Siri Tutorial WordPress #9 : Tingkatkan keselamatan blog dari diceroboh

Tutorial kali ini dimulakan dengan sebuah cerita..

Tersebutlah kisah, diwaktu pagi yang cerah, kau menghirup udara yang segar sambil ingin melihat keadaan blog menggunakan domain dan hosting sendiri yang kau baru bina. Kau menaip nama domain blog kau pada internet browser dan klik butang “Enter”, harapan berbunga-bunga ingin membaca sendiri artikel yang kau taip semalam sampai kau tak cukup tidur.

Tapi tiba-tiba.. BAM! Mulut kau ternganga sebesar bola tenis bila tengok blog kau paparkan seperti gambar di bawah..

Apa kau nak buat sekarang? Dah tentu pelawat blog kau akan dapat alert yang sama. Kau nak meraung? Dah tak guna sebab ada orang yang dah pecah masuk blog kau dan letak satu baris coding malware dalam fail blog kau.

Berita baik, kau boleh remove coding tu kalau kau ada basic computer language tapi berita buruknya, coding tu boleh infected ke fail-fail lain. Tak ke berbulu nak buang coding tu satu persatu? Aku bukan nak tokok tambah cerita, tapi aku dah berhadapan dengan situasi yang macam ni banyak kali. Hati aku ni tak usah nak ditanya, rasa macam dicarik-carik dengan blender je.

Jadi, post aku kali ini bukan nak ajar macam mana nak buang malware tu, tapi cara untuk mencegah dari malware jahanam tu menjahanamkan pada blog kau di masa depan nanti.

Aku dah try beberapa plugin untuk naik taraf keselamatan blog aku ni, di sini aku listkan beberapa plugin yang kau boleh guna.

Exploit Scanner – Dapat scan coding dalam fail WordPress dari berlaku jangkitan malware.

Login Lockdown – Naik taraf keselamatan login page blog kau.

Aku tak harap pada dua plugin ni saja untuk keselamatan blog aku, tapi aku gunakan fail .htaccess untuk khaskan login page aku untuk ip address aku sahaja. Tapi cara ni ada kelebihan dan kekurangannya.

Kelebihan

Jika ada pelawat cuba access page wp-admin kau, diorang akan diarahkan ke error page 404. Jadi blog kau selamat dari diakses oleh orang lain.

Kekurangan

Jika kau menggunakan PC yang bertukar-tukar IP (streamyx) setiap kali connect ke internet, kau terpaksa edit fail .htaccess setiap kali untuk akses/login ke dalam blog kau.

Jika kau pentingkan keselamatan blog kau dan tak kisah untuk edit fail .htaccess tu, kau bolehlah download fail .htaccess yang aku kongsi dibawah.

Download fail .htaccess untuk naik taraf keselamatan blog WordPress.

Disini aku share beberapa langkah untuk menggunakan fail .htaccess ni.

1) Jika kau dah download fail .htaccess tu, upload ke dalam folder wp-admin di hosting kau tu dengan menggunakan software FTP. Apa-apa software FTP pun boleh personally, aku guna FileZilla. Jika kau tak tahu guna FTP lagi, sila baca tutorial panduan menggunakan FTP dulu.

2) Jangan tutup software FTP tu lagi, kau cari fail .htaccess di dalam wp-admin. Kemudian right click pada fail tu dan pilih “View/Edit file” atau yang sama makna dengannya.

3) Sekarang korang dah nampak isi kandungan fail tu. korang tengok coding baris yang ke-15 dan ke 17 yang sama macam ditunjukkan di bawah.

allow from 60.48.240.60

allow from 60.48.247.86

5) Sekarang login page blog kau/ wp-admin kau dah jadi eksklusif untuk IP address kau sahaja. Tapi jangan lupa untuk tukar IP address dalam fail .htaccess tu lagi jika IP address kau dah bertukar. Kalau tak, sampai kiamat pun kau takleh nak login blog kau tu.

Aku harap entri aku kali ini dapat membantu kau untuk melindungi dari diceroboh oleh penggiat malware jahanam tu. Selepas aku gunakan fail .htaccess ni, blog aku dah tak diceroboh lagi. Selamat beramal!

p/s: Aku tak pasti jika WordPress version 3 dah naik taraf keselamatan dia. Ada tak yang gunakan WordPress version 3 masih ada masalah malware exploit ni? Kongsi pengalaman kat bahagian komen ye?

Entri ini adalah kesinambungan daripada Siri Tutorial WordPress. Ikuti Siri Tutorial WordPress ini dari awal.