Nama : Frenavit Kusman Setia Putra Nama Beken : Frenavit Putra & Bodrex Alamat : Ds. Beratwetan. Gedeg. Mojokerto Alamat Sementara: Gebang Wetan 23 B, Sby No Telp: Blog: frenavit Frenavit Putra

Internet Blog= Rumah

 Pembobolan Account (Brute Force)  SQL Injection  Cross-site Scripting (XSS)  Spaming Komentar  Deface  DOS Attack (Denial of Service)

Brute force adalah proses untuk mengetahui password dan user name seseorang dengan menggunakan metode trial and error.  Brute force menggunakan sebuah pendekatan yang lempang (straightforward) untuk memecahkan suatu masalah, biasanya didasarkan pada pernyataan masalah (problem statement) dan definisi konsep yang dilibatkan.  Algoritma brute force memecahkan masalah dengan sangat sederhana, langsung dan dengan cara yang jelas (obvious way).

Acount Blog mudah dibobol dikarenakan 2 faktor, faktor internal dan eksternal. 1.Internal : Penggunaan Username dan Password yang mudah ditebak Adanya “Bug” pada OS Hosting atau CMS yang kita pakai

2.Eksternal: Phising Phising (pengelabuhan) adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi, seperti password dan username, dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti atau pesan instan, banner.

Sniffing Sniffing atau “penyadapan paket” adalah sebuah kegiatan untuk menyadap setiap paket data yang ada di dalam sebuah jaringan, baik jaringan internet atau LAN. Internet Sniffer

SQL Injection adalah sebuah teknik penyerangan yang memanfaatkan sebuah “celah” keamanan yang ada dalam lapisan database sebuah aplikasi. Celah Database yang dimaksud diatas tersebut adalah sebuah celah yang ketika seorang pengguna memasukkan isian karakter kedalam form input yang mana tidak ada filter secara benar dari karakter-karakter bebas yang ada di SQL. Beberapa karakter bebas : ‘/”[]^,. dll

XSS atau Cross Site Scripting adalah teknik yang digunakan untuk menambahkan dan menanamkan script pada sebuah website atau blog yang akan dieksekusi oleh user lain pada browser user lain tersebut. XSS atau Cross Site Scripting umumnya menggunakan HTML/JavaScript, atau bahkan VBScript, ActiveX, Java, Flash, dll yang diinputkan melalui input form seperti kolom komentar pada Blog

Cara cek apakah bisa dilakukan Cross Site Scripting Blog kita: 1.Silahkan masukkan tag script via form komen, misal : alert(‘saya cakep'); 2.Jika ternyata keluar alert “saya cakep” ketika halaman di refresh maka bisa dipastikan Blog kita bisa dilakuan Cross Site Scripting. Cross Site Scripting Redirect

Spamming Komentar (komentar sampah) adalah pengiriman komentar secara otomatis yang dilakukan oknum ke beberapa Blog sekaligus. Komentar Spam dikirim dengan tujuan untu mempromosikan sebuah site atau produk tertentu. Untuk dapat dikatagorikan menjadi spam, sebuah komentar muncul tidak diminta dan termasuk bulk. Tidak diminta. Berarti bahwa kita tidak secara eksplisit meminta untuk menerima komentar yang tidak berhubungan dengan artikel di blog kita. Bulk berarti bahwa komentar tersebut sama atau hampir sama dengan yang dikirim ke banyak blog lain.

Deface/Defacing atau cyber grafity secara umum diartikan sebagai aktifitas menodai atau merubah ubah isi suatu halaman web dengan kalimat, image atau link tertentu yang tidak ada sangkut pautnya dengan misi web tersebut.

DoS Attacks (denial-of-service attacks) adalah serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.

Jenis Serangan Jenis Blog Self Hosting BlogBlog Provider Pembobolan Account (Brute Force)Ya SQL InjectionYatidak Cross-site Scripting (XSS)YaMunkin Spaming KomentarYa DefaceYaTidak DOS Attack (Denial of Service)Ya

1.Ganti Username “Admin”, Hal ini digunakan untuk menghindari Brute Force yang dilakukan Hacker. 2.Gunakan kombinasi Huruf, angka, dan spesial karakter untuk username dan password Blog yang powerfull. 3.Ganti Username dan Password secara Berkala.

1.Gunakan password yang kuat. 2.Segera update CMS dan Plugins wordpress ke versi terbaru. 3.Sembunyikan halaman Login Standard ( admin) dengan url lain. 4.Menyembunyikan versi wordpress 5.Pindahkan File wp-config.php. 6.Gunakan Secret Keys. 7.Rubah WordPress table prefix. 8..htaccess lockdown 9.Buat file.htaccess di dalam folder wp-admin. 10.Sembunyikan Plugin yang defaultnya terletak pada

Hindari menggunakan tgl lahir. Jangan mengandung kata yang ada di Username. Terdapat kombinasi antara angka, huruf, dan karakter. Kombinasikan juga dengan huruf besar kecil. Gunakan Password generator.

