ISMAIL N is the 'de facto' owner and editor-in chief of DuluLainSekarangLain.Com. A Human Resource practitioner in his normal daily life and consummate blogger in his free time. He is addicted to coffee and Manchester United. Most easily accessed via his Twitter account.

Tags

Cubaan Hack: Blog WordPress Kurang Selamat

in Blogging & SEO

WordPress Hacked WP

Blog anda pernah kena HACK? Saya pernah dan ianya bukanlah pengalaman yang bagus untuk diingati. Bagi blog-blog WordPress pastinya biasa menghadapi serangan dan cubaan hack oleh hacker-hacker di seluruh dunia.

Saya tak pasti apa yang mereka cari.

Ada yang mungkin sedang belajar ‘hacking’ dan mencuba pada blog-blog kecil terlebih dahulu.

Ada juga yang punyai ‘mala fide‘ dan boleh menjahanamkan blog anda.

Apa-apa pun berhati-hatilah dan jangan pandang remeh akan cubaan hack ini.

Cubaan Hack Blog Ini

Sudah lama saya tidak monitor ‘live feed‘ pada security plugin saya. Hari ini rasa terpanggil pula. Apatah lagi bila ada e-mail yang menyatakan satu IP address telah pun disekat lantaran cuba log-masuk ke bahagian admin blog ini sebanyak 20 kali tanpa jaya.

Siapkah hacker itu?

attempt log-in

Blog WordPress Kurang Selamat?

Blog-blog WordPress terutamanya yang versi lama sering menjadi sasaran hacker. Memang ada banyak ruang-ruang untuk hacker ekploitasikan dan saya pernah merasai serangan itu.

Namun, keadaan semakin baik sekarang dan WP semakin kukuh menghadapi ancaman hacker.

Langkah-langkah Pertahanan Blog Anda

Berikut adalah langkah-langkah yang boleh anda lakukan untuk menghalang cubaan hack dari hacker.

Biarpun tidak boleh dijamin 100% boleh selamat, namun ia akan membantu mempertingkatkan blog dari ditembusi oleh godaman hacker.

Jangan Guna ‘admin‘ Sebagai Username

Ramai blogger masih malas hendak tukar default usernameadmin‘ kepada sesuatu yang lebih sukar dijangka. Lihat sahajat secreenshot di atas, memang nama pengguna admin‘ ini adalah sasaran utama hacker.

Malah, pengasas WordPress, Matt Mullenweg telah pun banyak kali menasihatkan pengguna WordPress akan menggunakan username yang unik  dan selamat.

admin username

Guna Password Yang Susah

Password juga amat penting dan jangan pandang mudah juga. Kalau boleh guna password yang panjangnya berbelas huruf dengan pelbagai special character dan nombor di dalamnya.

Inconvenient untuk ingat?

Demi blog, ketepikan soal ‘hendak senang je‘.

Berdasarkan sumber INI, 8% dari blog WordPress yang berjaya di godam menggunakan password yang lemah.

Kemaskini WordPress Anda

Sekiranya terdapat kemaskini (update) dari WP, cepat-cepatlah update dan jangan bertangguh lagi terutama sekali yang melibatkan hal sekuriti.

Selalunya kemaskini ini adalah bagi mengatasi beberapa kebocoran dalam sistem keselamatan WordPress.

wordpress update

Gunakan Security Plugin

Plugin keselamatan yang terbaik tentulah yang premium (berbayar), namun ada beberapa yang bagus dan percuma yang boleh juga anda gunakan di blog.

Antaranya:

  • BulletProof Security,
  • iThemes Security
  • NinjaFirewall (WP edition)
  • Wordfence
  • Acunetix WP Security Scan.

Gunakan Web Hosting Yang Dipercayai Ramai

Ada sebabnya mengapa syarikat hosting itu murah dan mahal. Antaranya ialah dari segi keselamatan. Jika  di Malaysia, saya cuma boleh fikirkan tiga sahaja:

ServerFreak Technologies

Exabytes Network

dan Shinjiru Technology.

Mungkin ada yang lain yang bagus juga. Ini cuma berdasarkan pengalaman saya sahaja.

Elak Dari Mengunakan Tema WP Percuma 

Tema (WordPress theme) percuma memang nampak indah dan menjimatkan kos.

Namun, disebalik koding yang dibuat pada tema itu boleh terselit kod-kod merbahaya seperti  base64 encoding yang dipasang untuk mendapatkan maklumat sensitif di blog anda.

free theme

Gunakan Plugin Limit Login Attempt

Hadkan berapa banyak login yang boleh dibuat bagi menghadapi serangan ‘brute-force attack‘ oleh hacker.

Dengan software khas, hacker akan cuba menembusi blog anda dengan pelbagai kombinasi username dan password.

Sekiranya ini tidak disekat, maka ada kemungkinan pengodam akan dapat juga kombinasi yang betul.

Tetapkan File Permission Yang Betul

Gunakan file permission berikut:

  • Folder (755)
  • Files (644)
  • wp-config.php (444)

Elakkan Komputer Anda DiJangkiti Malware

Pastikan komputer anda dilengkapi anti-virus dan personal firewall. Bila browsing, sebaiknya pergi ke laman https dari http.

Bila muat naik (upload file) untuk blog cuba gunakan SSH atau SFTP dari FTP.

Back-Up Selalu

Selalulah back-up blog anda. Ini jalan terakhir bila segala pertahanan dimusnahkan oleh hacker.

Sekurang-kurangnya tidak perlu anda bersusah payah membina blog kembali. 😀

Ada banyak lagi cara yang boleh dilakukan bagi menghadapi serangan hackers. Tapi kita senaraikan yang  mudah sahaja untuk anda buat agar tidak pening kepala. Harap maklumat ini membantu dan happy blogging semua.

8 thoughts on “Cubaan Hack: Blog WordPress Kurang Selamat

  3. reezluv

    ingat lagi dulu, dalam masa setahun, dekat 4 kali blog aku kena hack, dari luar, aku pun taktau apa yang best hack blog aku tah..adoi

  4. akubiomed

    Pernah tulis mengenai cubaan blog sendiri yang cuba dihack. Akhirnya Google Adsense kena tarik sebab artikel berkenaan sebab salah faham. Adoyai.

Comments are closed.