Adi's Blog

Jangan Salahkan Saya Jika Ilmu Anda Bertambah …

Amankan WordPress Anda dari Serangan via Url

Wordpress

SQL Injection, Remote File Inclusion, XSS, dan segudang serangan hacking lainnya yang memanfaatkan kesalahan pemrogaman cukup ampuh dalam melumpuhkan banyak website, khususnya website dinamis, bahkan persepsi free cms yang menggunakan bahasa pemrogaman website, seperti php, atau asp adalah sangat tidak aman dan sangat rentan terkena serangan seperti ini, sebut saja joomla, yang telah lama menjadi langganan cms yang paling favorit untuk di serang, begitu juga dengan wordpress, hampir sama dengan cms tetangganya. Apa sebabnya?? Kebanyakan seperti yang saya sebutkan tadi, kesalahan pemrogaman entah itu tidak di sengaja, atau mungkin disengaja oleh developernya? ya mungkin saja disengaja :) . Apa akibatnya??

Hal ini kemudian dimanfaatkan oleh para cracker-cracker attacker/destroyer/defacer untuk berbuat kreatifitas yang mencukup mencengangkan para admin. Ada yang mungkin menulis surat cinta untuk kekasihnya di halaman website yang serang, “Oh dinda dimanakah kau berada, rindu aku ingin jumpa…” :D atau mungkin kreatifitas lain yang tentunya bersifat vandalisme. Mengganti username dan password admin. Itu adalah segilintir akibat dari serangan menggunakan url, benar-benar cukup fatal, bahkan beberapa tahun yang lalu, KPU yang nyata-nyata menggunakan uang rakyat hingga bermilyar-milyar untuk sistem keamanan databasenya bisa di hack hanya dengan menggunakan browser. Ini menjadi hikmah bagi para admin yang lain, jangan pernah sekalipun mencongakkan kepala anda. . Karena tidak ada sistem yang 100% aman. Maaf, saya lupa dengan pembahasan inti kita.

Artikel ini dikhususkan kepada anda yang menggunakan wordpress sebagai core dari website anda, baru-baru ini perishablepress.com membuat suatu plugin yang dapat dapat menangani serangan via url. Setidaknya dapat mencegah web anda dari serangan-serangan walaupun tidak 100% aman.

Caranya cukup mudah, cukup membuat file blockbadqueries.php. kemudian rename menjadi blockbadqueries.php, lalu letakkan di dalam direktori wp-content/plugins website anda. Dan aktifkan pluginnya via dashboard wordpress anda.

File blockbadqueries.php berisi …

<?php

global $user_ID;
if($user_ID) {
if(!current_user_can(’level_10′)) {
if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||
strpos($_SERVER[‘REQUEST_URI’], “eval(”) ||
strpos($_SERVER[‘REQUEST_URI’], “CONCAT”) ||
strpos($_SERVER[‘REQUEST_URI’], “UNION+SELECT”) ||
strpos($_SERVER[‘REQUEST_URI’], “base64″)) {
@header(”HTTP/1.1 414 Request-URI Too Long”);
@header(”Status: 414 Request-URI Too Long”);
@header(”Connection: Close”);
@exit;
}
}
}
?>

sumber : wprecipes

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: