wordpress security optimization (basic)
TRANSCRIPT
WORDPRESS
SECURITY
WORDPRESS SECURITY ON SERIOUS WAY
root-id
2
4Php Error Handling
Menangani masalah error pada file-file .php
Kesalahan/Error pada beberapa file php pada wordpress saat di akses via url akan menampilkan Informasi (Information Gathering) tentang wordpress kita.
Yaitu informasi tentang dimana path folder instalasi wordpress kita. Jika wordpress dihosting, maka pesan error akan menampilkan “Username Account” cPanel/hosting.
Oleh sebab itu masalah error pada file php ini adalah masalah yang cukup serius.
Penangan Masalah :
Tambahkan code:error_reporting(0);
Tepat dibawah code pembuka php yaitu:<?php
*Selain dengan menambahkan code secara manual seperti diatas, kita juga dapat menangani Error tersebut dengan configurasi denggan file .htaccess, yang akan kita bahas berikutnya.
root-id [email protected]
5
.htaccess SecurityTips Keamanan .htaccess
Apa Htaccess itu?
Htaccess merupakan ASCII file biasa yang bisa Anda buat melalui text editor seperti notepad atau simple text
Htaccess adalah file extensi tanpa nama. Ini bukan nama.Htaccess atau halaman yang berakhiran .Htaccess. ini hanya tertulis .Htaccess tanpa nama.
File ini akan memberikan dampak pada seluruh folder dan subfolder yang akan di load oleh Apache Server. Pada file inilah diletakan perintah untuk konfigurasi server. Untuk membuatnya Anda bisa membuka Text editor kemudian simpan halaman kosong tersebut dengan nama .htaccess.
File .htaccess sangat berguna dalam keamanan suatu web server. Begitu juga untuk melindungi wordpress kita.
root-id [email protected]
6
Custom Error Page
Customisasi Halaman Error Pada Wordpress
Customisasi dengan .htaccess
Secara default, halaman Error 404 pada wordpress adalah bawaan dari theme wordpress. Kitta dapat membuat tampilan halaman error sendiri.
Begitu juga dengan Error Forbiden 403, dan halaman lainnya.
Semua itu akan kita atur dengan Redirect pada settingan di .htaccess
root-id [email protected]
7SECURITY TESTING
Melakukan Pengecekan Celah Keamanan pada Wordpress
Vulnerable . . .?
Setelah kita melakukan instalasi dan pengamanan pada wordpress, kemudian kita akan melakukan Scanning/Mendeteksi celah keamanan/bug yang masih ada pada wordpress.
Disini saya akan melakukan scanning dengan Sebuah script dengan bahasa Pemograman rubby, tools ini sangat disukai para webmaster untuk melakukan Information Gathering dan Mendeteksi celah keamanan pada Wordpress.
Tools ini bernama WP-scan.
Dapat didownload di:http://code.google.com/p/wpscan/wiki/README
root-id [email protected]
9DAFTAR FILE DAN DIREKTORY YANG MENAMPILKAN PESAN ERROR:
1. /wp-settings.php
2. File-file pada /wp-admin/ :
admin-functions.phpmenu.phpmenu-header.phpoptions-head.phpupgrade-functions.php
3. File-file pada /wp-admin/includes/ :admin.phpclass-ftp-pure.phpclass-ftp-sockets.php
class-ftp.phpclass-wp-filesystem-direct.phpclass-wp-filesystem-ftpext.phpclass-wp-filesystem-ftpsockets.phpclass-wp-filesystem-ssh2.php
comment.phpcontinents-cities.phpFile.phpmedia.phpmisc.php
plugin-install.phpplugin.phptemplate.phptheme-install.phpupdate.php
upgrade.phpuser.php
4. /wp-includes/
5. File-File pada /wp-includes/ :canonical.phpclass-feed.phpclass.wp-scripts.phpclass.wp-styles.php
comment-template.phpdefault-embeds.phpdefault-filters.phpdefault-widgets.phpfeed-atom-comments.php
feed-atom.phpfeed-rdf.phpfeed-rss.phpfeed-rss2-comments.phpfeed-rss2.php
general-template.phpkses.phpmedia.phppost.phpregistration-functions.php
rss-functions.phprss.phpscript-loader.phpshortcodes.phptaxonomy.php
template-loader.phptheme.phpupdate.phpvars.phpwp-db.php
user.php
root-id [email protected]
12
Php Error Handling
/wp-settings.php
Tambahkan code :
error_reporting(0);
Setelah pembuka code php yaitu dibawah code :
<?php
root-id [email protected]
16
Php Error Handling
File-file pada /wp-admin/ :
admin-functions.phpmenu.phpmenu-header.phpoptions-head.phpupgrade-functions.php
Tambahkan code :
error_reporting(0);
Setelah pembuka code php yaitu dibawah code :
<?php
root-id [email protected]
20
.htaccess Security
File-file pada /wp-admin/includes/ :
admin.phpclass-ftp-pure.phpclass-ftp-sockets.phpclass-ftp.phpclass-wp-filesystem-direct.phpclass-wp-filesystem-ftpext.phpclass-wp-filesystem-ftpsockets.phpclass-wp-filesystem-ssh2.phpcomment.phpcontinents-cities.phpFile.phpmedia.phpmisc.phpplugin-install.phpplugin.phptemplate.phptheme-install.phpupdate.phpupgrade.phpuser.php
Buat file .htaccess dengan isi:
php_flag display_startup_errors offphp_flag display_errors offphp_flag html_errors offphp_flag log_errors onphp_flag ignore_repeated_errors offphp_flag ignore_repeated_source offphp_flag report_memleaks onphp_flag track_errors onphp_value docref_root 0php_value docref_ext 0php_value error_reporting -1php_value log_errors_max_len 0
root-id [email protected]
25
.htaccess Security
File-File pada /wp-includes/ :
canonical.php
class-feed.phpclass.wp-scripts.phpclass.wp-styles.phpcomment-template.phpdefault-embeds.php
default-filters.phpdefault-widgets.phpfeed-atom-comments.phpfeed-atom.phpfeed-rdf.php
Buat file .htaccess dengan isi seperti file .htaccess pada direktory /wp-admin/includes/, atau copy saja file tersebut.
feed-rss.phpfeed-rss2-comments.phpfeed-rss2.phpgeneral-template.phpkses.phpmedia.phppost.phpregistration-functions.phprss-functions.phprss.php
script-loader.phpshortcodes.phptaxonomy.phptemplate-loader.phptheme.phpupdate.phpvars.phpwp-db.phpuser.php
root-id [email protected]
29
.htaccess Security
/wp-content/themes/namatheme
Buat file .htaccess dengan isi seperti file .htaccess pada direktory /wp-admin/includes/, atau copy saja file tersebut.
root-id [email protected]
35
Custom Error Page
Pertama, buatlah sebuah file .php dengan nama 403.php dan 404.php pada direktori /wordpress/, desain tampilannya sesuai selerera.
Setelah itu tambahkan code dibawah ini pada file .htaccess yang ada di direktori /wordpress/
Code:
#Custom Error PageErrorDocument 404 /wordpress/404.phpErrorDocument 403 /wordpress/403.php
root-id
41
SECURITY TESTING
Melakuakn Tes Keamanan dengan WP-scan.Yang dijalankan pada Backtrack 5 R3
WP-SCAN dapat didownload di:http://code.google.com/p/wpscan/wiki/README
root-id [email protected]
