SlideShare una empresa de Scribd logo

BLOG SECURITY OPTIMIZED

Descargar como PPTX, PDF
Frenavit Putra
Frenavit Putra

Presentasi tentang Keamanan Blog yang membahas bagaimana cara mengamankan Blog. Presentasi ini digunakan untuk acara roadblog Blogilicious IdBlognetwork

Tecnología
1 de 37
Blog Security Mari amankan Blog Kita Oleh : Frenavit Putra
Sayaadalah? Nama : Frenavit KusmanSetia Putra NamaBeken : Frenavit Putra & Bodrex Alamat : Ds. Beratwetan. Gedeg. Mojokerto AlamatSementara : GebangWetan 23 B, Sby No Telp : 085 648 506 364 Blog : http://frenavit.com Email : mail[at]frenavit[dot]com Frenavit Putra @frenavit @frenavit @frenavitputra frenavit
Securty Blog itu.. Blog = Rumah Internet
Ancamanterhadap Blog ,[object Object]
SQL Injection
Cross-site Scripting (XSS)
SpamingKomentar
Deface
DOS Attack (Denial of Service),[object Object]
Algoritmabrute forcememecahkanmasalahdengansangatsederhana, langsungdandengancara yang jelas(obvious way).Brute Force
Acount Blog mudahdiboboldikarenakan 2 faktor, faktor internal daneksternal. Internal : ,[object Object]
Adanya “Bug” pada OS Hosting atau CMS yang kitapakaiPembobolan Account (1)
Eksternal: ,[object Object],Phising (pengelabuhan) adalahsuatubentukpenipuan yang dicirikandenganpercobaanuntukmendapatkaninformasi, seperti password dan username, denganmenyamarsebagaiorangataubisnis yang terpercayadalamsebuahkomunikasielektronikresmi, seperti email ataupesaninstan, banner. Pembobolan Account (2)
Pembobolan Account (3) ,[object Object],Sniffing atau “penyadapanpaket” adalahsebuahkegiatanuntukmenyadapsetiappaket data yang adadidalamsebuahjaringan, baikjaringan internet atau LAN. Internet Sniffer
SQL Injection adalahsebuahteknikpenyerangan yang memanfaatkansebuah“celah”keamanan yang adadalamlapisan database sebuahaplikasi. Celah Database yang dimaksuddiatastersebutadalahsebuahcelah yang ketikaseorangpenggunamemasukkanisiankarakterkedalam form input yang manatidakada filter secarabenardarikarakter-karakterbebas yang adadi SQL. Beberapakarakterbebas : ‘/”[]^,. dll SQL Injection
XSSatauCross Site Scriptingadalahteknik yang digunakanuntukmenambahkandanmenanamkan script padasebuah website atau blog yang akandieksekusioleh user lain pada browser user lain tersebut. XSSatauCross Site Scripting umumnyamenggunakanHTML/JavaScript, ataubahkanVBScript, ActiveX, Java, Flash, dllyang diinputkanmelalui input form sepertikolomkomentarpada Blog Cross Site Scripting (1)
Cross Site Scripting (2) Cara cekapakahbisadilakukan Cross Site Scripting Blog kita: Silahkanmasukkan tag script via form komen, misal : <script>alert(‘sayacakep');</script> Jikaternyatakeluar alert “sayacakep” ketikahalamandi refresh makabisadipastikan Blog kitabisadilakuan Cross Site Scripting. Cross Site Scripting Redirect
SpamingKomentar Spamming Komentar(komentarsampah) adalahpengirimankomentarsecaraotomatis yang dilakukanoknumkebeberapa Blog sekaligus. Komentar Spam dikirimdengantujuanuntumempromosikansebuah site atauproduktertentu. Untukdapatdikatagorikanmenjadi spam, sebuahkomentarmuncultidakdimintadantermasukbulk. ,[object Object]
Bulkberartibahwakomentartersebutsamaatauhampirsamadengan yang dikirimkebanyak blog lain.,[object Object]
DoS Attacks (denial-of-service attacks) adalahseranganterhadapsebuahkomputeratau server didalamjaringan internet dengancaramenghabiskansumber (resource) yang dimilikiolehkomputertersebutsampaikomputertersebuttidakdapatmenjalankanfungsinyadenganbenarsehinggasecaratidaklangsungmencegahpengguna lain untukmemperolehakseslayanandarikomputer yang diserangtersebut. DoS Attacks
