1. Halo Guest, pastikan Anda selalu menaati peraturan forum sebelum mengirimkan post atau thread baru.

Cara sederhana mengamankan akses login wordpress

Discussion in 'Wordpress' started by clumbiecom, May 21, 2013.

Tags:
  1. clumbiecom

    clumbiecom Newbie

    Joined:
    Feb 12, 2011
    Messages:
    24
    Likes Received:
    2
    Location:
    www.CLUMBiE.com
    Awalnya saya baca thread pengamanan wordpress dari h4cker
    http://www.ads-id.com/forums/content.php/33-Pengamanan-Wordpress-Dari-Hacker?page=2#comments

    bahkan ada beritanya di bbc yang memberitakan wordpress website menjadi target serangan hacker
    _http://www.bbc.co.uk/news/technology-22152296
    Wordpress website targeted by h4ckers
    ane kutip dari situs bbc
    "The botnet targets Wordpress users with the username "admin", trying thousands of possible passwords."

    Jadi situs yang kena adalah situs yang menggunakan username admin kemudian
    passwordnya oleh h4cker dibruteforce , Jadi sihacker mencoba berbagai kombinasi password
    dengan menggunakan program bot.

    Untuk menghindari teknik bruteforce ini pastikan username anda bukan kata "admin" rubah usernamenya
    terserah misalnya 123admin atau admin456 yah terserah anda semakin panjang juga semakin bagus
    misal adminqwertyuiopasdfghjklzxcvbnm lebih mantap lagi terserah anda


    cara yang kedua adalah cara sederhana dari ane
    untuk domain dan hosting sendiri yang menggunakan CMS Wordpress

    jadi misalnya anda punya website
    _http://www.websitewordpressgue.com

    untuk mengakses login melalui alamat

    _http://www.websitewordpressgue.com/wp-login.php
    websitenya akan meredirect ke
    _http://www.websitewordpressgue.com/wp-admin/index.php

    jadi cara sederhana yang bisa dilakukan adalah merubah nama file
    index.php menjadi nama terserah anda yang inginkan
    misalnya
    index.php menjadi index456789.php

    cara ini meskipun sederhana cukup ampuh, karena dipastikan h4cker harus menebak dulu
    nama file yang menjadi gerbang masuk ke dalam dashboard admin
    biasanya h4cker yang cuma iseng untuk mendeface akan mencari target yang lain daripada menebak nebak nama
    file yang menjadi gerbang masuk.

    saya berikan contoh script PHP merubah nama file index.php melalui browser

    misal buat namafile dengan nama ubahindex.php di dalam folder wp-admin/ isi kode seperti di bawah ini:

    <?php

    //variabel change bisa diubah terserah anda
    //isi variabel unlock silakan diubah terserah anda
    //nama file zxcvbnm.php silakan diubah terserah anda


    if($_GET['change']=='unlock')
    {
    rename("zxcvbnm.php", "index.php");
    echo "silakan login, bisa diakses";
    }

    else if($_GET['change']=='lock')
    {
    rename("index.php", "zxcvbnm.php");
    echo "sorry login anda tidak bisa diakses";
    }

    else

    {

    echo "I know what you did, your IP Has been locked and Traced";
    //masukin code ip yang coba mengakses file index.php, kalo mau mantap lagi isi kode yang menyimpan
    //ip orang yang mencoba masuk ke dalam dashboard admin anda
    }


    ?>


    setelah anda membuat file ubahindex.php

    maka ketika anda ingin merubah nama file index.php menjadi zxcvbnm.php
    cukup memanggilnya dari browser

    _http://www.websitewordpressgue.com/wp-admin/ubahindex.php?change=lock

    maka file index.php sudah berubah menjadi zxcvbnm.php
    anda tidak bisa mengakses dashboard admin wordpress kecuali anda tau
    nama file yang menjadi gerbang masuk dashbard anda adalah zxcvbnm.php



    atau ketika anda ingin mengubah zxcvbnm.php menjadi index.php
    cukup memanggilnya dari browser

    _http://www.websitewordpressgue.com/wp-admin/ubahindex.php?change=unlock

    sekarang anda bisa mengakses dashboard admin anda seperti biasa


    Catatan: trick sederhana ini bisa diterapkan pada semua CMS selain wordpress
    silakan mencoba trik sederhana ini



    salam newbie dari saya
     
    bius2303 and ahmadferi like this.
  2. kuncah

    kuncah Ads.id Pro

    Joined:
    Aug 31, 2011
    Messages:
    435
    Likes Received:
    16
    Location:
    Yogyakarta - Batam
    siip mas, langsung dipraktekkan nih..
     
  3. apip64

    apip64 Ads.id Pro

    Joined:
    Nov 10, 2011
    Messages:
    350
    Likes Received:
    6
    Berguna banget nih, trauma gan web ane pernah ke hack dan gak mempertimbngkan keamanan akunnya ..

    i am using tapatalk
     
  4. bius2303

    bius2303 Banned

    Joined:
    May 18, 2013
    Messages:
    50
    Likes Received:
    0
    pantes site saya kena hack trus ini toh trik si penyerang, makasih gan buat masukkannya like meluncur
     
  5. jlabjleb

    jlabjleb Ads.id Fan

    Joined:
    May 14, 2013
    Messages:
    100
    Likes Received:
    2
    wah makasih infonya gan, ane calon admin web kantor nih.
    kamsia gan
     
  6. zuliangga

    zuliangga Ads.id Pro

    Joined:
    Apr 26, 2011
    Messages:
    361
    Likes Received:
    6
    Location:
    Jakarta
    Wah bermanfaat sekali infonya gan buat newbie kya ane. Tp ada beberapa yg ane blm paham,maklum ane newbie bgt apa lg soal wp gan. boleh mojok di ym ga gan?pengen nanya2 :)
     
  7. jundu

    jundu Ads.id Fan

    Joined:
    May 9, 2012
    Messages:
    232
    Likes Received:
    15
    Location:
    Cirebon
    nice info gan.... coba di praktekin ya
     
  8. snakepit

    snakepit Ads.id Pro

    Joined:
    Dec 5, 2012
    Messages:
    436
    Likes Received:
    8
    Location:
    Balocci
    Saya mau nanya nih.
    kemarin keknya ada yang mau iseng ama blog saya, soalnya stat nunjukin kalo wp-login.php diakses sekitar 30 kali per menit.
    Ya udah, saya langsung niat buat ganti password, tapi pas waktu saya buka halaman profil ada tulisan "This view is enhanced by wpXtreme and WPDK framework. Please, have a look below for additional information." Saya gak ngerti apa itu wpXtreme ato WPDK framework, tiba2 aja muncul tulisan gitu.
    Trus saya liat, eh ada menu buat disable halaman login, yah udah tanpa pikir panjang langsung saya disabled biar kagak bisa dibruteforce (pikir saya)
    View attachment 29998

    Yah emang udah gak bisa login lagi.
    Nah, pertanyaan saya sekarang, gimana caranya buat meng-enabled-kan halaman login kembali.
    Sumpah, saya gak sempat kepikiran buat ini !
     
  9. mustika

    mustika Newbie

    Joined:
    Oct 13, 2013
    Messages:
    46
    Likes Received:
    0

Share This Page