Kebelakangan ni banyak blog wordpress yang diserang oleh penggondam. Jadi aku nak kongsikan 2 tips keselamatan untuk wordpress.
Kebelakangan ni, beberapa cubaan serangan kepada blog/website yang menggunakan wordpress dikesan menggunakan serangan melalui URL. Penyerang menggunakan URL untuk memanipulasi database sesebuah blog/website. Jadi, untuk menghalang serangan melalui URL, satu simple plugin telah di tulis oleh perishablepress.com dan di tambah baik oleh pengunjung-pengujung blog tersebut.
<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
global $user_ID; if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
} ?>
Copy dan paste code diatas ke dalam text editor dan save sebagai block-bad-queries.php dan uploadkan ke dalam folder plugin di hosting anda. Ok, aku tau orang Malaysia lebih suka benda senang. Jadi, aku siapkan zip file yang ada file plugin ni. Cuma perlu unzip dan uploadkan file tersebut ke folder plugin di hosting.
Habis tip yang pertama. Kita ke tip kedua.
Tip ini mungkin ramai yang dah tahu. Tapi aku sharekan juga. Kebanyakkan theme wordpress akan memaparkan version wordpress yang anda pakai. Contoh, code ini akan ada di bahagian header blog anda bila anda view source.
<meta name="generator" content="WordPress 2.9.2" />
Jadi, anda boleh buka editor untuk theme dan lihat code header.php. Cari code ini.
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Buang semua code ini. Jika anda tidak jumpa code ini, cuba cari code seperti ini.
<?php echo wp_head(); ?>
Ada code ini? Nanti dulu! Jangan buang code ini. Kalau buang, memang banyak code penting yang akan hilang. Hanya satu cara untuk membuang version wordpress yang dijana oleh wp_head(). Anda boleh letak code dibawah ini sebelum baris yang mengandungi code diatas.
<?php add_filter( 'the_generator', create_function('$a', "return null;") ); ?>
Kalau anda ragu-ragu di mana perlu di letak code ini, aku berikan code untuk plugin yang sangat kecil dan simple. Seperti tadi, copy dan paste code di bawah ke text editor dan save dengan nama no-wp-version.php dan upload ke folder plugin di hosting anda.
<?php
/*
Plugin Name: Remove WordPress Version
Plugin URI: http://orange4k.com/201002/tips-keselamatan-blog/
Description: Remove WordPress Version from header to site more secure
Author URI: http://orange4k.com/
Author: Mr. Kay Em Why
Version: 1.0
*/
add_filter( 'the_generator', create_function('$a', "return null;") );
?>
Plugin ini juga memudahkan kerja anda sekiranya anda menukar theme baru dan theme tersebut menggunakan wp_head() untuk memaparkan version wordpress anda. Tak perlu tambah baris tersebut pada theme anda setiap kali tukar theme. Tapi untuk theme yang menggunakan code meta name (seperti code kedua pada tip kedua ini), plugin tersebut tak akan membantu lansung. Aku masih mencari cara lain untuk plugin ini boleh buang version wordpress yang menggunakan code meta untuk memaparkannya.
Download zip file untuk plugin.
Sumber : perishablepress.com
ok aku dah confuse
.-= KNizam´s last blog ..The Official TVC feat Priyanka Chopra, Sehwag & Rathore – For Hero Honda FIH Hockey World Cup 2010 @ New Delhi, India =-.
aku dah agak akan ada yg confuse. apa yg ko confuse?
aku ingatkan just install je plug in. sekali kena edit2 daaaa. silap edit kalu harus hancusss theme aku. hehe 🙂
.-= KNizam´s last blog ..The Official TVC feat Priyanka Chopra, Sehwag & Rathore – For Hero Honda FIH Hockey World Cup 2010 @ New Delhi, India =-.
kalau ko nak install plugin tu, tak perlu edit apa2 dah. cuma ko perlu pastikan theme ko guna code mana utk keluarkan version wordpress tu.
bahasa2 alien nih aku tak faham..
nnt aku meroyan tgk semua2 nih~
cane nih~ haishh~
.-= SyaFF HebaT´s last blog ..Bolehkah kita meramal masa depan?? =-.
dah baca.esok yonna telaah kt wp. tapi dah dpt rasa mcm kena ym bro gak HAHAHAH
thanks for sharing ya 🙂
.-= yonna´s last blog ..Bila Penulis Blog Sudah Tiada =-.
terima kasih bagi tips yang baik ni. so kerja aku sekarang nak mencuba harap aku tak confuse.