DoS Attacks Skema
KemungkinanAncamanKeamanan Blog
Solusi??
Ganti Username “Admin”, Hal inidigunakanuntukmenghindari Brute Force yang dilakukan Hacker. GunakankombinasiHuruf, angka, danspesialkarakteruntuk username dan password Blog yang powerfull. Ganti Username dan Password secaraBerkala. Amankan Blog
Gunakan password yang kuat. Segera update CMD danPluginswordpresskeversiterbaru. Sembunyikanhalaman Login Standard (http://site.com/wp-admin) denganurllain. Menyembunyikanversiwordpress Pindahkan File wp-config.php. Gunakan Secret Keys. RubahWordPress table prefix. .htaccesslockdown Buat file .htaccess di dalam folder wp-admin. SembunyikanPlugin yang defaultnyaterletakpada http://site.com/wp-content/plugins. Amankan Blog Wordpress
Menggunakan Password yang Kuat ,[object Object]
Janganmengandungkata yang adadi Username.
Terdapatkombinasiantaraangka, huruf, dankarakter. Kombinasikanjugadenganhurufbesarkecil.
Gunakan Password generator.MudahdiIngat
Update CMS danPluginsWordpress Update Engine CMS WordpressdanPluginswordpress yang itagunakanmutlak “wajib” dilakukankarena update keversiterbaruakanmenutupcelah (bug) yang adadiversi lama.
MenyembunyikanHalaman Login Standard Tujuanuntukmenyembunyikanhalaman Login wordpress standard (http://site.com/wp-admin) dilakukanuntukmenghindariadanya Brute Force. Untukmenyembunyikanhalaman Login inibisamenggunakanPlugins Stealth Login
UntukmenyembunyikanVersiWordpressdapatdilakukandengan 2 cara, yaitu : Menambahkan script berikutdi functions.php. function hide_wp_vers() { return ''; } add_filter('the_generator',' hide_wp_vers'); MenggunakanPlugins Secure Wordpress MenyembunyikanVersiWordpress
Pindahkan File wp-config.php Wp-configmerupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPresstidakakanberfungsi. File inidapatdisimpandiluar root direktoriWordPress. Caranyapindahkan file wp-config.php satu level diatas root direktoriWordPress. WordPresssecaraotomatisakanmencari file inibilatidakmenemukannyadi root direktorinya.
Gunakan Secret Key Secret Keys dibuatuntuklebihmenjamininformasi yang tersimpanpada cookies terenkripsisecaralebihbaik. Caranyagunakan online generator padahttp://api.wordpress.org/secret-key/1.1/. Di sanaakanterlihat 4 Secret Keys yang secaraacakterbentuk. Copy Secret Keys tersebutkemudianbuka file wp-config.php dan paste keposisidimanakeempat Secret Keys inidiletakkan.
Ubah Table Prefix Standard Table Perfix Table Perfixmodif ‘wp_’ $table_prefix BilakitamenggantinyasetelahmenginstallWordPress, kitabisamemanfaatkanplugin WP Security Scan atautabel prefix changer. Janganlupa back up terlebihdahulusebelummelakukannya.
.htaccess lockdown Cara iniakanmelindungiwp-admin direktorimelalui .htaccess. Cara inibekerjadenganmengunciaksesterhadapwp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapatmengakseswp-admin kita. Dan hampirtidakmungkinorang lain dengan IP address yang berbedabisamengakseswp-admin. Kode yang harusdibuatpada file .htaccess AuthUserFile /dev/null AuthGroupFile/dev/null AuthName“Access Control” AuthTypeBasic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx Isidenganip yang dikehendaki login
Buat file .htaccess di dalam folder wp-admin # BEGIN WordPress RewriteEngineOn RewriteBase/ RewriteCond%{REQUEST_FILENAME} !-f RewriteCond%{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # END WordPress

Recomendados

SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi KeamananSIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanannadiapuji98
 
Penginstalan wolf cms menggunakan xampp
Penginstalan wolf cms menggunakan xamppPenginstalan wolf cms menggunakan xampp
Penginstalan wolf cms menggunakan xampp150399
 
Cara membuat blog
Cara membuat blogCara membuat blog
Cara membuat blogIndra Lukman
 
Setting virtual host dengan apache (xampp)
Setting virtual host dengan apache (xampp)Setting virtual host dengan apache (xampp)
Setting virtual host dengan apache (xampp)Desfah Iriadi
 
Nms with-nagios
Nms with-nagiosNms with-nagios
Nms with-nagiosPT. PRAMINDO IKAT NUSANTARA
 
機率講義
機率講義機率講義
機率講義eric4801
 
Question2
Question2Question2
Question2Thamina Yunus
 
CPI Event
CPI EventCPI Event
CPI EventChemInnovations
 

Recomendados

SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi KeamananSIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanannadiapuji98
 
Penginstalan wolf cms menggunakan xampp
Penginstalan wolf cms menggunakan xamppPenginstalan wolf cms menggunakan xampp
Penginstalan wolf cms menggunakan xampp150399
 
Cara membuat blog
Cara membuat blogCara membuat blog
Cara membuat blogIndra Lukman
 
Setting virtual host dengan apache (xampp)
Setting virtual host dengan apache (xampp)Setting virtual host dengan apache (xampp)
Setting virtual host dengan apache (xampp)Desfah Iriadi
 
Nms with-nagios
Nms with-nagiosNms with-nagios
Nms with-nagiosPT. PRAMINDO IKAT NUSANTARA
 
機率講義
機率講義機率講義
機率講義eric4801
 
Question2
Question2Question2
Question2Thamina Yunus
 
CPI Event
CPI EventCPI Event
CPI EventChemInnovations
 
機率3 1.3-2投影片
機率3 1.3-2投影片機率3 1.3-2投影片
機率3 1.3-2投影片eric4801
 
Track 4
Track 4Track 4
Track 4ChemInnovations
 
Duurzame ontwikkeling -_de_presentatie
Duurzame ontwikkeling -_de_presentatieDuurzame ontwikkeling -_de_presentatie
Duurzame ontwikkeling -_de_presentatiemichellemertens89
 
Tt c bently_equity audits_2010
Tt c bently_equity audits_2010Tt c bently_equity audits_2010
Tt c bently_equity audits_2010scottiep
 
Pilerensnings fællesanlæg reerslev
Pilerensnings fællesanlæg reerslevPilerensnings fællesanlæg reerslev
Pilerensnings fællesanlæg reerslevondrobaco
 
機率講義
機率講義機率講義
機率講義eric4801
 
3-1,3-2機率講義
3-1,3-2機率講義3-1,3-2機率講義
3-1,3-2機率講義eric4801
 
Q2
Q2Q2
Q2Thamina Yunus
 
CPI Event Preliminary Program
CPI Event Preliminary ProgramCPI Event Preliminary Program
CPI Event Preliminary ProgramChemInnovations
 
Javascript
JavascriptJavascript
JavascriptSushma M
 
Social media | Yuk Sharing tentang Social Media
Social media | Yuk Sharing tentang Social MediaSocial media | Yuk Sharing tentang Social Media
Social media | Yuk Sharing tentang Social MediaFrenavit Putra
 
Track 6
Track 6Track 6
Track 6ChemInnovations
 
Online pyment safety
Online pyment safetyOnline pyment safety
Online pyment safetyFrenavit Putra
 
Tutorial menginstal-wordpress-secara-offline-di-windows
Tutorial menginstal-wordpress-secara-offline-di-windowsTutorial menginstal-wordpress-secara-offline-di-windows
Tutorial menginstal-wordpress-secara-offline-di-windowsEccha Nourul
 
Sony (misconfig)
Sony (misconfig)Sony (misconfig)
Sony (misconfig)Nurdin Al-Azies
 
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...Fitri Febriani
 
Contoh Session By Tugas Session Hanni
Contoh Session By Tugas Session HanniContoh Session By Tugas Session Hanni
Contoh Session By Tugas Session HanniUllum Pratiwi
 
Tips Optimasi Website Wordpress
Tips Optimasi Website WordpressTips Optimasi Website Wordpress
Tips Optimasi Website WordpressPT. Madani Cipta Informasi (Maintersys)
 
Buku tamu php&my sql
Buku tamu php&my sqlBuku tamu php&my sql
Buku tamu php&my sqltotoh fatah
 
Web dinamis
Web dinamisWeb dinamis
Web dinamisMohammad Ghiffari
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4James Montolalu
 
Pengenalan PHP
Pengenalan PHPPengenalan PHP
Pengenalan PHPDika Wahyu Suryadi
 

Más contenido relacionado

Destacado

機率3 1.3-2投影片
機率3 1.3-2投影片機率3 1.3-2投影片
機率3 1.3-2投影片eric4801
 
Duurzame ontwikkeling -_de_presentatie
Duurzame ontwikkeling -_de_presentatieDuurzame ontwikkeling -_de_presentatie
Duurzame ontwikkeling -_de_presentatiemichellemertens89
 
Tt c bently_equity audits_2010
Tt c bently_equity audits_2010Tt c bently_equity audits_2010
Tt c bently_equity audits_2010scottiep
 
Pilerensnings fællesanlæg reerslev
Pilerensnings fællesanlæg reerslevPilerensnings fællesanlæg reerslev
Pilerensnings fællesanlæg reerslevondrobaco
 
機率講義
機率講義機率講義
機率講義eric4801
 
3-1,3-2機率講義
3-1,3-2機率講義3-1,3-2機率講義
3-1,3-2機率講義eric4801
 
CPI Event Preliminary Program
CPI Event Preliminary ProgramCPI Event Preliminary Program
CPI Event Preliminary ProgramChemInnovations
 
Javascript
JavascriptJavascript
JavascriptSushma M
 
Social media | Yuk Sharing tentang Social Media
Social media | Yuk Sharing tentang Social MediaSocial media | Yuk Sharing tentang Social Media
Social media | Yuk Sharing tentang Social MediaFrenavit Putra
 

Destacado (13)

機率3 1.3-2投影片
機率3 1.3-2投影片機率3 1.3-2投影片
機率3 1.3-2投影片
 
Track 4
Track 4Track 4
Track 4
 
Duurzame ontwikkeling -_de_presentatie
Duurzame ontwikkeling -_de_presentatieDuurzame ontwikkeling -_de_presentatie
Duurzame ontwikkeling -_de_presentatie
 
Tt c bently_equity audits_2010
Tt c bently_equity audits_2010Tt c bently_equity audits_2010
Tt c bently_equity audits_2010
 
Pilerensnings fællesanlæg reerslev
Pilerensnings fællesanlæg reerslevPilerensnings fællesanlæg reerslev
Pilerensnings fællesanlæg reerslev
 
機率講義
機率講義機率講義
機率講義
 
3-1,3-2機率講義
3-1,3-2機率講義3-1,3-2機率講義
3-1,3-2機率講義
 
Q2
Q2Q2
Q2
 
CPI Event Preliminary Program
CPI Event Preliminary ProgramCPI Event Preliminary Program
CPI Event Preliminary Program
 
Javascript
JavascriptJavascript
Javascript
 
Social media | Yuk Sharing tentang Social Media
Social media | Yuk Sharing tentang Social MediaSocial media | Yuk Sharing tentang Social Media
Social media | Yuk Sharing tentang Social Media
 
Track 6
Track 6Track 6
Track 6
 
Online pyment safety
Online pyment safetyOnline pyment safety
Online pyment safety
 

Similar a BLOG SECURITY OPTIMIZED

Tutorial menginstal-wordpress-secara-offline-di-windows
Tutorial menginstal-wordpress-secara-offline-di-windowsTutorial menginstal-wordpress-secara-offline-di-windows
Tutorial menginstal-wordpress-secara-offline-di-windowsEccha Nourul
 
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...Fitri Febriani
 
Contoh Session By Tugas Session Hanni
Contoh Session By Tugas Session HanniContoh Session By Tugas Session Hanni
Contoh Session By Tugas Session HanniUllum Pratiwi
 
Buku tamu php&my sql
Buku tamu php&my sqlBuku tamu php&my sql
Buku tamu php&my sqltotoh fatah
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4James Montolalu
 
