lainnya sebagai asli hanya dalam kasus.
3) Menggunakan editor kode yang baik, ganti semua contoh "wp_" dengan awalan Anda sendiri.
4) Dari panel admin WP Anda, menonaktifkan semua plugin
5) Menggunakan PHPMyAdmin, drop DB lama Anda dan mengimpor baru Anda menggunakan file yang diedit pada langkah 3.
6) Edit file wp-config.php Anda dengan nilai awalan DB baru.
7) Re-aktifkan plugin WP Anda
8) Lakukan lain menghemat pengaturan permalink Anda dengan pergi ke Settings-> Permalinks untuk menyegarkan struktur permalink Anda.
Peringatan:
Kadang-kadang plugin menambahkan awalan mereka sendiri setelah prefix wordpress di mana keduanya identik.
Misalnya, Anda mungkin memiliki nama tabel dari plugin tertentu memiliki nama seperti berikut: wp_wp_abc_table_name.
Pastikan ketika mengganti "wp_" contoh pada langkah 2 di atas bahwa Anda hanya mengganti pertama "wp_" awalan dan bukan satu mengikutinya.
Misalnya jika kita ambil contoh kita hanya disebutkan kami akan mengganti awalan pertama dengan awalan baru yang untuk contoh ini mungkin disebut "trx_".
Nama baru akan terlihat seperti:
trx_wp_abc_tablename
Perhatikan bahwa ada juga WP plugin di luar sana yang dapat mencapai langkah di atas bagi mereka yang tidak siap untuk mendapatkan tangan mereka kotor.
5. Tolak Strings Query Berpotensi Berbahaya
Anda dapat menempatkan kode berikut di file .htaccess Anda untuk membantu mencegah serangan XSS.
Awas: Fungsi dari beberapa plugin atau tema bisa pecah jika Anda tidak berhati-hati untuk mengecualikan string yang digunakan oleh mereka.
# QUERY STRING EXPLOITS
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp: [NC,OR]
RewriteCond %{QUERY_STRING} http: [NC,OR]
RewriteCond %{QUERY_STRING} https: [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|'|"|;|?|*).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]
RewriteRule ^(.*)$ - [F,L]
</IfModule>
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp: [NC,OR]
RewriteCond %{QUERY_STRING} http: [NC,OR]
RewriteCond %{QUERY_STRING} https: [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|'|"|;|?|*).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]
RewriteRule ^(.*)$ - [F,L]
</IfModule>
6. Terapkan PHP pengerasan untuk sistem Anda
Anda dapat menginstal dan mengaktifkan Suhosin yang merupakan sistem pengerasan PHP pada server Anda. Ini dapat lebih meningkatkan keamanan sistem anda dengan melindungi terhadap berbagai kerentanan.
Suhosin biasanya menginstal pada kebanyakan instalasi PHP dan kadang-kadang dimasukkan oleh webhosting perusahaan secara default. (Periksa dengan penyedia hosting Anda)
Jika Anda dapat membaca lebih lanjut tentang Suhosin sini.
Pastikan untuk membaca Esensial artikel Tips Keamanan WordPress jika Anda belum melakukannya.
(Via Tipsandtriks-hq)
0 on: "Tips Security WordPress Tercanggih"