.-= denaihati´s last blog ..Hadiah untuk HIDUP BERANI UNTUK GAGAL =-.
thanks for the tips, it should be useful for my project, so far i made few website/portal by modifying a wordpress because i dont want to start from 0. (btw, it is legal rite?) hehe
kalau tak paham, download zip file tu je. pastu upload dalam folder plugin. lepas tu activate kan dalam plugin page. OK?
boleh je cari di YM kalau perlukan tunjuk ajar
kalau confuse boleh tanya di sini. aku cuba untuk jawab. sorry la, ni 1st time aku buat tutorial yg ada kaitan dgn code. so aku tak reti guna bahasa mudah dan theme blog ni pon mcm tak berapa sesuai untuk tutorial yg ada code
no prob. Yerp. Can. WordPress adalah opensource. Jadi tak salah pon. 😉
Install plugin sahaja? Atau perlu edit code?
untuk plugin pertama, boleh terus install. Untuk plugin kedua, kalau keliru, install saja dan kemudian buka home utk blog dan klik kanan, view source. perhatikan satu persatu ada version wordpress tak. kalau masih ada, hubungi saya. nnt saya beri panduan yg lebih jelas.
terima kasih sebab bagi tips ni bro,nanti aku nak cuba satu persatu yer,kalau ade pape masalah aku dm kat twitter
tiada apa-apa setting untuk plugin pertama? saya dah install 😀
.-= imran´s last blog ..Marhaban Ya Habibi =-.
plugin kat atas ni 2-2 plugin yang sangat simple. tidak memerlukan apa2 setting 😉
boleh. tak ada masalah. ada masalah, tanya je 😉
theme carrington paling leceh kalau nak edit2 nih.
.-= ariff´s last blog ..Enam Bulan blog.ariff – Rahsia Kejayaan? =-.
menarik tertarik ini tips memang da bomb..benda mcm ni dah lama..tp local bloggers ramai yang tak tahu sbb jrg ada tutorial dlm BM.so thumbs up untuk bro for this tip!
thanks bro. aku tgk takde siapa yang buat tutorial ni dalam bahasa malaysia dan tips yg pertama tu sangat2 berguna, jadi aku share. kalau ramai dah share, aku pun malas nak buat. mesti orang tak heran dah 😉
Terima kasih atas perkongsian ini. Nanti saya cuba.
.-= Mykrk´s last blog ..محادثة/MUHADATHAH/PERBUALAN/KOMUNIKASI/DIALOG : لـَٰـكـِنْ : tetapi : but. =-.
Kena betulkan sket ayat ni “penggondam”
btw..thnks untuk plugin tu.
.-= MASOKIS´s last blog ..Langkah-langkah installasi windows 7 ke dalam komputer =-.
aku lagilah tak reti script2x ni..
.-= Mus´s last blog ..Baru Aku Perasan Yang Sebenarnya, Blog Warna Hijau Itu Bukan Milik Incredible Hulk =-.
terima kasih bro kongsikan benda nie..aku pun nak try juge kat blog aku nanti..insyaAllah..
.-= hafizmd´s last blog ..Nak tahu 13 fakta menarik lagi benar tak? =-.
pening sikit baca..
btw,thx for the tips.
😉
plugin ni boleh mnyekat DDOS kan?… mmg kene install kedua2 serentak eik?
dan nk tnya, yg dimksudkan upload ke hosting tu adlh dgn mnggunakan FTP kan> mcm bawh ni?:
/public_html/wp-content/plugins
good site. thanks for this excellent posting. i be thankful lots.