Web Hacking (basic)
Web Hacking (basic)Web Hacking (basic)
Web Hacking (basic)Ammar WK
 
Web hacking-dvwa-publish-130131073605-phpapp01
Web hacking-dvwa-publish-130131073605-phpapp01Web hacking-dvwa-publish-130131073605-phpapp01
Web hacking-dvwa-publish-130131073605-phpapp01Jalil Mashab-Crew
 
Tugas session (hanni si6 b-40)
Tugas session (hanni si6 b-40)Tugas session (hanni si6 b-40)
Tugas session (hanni si6 b-40)hendrawansyah
 
Blogging Security - IBNBlogilicious 2012 Medan
Blogging Security - IBNBlogilicious 2012 MedanBlogging Security - IBNBlogilicious 2012 Medan
Blogging Security - IBNBlogilicious 2012 MedanNicholas Sihotang
 
slide tugas VPS Teknik komputer IT .pptx
slide tugas VPS Teknik komputer IT .pptxslide tugas VPS Teknik komputer IT .pptx
slide tugas VPS Teknik komputer IT .pptxKrisdeySimanullang
 
Bruteforce basic (paper) - linx
Bruteforce basic (paper) - linxBruteforce basic (paper) - linx
Bruteforce basic (paper) - linxidsecconf
 

Similar a BLOG SECURITY OPTIMIZED (17)

Tutorial menginstal-wordpress-secara-offline-di-windows
Tutorial menginstal-wordpress-secara-offline-di-windowsTutorial menginstal-wordpress-secara-offline-di-windows
Tutorial menginstal-wordpress-secara-offline-di-windows
 
Sony (misconfig)
Sony (misconfig)Sony (misconfig)
Sony (misconfig)
 
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...
 
Contoh Session By Tugas Session Hanni
Contoh Session By Tugas Session HanniContoh Session By Tugas Session Hanni
Contoh Session By Tugas Session Hanni
 
Tips Optimasi Website Wordpress
Tips Optimasi Website WordpressTips Optimasi Website Wordpress
Tips Optimasi Website Wordpress
 
Buku tamu php&my sql
Buku tamu php&my sqlBuku tamu php&my sql
Buku tamu php&my sql
 
Web dinamis
Web dinamisWeb dinamis
Web dinamis
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4
 
Pengenalan PHP
Pengenalan PHPPengenalan PHP
Pengenalan PHP
 
Web Hacking (basic)
Web Hacking (basic)Web Hacking (basic)
Web Hacking (basic)
 
Web hacking-dvwa-publish-130131073605-phpapp01
Web hacking-dvwa-publish-130131073605-phpapp01Web hacking-dvwa-publish-130131073605-phpapp01
Web hacking-dvwa-publish-130131073605-phpapp01
 
Tugas session (hanni si6 b-40)
Tugas session (hanni si6 b-40)Tugas session (hanni si6 b-40)
Tugas session (hanni si6 b-40)
 
Blogging Security - IBNBlogilicious 2012 Medan
Blogging Security - IBNBlogilicious 2012 MedanBlogging Security - IBNBlogilicious 2012 Medan
Blogging Security - IBNBlogilicious 2012 Medan
 
slide tugas VPS Teknik komputer IT .pptx
slide tugas VPS Teknik komputer IT .pptxslide tugas VPS Teknik komputer IT .pptx
slide tugas VPS Teknik komputer IT .pptx
 
Panduan vps
Panduan vpsPanduan vps
Panduan vps
 
Frameworkoop2
Frameworkoop2Frameworkoop2
Frameworkoop2
 
Bruteforce basic (paper) - linx
Bruteforce basic (paper) - linxBruteforce basic (paper) - linx
Bruteforce basic (paper) - linx
 