Update Engine CMS Wordpress dan Plugins wordpress yang ita gunakan mutlak “wajib” dilakukan karena update ke versi terbaru akan menutup celah (bug) yang ada di versi lama.

Tujuan untuk menyembunyikan halaman Login wordpress standard ( dilakukan untuk menghindari adanya Brute Force. Untuk menyembunyikan halaman Login ini bisa menggunakan Plugins Stealth Login

Untuk menyembunyikan Versi Wordpress dapat dilakukan dengan 2 cara, yaitu : 1.Menambahkan script berikut di functions.php. function hide_wp_vers() { return ''; } add_filter('the_generator',' hide_wp_vers'); 2.Menggunakan Plugins Secure Wordpress

Wp-config merupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPress tidak akan berfungsi. File ini dapat disimpan di luar root direktori WordPress. Caranya pindahkan file wp- config.php satu level di atas root direktori WordPress. WordPress secara otomatis akan mencari file ini bila tidak menemukannya di root direktorinya.

Secret Keys dibuat untuk lebih menjamin informasi yang tersimpan pada cookies terenkripsi secara lebih baik. Caranya gunakan online generator pada Di sana akan terlihat 4 Secret Keys yang secara acak terbentuk. Copy Secret Keys tersebut kemudian buka file wp-config.php dan paste ke posisi di mana keempat Secret Keys ini diletakkan.

Bila kita menggantinya setelah menginstall WordPress, kita bisa memanfaatkan plugin WP Security Scan atau tabel prefix changer. Jangan lupa back up terlebih dahulu sebelum melakukannya. Standard Table Perfix ‘wp_’ Table Perfix modif $table_prefix

Cara ini akan melindungi wp-admin direktori melalui.htaccess. Cara ini bekerja dengan mengunci akses terhadap wp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapat mengakses wp-admin kita. Dan hampir tidak mungkin orang lain dengan IP address yang berbeda bisa mengakses wp-admin. Kode yang harus dibuat pada file.htaccess AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx Isi dengan ip yang dikehendaki login

# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # END WordPress

Kenapa harus disembunyikan? Jika tidak disembunyikan, bisa dimanfaatkan para hacker/cracker bila ada 404 error page. Caranya buat file.htaccess dan tempatkan di folder /wp-content/plugins dengan kode seperti ini : # BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # Prevents directory listing IndexIgnore * # END WordPress

Cara lain untuk menyembunyikan plugins yaitu dengan membuat file index.html yang isinya kosong kemudian upload ke wp-content/plugin. Atau cara lain untuk membuat file.htaccess untuk melindungi direktori wp- admin, wp-includes, dll. Bagi yang menggunakan hosting dengan CPANEL, bisa memanfaatkan fasilitas Leech Protect dari Cpanel tempat anda hosting wordpress.

1.Limit Login Attempts Plugin ini dapat melakukan blok terhadap user selama 20 menit setelah salah memasukan password sebanyak 4 kali (dapat diubah manual). Hal ini menjadi jalan terbaik untuk mengatasi serangan berupa Brute Force. Download plugin limit login attempts di attempts/

2.WP Security Scan Plugin ini menawarkan beberapa fitur ganda seperti file permission, menyembunyikan versi wordpress, database security dan proteksi terhadap admin. Plugin ini, juga dapat melakukan scanning terhadap direktory web dan memberi report menganai file permission yang seharusnya. Download plugin wp security scan di scan/

3.Sabre Fungsi plugin ini dapat menghentikan pendaftaran pengguna palsu yang dilakukan oleh bots. Plugin Sabre dapat menambahkan gambar verifikasi atau uji matematika untuk proses registrasi agar dapat memastikan pengguna yang sudah terdaftar tidak palsu.

4.Semisecure Login Plugin ini berguna untuk meningkatkan keamanan dari proses login dengan menggunakan kunci publik untuk mengenkripsi password pada sisi klien.

5.Secure WordPress Plugin ini akan menjaga dengan aman instalasi wordpress kita dengan sedikit fungsi bantuan. Dia dapat menyembunyikan informasi mengenai versi instalasi wordpress kita yaitu dengan: Menghapus kesalahan-informasi pada halaman login Menambahkan indeks.html ke-direktori plugin (virtual) Menghapus Really Simple Discovery Menghapus wp-versi, kecuali di daerah-admin Menghapus tema-update informasi bagi non-admin Menghapus Windows Live Writer Menambahkan string untuk digunakan WP Scanner Menghapus inti memperbarui informasi untuk non-admin Menghapus plugin-update informasi bagi non-admin

Banyak cara untuk mengamankan Blog kita, namun cara tersebut tidak kekal dan sempurna selamanya. Cara mengamankan yang paling sempurna adalah dengan selalu waspada dan berjaga-jaga.