Tips Keselamatan Blog

Kebelakangan ni banyak blog wordpress yang diserang oleh penggondam. Jadi aku nak kongsikan 2 tips keselamatan untuk wordpress.

Kebelakangan ni, beberapa cubaan serangan kepada blog/website yang menggunakan wordpress dikesan menggunakan serangan melalui URL. Penyerang menggunakan URL untuk memanipulasi database sesebuah blog/website. Jadi, untuk menghalang serangan melalui URL, satu simple plugin telah di tulis oleh perishablepress.com dan di tambah baik oleh pengunjung-pengujung blog tersebut.

  1. <?php
  2. /*
  3. Plugin Name: Block Bad Queries
  4. Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
  5. Description: Protect WordPress Against Malicious URL Requests
  6. Author URI: http://perishablepress.com/
  7. Author: Perishable Press
  8. Version: 1.0
  9. */
  10. global $user_ID; if($user_ID) {
  11.         if(!current_user_can(‘level_10′)) {
  12.                 if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||
  13.                         strpos($_SERVER[‘REQUEST_URI’], "eval(") ||
  14.                         strpos($_SERVER[‘REQUEST_URI’], "CONCAT") ||
  15.                         strpos($_SERVER[‘REQUEST_URI’], "UNION+SELECT") ||
  16.                         strpos($_SERVER[‘REQUEST_URI’], "base64")) {
  17.                                 @header("HTTP/1.1 414 Request-URI Too Long");
  18.                                 @header("Status: 414 Request-URI Too Long");
  19.                                 @header("Connection: Close");
  20.                                 @exit;
  21.                 }
  22.         }
  23. } ?>

Copy dan paste code diatas ke dalam text editor dan save sebagai block-bad-queries.php dan uploadkan ke dalam folder plugin di hosting anda. Ok, aku tau orang Malaysia lebih suka benda senang. Jadi, aku siapkan zip file yang ada file plugin ni. Cuma perlu unzip dan uploadkan file tersebut ke folder plugin di hosting.

Habis tip yang pertama. Kita ke tip kedua.

Tip ini mungkin ramai yang dah tahu. Tapi aku sharekan juga. Kebanyakkan theme wordpress akan memaparkan version wordpress yang anda pakai. Contoh, code ini akan ada di bahagian header blog anda bila anda view source.

  1. <meta name="generator" content="WordPress 2.9.2" />

Jadi, anda boleh buka editor untuk theme dan lihat code header.php. Cari code ini.

  1. <meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />

Buang semua code ini. Jika anda tidak jumpa code ini, cuba cari code seperti ini.

  1. <?php echo wp_head(); ?>

Ada code ini? Nanti dulu! Jangan buang code ini. Kalau buang, memang banyak code penting yang akan hilang. Hanya satu cara untuk membuang version wordpress yang dijana oleh wp_head(). Anda boleh letak code dibawah ini sebelum baris yang mengandungi code diatas.

  1. <?php add_filter( ‘the_generator’, create_function(‘$a’, "return null;") ); ?>

Kalau anda ragu-ragu di mana perlu di letak code ini, aku berikan code untuk plugin yang sangat kecil dan simple. Seperti tadi, copy dan paste code di bawah ke text editor dan save dengan nama no-wp-version.php dan upload ke folder plugin di hosting anda.

  1. <?php
  2. /*
  3. Plugin Name: Remove WordPress Version
  4. Plugin URI: http://orange4k.com/201002/tips-keselamatan-blog/
  5. Description: Remove WordPress Version from header to site more secure
  6. Author URI: http://orange4k.com/
  7. Author: Mr. Kay Em Why
  8. Version: 1.0
  9. */
  10.  
  11. add_filter( ‘the_generator’, create_function(‘$a’, "return null;") );
  12.  
  13. ?>

Plugin ini juga memudahkan kerja anda sekiranya anda menukar theme baru dan theme tersebut menggunakan wp_head() untuk memaparkan version wordpress anda. Tak perlu tambah baris tersebut pada theme anda setiap kali tukar theme. Tapi untuk theme yang menggunakan code meta name (seperti code kedua pada tip kedua ini), plugin tersebut tak akan membantu lansung. Aku masih mencari cara lain untuk plugin ini boleh buang version wordpress yang menggunakan code meta untuk memaparkannya.