BLOG SECURITY OPTIMIZED

  • 1. Blog Security Mari amankan Blog Kita Oleh : Frenavit Putra
  • 2. Sayaadalah? Nama : Frenavit KusmanSetia Putra NamaBeken : Frenavit Putra & Bodrex Alamat : Ds. Beratwetan. Gedeg. Mojokerto AlamatSementara : GebangWetan 23 B, Sby No Telp : 085 648 506 364 Blog : http://frenavit.com Email : mail[at]frenavit[dot]com Frenavit Putra @frenavit @frenavit @frenavitputra frenavit
  • 3. Securty Blog itu.. Blog = Rumah Internet
  • 4.
  • 9.
  • 11.
  • 12. Adanya “Bug” pada OS Hosting atau CMS yang kitapakaiPembobolan Account (1)
  • 13.
  • 14.
  • 15. SQL Injection adalahsebuahteknikpenyerangan yang memanfaatkansebuah“celah”keamanan yang adadalamlapisan database sebuahaplikasi. Celah Database yang dimaksuddiatastersebutadalahsebuahcelah yang ketikaseorangpenggunamemasukkanisiankarakterkedalam form input yang manatidakada filter secarabenardarikarakter-karakterbebas yang adadi SQL. Beberapakarakterbebas : ‘/”[]^,. dll SQL Injection
  • 16. XSSatauCross Site Scriptingadalahteknik yang digunakanuntukmenambahkandanmenanamkan script padasebuah website atau blog yang akandieksekusioleh user lain pada browser user lain tersebut. XSSatauCross Site Scripting umumnyamenggunakanHTML/JavaScript, ataubahkanVBScript, ActiveX, Java, Flash, dllyang diinputkanmelalui input form sepertikolomkomentarpada Blog Cross Site Scripting (1)
  • 17. Cross Site Scripting (2) Cara cekapakahbisadilakukan Cross Site Scripting Blog kita: Silahkanmasukkan tag script via form komen, misal : <script>alert(‘sayacakep');</script> Jikaternyatakeluar alert “sayacakep” ketikahalamandi refresh makabisadipastikan Blog kitabisadilakuan Cross Site Scripting. Cross Site Scripting Redirect
  • 18.
  • 19.
  • 20. DoS Attacks (denial-of-service attacks) adalahseranganterhadapsebuahkomputeratau server didalamjaringan internet dengancaramenghabiskansumber (resource) yang dimilikiolehkomputertersebutsampaikomputertersebuttidakdapatmenjalankanfungsinyadenganbenarsehinggasecaratidaklangsungmencegahpengguna lain untukmemperolehakseslayanandarikomputer yang diserangtersebut. DoS Attacks
  • 24. Ganti Username “Admin”, Hal inidigunakanuntukmenghindari Brute Force yang dilakukan Hacker. GunakankombinasiHuruf, angka, danspesialkarakteruntuk username dan password Blog yang powerfull. Ganti Username dan Password secaraBerkala. Amankan Blog
  • 25. Gunakan password yang kuat. Segera update CMD danPluginswordpresskeversiterbaru. Sembunyikanhalaman Login Standard (http://site.com/wp-admin) denganurllain. Menyembunyikanversiwordpress Pindahkan File wp-config.php. Gunakan Secret Keys. RubahWordPress table prefix. .htaccesslockdown Buat file .htaccess di dalam folder wp-admin. SembunyikanPlugin yang defaultnyaterletakpada http://site.com/wp-content/plugins. Amankan Blog Wordpress
  • 26.
  • 28. Terdapatkombinasiantaraangka, huruf, dankarakter. Kombinasikanjugadenganhurufbesarkecil.
  • 30. Update CMS danPluginsWordpress Update Engine CMS WordpressdanPluginswordpress yang itagunakanmutlak “wajib” dilakukankarena update keversiterbaruakanmenutupcelah (bug) yang adadiversi lama.
  • 31. MenyembunyikanHalaman Login Standard Tujuanuntukmenyembunyikanhalaman Login wordpress standard (http://site.com/wp-admin) dilakukanuntukmenghindariadanya Brute Force. Untukmenyembunyikanhalaman Login inibisamenggunakanPlugins Stealth Login
  • 32. UntukmenyembunyikanVersiWordpressdapatdilakukandengan 2 cara, yaitu : Menambahkan script berikutdi functions.php. function hide_wp_vers() { return ''; } add_filter('the_generator',' hide_wp_vers'); MenggunakanPlugins Secure Wordpress MenyembunyikanVersiWordpress
  • 33. Pindahkan File wp-config.php Wp-configmerupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPresstidakakanberfungsi. File inidapatdisimpandiluar root direktoriWordPress. Caranyapindahkan file wp-config.php satu level diatas root direktoriWordPress. WordPresssecaraotomatisakanmencari file inibilatidakmenemukannyadi root direktorinya.
  • 34. Gunakan Secret Key Secret Keys dibuatuntuklebihmenjamininformasi yang tersimpanpada cookies terenkripsisecaralebihbaik. Caranyagunakan online generator padahttp://api.wordpress.org/secret-key/1.1/. Di sanaakanterlihat 4 Secret Keys yang secaraacakterbentuk. Copy Secret Keys tersebutkemudianbuka file wp-config.php dan paste keposisidimanakeempat Secret Keys inidiletakkan.
  • 35. Ubah Table Prefix Standard Table Perfix Table Perfixmodif ‘wp_’ $table_prefix BilakitamenggantinyasetelahmenginstallWordPress, kitabisamemanfaatkanplugin WP Security Scan atautabel prefix changer. Janganlupa back up terlebihdahulusebelummelakukannya.
  • 36. .htaccess lockdown Cara iniakanmelindungiwp-admin direktorimelalui .htaccess. Cara inibekerjadenganmengunciaksesterhadapwp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapatmengakseswp-admin kita. Dan hampirtidakmungkinorang lain dengan IP address yang berbedabisamengakseswp-admin. Kode yang harusdibuatpada file .htaccess AuthUserFile /dev/null AuthGroupFile/dev/null AuthName“Access Control” AuthTypeBasic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx Isidenganip yang dikehendaki login
  • 37. Buat file .htaccess di dalam folder wp-admin # BEGIN WordPress RewriteEngineOn RewriteBase/ RewriteCond%{REQUEST_FILENAME} !-f RewriteCond%{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # END WordPress
  • 38. Sembunyikan Plugin Kenapaharusdisembunyikan? Jikatidakdisembunyikan, bisadimanfaatkanpara hacker/cracker bilaada 404 error page. Caranyabuat file .htaccessdantempatkandi folder /wp-content/pluginsdengankodesepertiini : # BEGIN WordPress RewriteEngineOn RewriteBase/ RewriteCond%{REQUEST_FILENAME} !-f RewriteCond%{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # Prevents directory listing IndexIgnore* # END WordPress
  • 39. Cara LainSembunyikan Plugin Cara lain untukmenyembunyikanpluginsyaitudenganmembuat file index.html yang isinyakosongkemudian upload kewp-content/plugin. Ataucara lain untukmembuat file .htaccessuntukmelindungidirektoriwp-admin, wp-includes, dll. Bagi yang menggunakan hosting dengan CPANEL, bisamemanfaatkanfasilitas Leech Protect dariCpaneltempatanda hosting wordpress.
  • 40. Plugins Wordpress untuk kemanan Blog (1) Limit Login Attempts Plugininidapatmelakukanblokterhadap user selama 20 menitsetelahsalahmemasukan password sebanyak 4 kali (dapatdiubah manual). Hal inimenjadijalanterbaikuntukmengatasiseranganberupa Brute Force. Download plugin limit login attempts dihttp://wordpress.org/extend/plugins/limit-login-attempts/
  • 41. Plugins Wordpress untuk kemanan Blog (2) WP Security Scan Plugininimenawarkanbeberapafiturgandasepertifile permission, menyembunyikanversiwordpress, database securitydanproteksiterhadap admin. Pluginini, jugadapatmelakukan scanning terhadapdirektory web danmemberi report menganai file permission yang seharusnya. Download pluginwp security scan dihttp://wordpress.org/extend/plugins/wp-security-scan/
  • 42. Plugins Wordpress untuk kemanan Blog (3) Sabre Fungsiplugininidapatmenghentikanpendaftaranpenggunapalsu yang dilakukanoleh bots. PluginSabredapatmenambahkangambarverifikasiatauujimatematikauntukprosesregistrasi agar dapatmemastikanpengguna yang sudahterdaftartidakpalsu.
  • 43. Plugins Wordpress untuk kemanan Blog (4) Semisecure Login Plugininibergunauntukmeningkatkankeamanandariproses login denganmenggunakankuncipublikuntukmengenkripsipassword padasisiklien.
  • 44.
  • 52.