Download zip file untuk plugin.

Sumber : perishablepress.com

Penafian!


  • Semua pendapat/pandangan yang tertulis di blogpost adalah pandangan peribadi pemilik blog melainkan jika diterangkan pendapat/pandangan tersebut datang dari pihak lain.
  • Semua pendapat/pandangan yang tertulis di komen adalah pendapat peribadi pemiliknya dan tiada kaitan dengan pemilik blog.
  • Segala apa yang terkandung dalam blog ini tiada kaitan dengan majikan atau clients pemilik blog.

Sponsor




Comments

  1. says

    ok aku dah confuse
    .-= KNizam´s last blog ..The Official TVC feat Priyanka Chopra, Sehwag & Rathore – For Hero Honda FIH Hockey World Cup 2010 @ New Delhi, India =-.

    [Reply]

    Mr Kay Em Why Reply:

    aku dah agak akan ada yg confuse. apa yg ko confuse?

    [Reply]

    KNizam Reply:

    aku ingatkan just install je plug in. sekali kena edit2 daaaa. silap edit kalu harus hancusss theme aku. hehe :)
    .-= KNizam´s last blog ..The Official TVC feat Priyanka Chopra, Sehwag & Rathore – For Hero Honda FIH Hockey World Cup 2010 @ New Delhi, India =-.

    [Reply]

    Mr Kay Em Why Reply:

    kalau ko nak install plugin tu, tak perlu edit apa2 dah. cuma ko perlu pastikan theme ko guna code mana utk keluarkan version wordpress tu.

    Mus Reply:

    aku lagilah tak reti script2x ni..
    .-= Mus´s last blog ..Baru Aku Perasan Yang Sebenarnya, Blog Warna Hijau Itu Bukan Milik Incredible Hulk =-.

    [Reply]

  2. says

    terima kasih bagi tips yang baik ni. so kerja aku sekarang nak mencuba harap aku tak confuse.
    .-= denaihati´s last blog ..Hadiah untuk HIDUP BERANI UNTUK GAGAL =-.

    [Reply]

    Mr Kay Em Why Reply:

    kalau confuse boleh tanya di sini. aku cuba untuk jawab. sorry la, ni 1st time aku buat tutorial yg ada kaitan dgn code. so aku tak reti guna bahasa mudah dan theme blog ni pon mcm tak berapa sesuai untuk tutorial yg ada code

    [Reply]

  3. epool86 says

    thanks for the tips, it should be useful for my project, so far i made few website/portal by modifying a wordpress because i dont want to start from 0. (btw, it is legal rite?) hehe

    [Reply]

    Mr Kay Em Why Reply:

    no prob. Yerp. Can. WordPress adalah opensource. Jadi tak salah pon. ;-)

    [Reply]

  4. says

    Install plugin sahaja? Atau perlu edit code?

    [Reply]

    Mr Kay Em Why Reply:

    untuk plugin pertama, boleh terus install. Untuk plugin kedua, kalau keliru, install saja dan kemudian buka home utk blog dan klik kanan, view source. perhatikan satu persatu ada version wordpress tak. kalau masih ada, hubungi saya. nnt saya beri panduan yg lebih jelas.

    [Reply]

    imran Reply:

    tiada apa-apa setting untuk plugin pertama? saya dah install :D
    .-= imran´s last blog ..Marhaban Ya Habibi =-.

    [Reply]

    Mr Kay Em Why Reply:

    plugin kat atas ni 2-2 plugin yang sangat simple. tidak memerlukan apa2 setting ;-)

  5. says

    menarik tertarik ini tips memang da bomb..benda mcm ni dah lama..tp local bloggers ramai yang tak tahu sbb jrg ada tutorial dlm BM.so thumbs up untuk bro for this tip!

    [Reply]

    Mr Kay Em Why Reply:

    thanks bro. aku tgk takde siapa yang buat tutorial ni dalam bahasa malaysia dan tips yg pertama tu sangat2 berguna, jadi aku share. kalau ramai dah share, aku pun malas nak buat. mesti orang tak heran dah ;-)

    [Reply]

Trackbacks

Leave a Reply

Your email address will not be published. Required fields are marked *

CommentLuv badge