Rabu, 07 Maret 2018

Begini Cara Menyembunyikan Alamat WP Login





Hanya bisa merusak, merusak, dan merusak. Ya, itulah yang saya pikirkan beberapa waktu lalu. Ketika seorang hacker berhasil melakukan symlink terhadap WordPress sobat, biasanya mereka akan mereset password salt dan login ke akun WordPress yang sudah direset passwordnya. Dan hal ini dimudahkan dengan settingan default alamat login WordPress sobat yaitu di [localhost]/wp-login.php .
Atau mungkin saja attacker yang lebih dulu menemukan link login WordPress sobat [belum mendapatkan password]mencoba melakukan bruteforce untuk mendapatkan password sobat. Lalu bagimana cara kita melindungi alamat login WordPress dari para hacker ? Dengan menyembunyikannya. Caranya ?

Ikuti langkah-langkah berikut :
1. Pertama, login ke akun Cpanel sobat.
2. Kedua, masuk ke menu File Manager.
3. Ketiga, cari file wp-login.php dan rename dengan alamat login yang baru. Sebagai contoh, saya rename menjadi nabilah.php [ingat, file harus berekstensi .php]
4. Lalu buka file nabilah.php tadi dan rename semua kata “wp-login” dengan kata “nabilah” . Setelah saya hitung, seluruhnya ada tigabelas kata “wp-login” . Klik save.

Selanjutnya, masuk table wp-includes dan cari file general-template.php.
Buka file general-template.php dan ganti semua kata “wp-login” menjadi “nabilah“. Semuanya ada lima kata “wp-login” . Klik save.

Sampai disini, mungkin attacker tidak bisa menemukan halaman login WordPress sobat jika yang dicari adalah file berekstensi .php . Namun ternyata attacker masih bisa menemukan halaman login yang sudah kita sembunyikan tersebut karena saat kita mengetik alamat [localhost]/wp-admin , maka akan diredirrect ke [localhost]/nabilah.php . Nah, percuma dong disembunyikan. Tenang, masih bisa diakali.

5. Sekarang, buat file berkestensi .php di direktori WordPress sobat. [Jika WordPress diinstall di public_html, silahkan buat filenya di public_html . Silahkan disesuaikan sendiri]. Sebagai contoh, saya buat file dengan nama achan.php . File achan.php tersebut saya isi dengan tulisan “Hello hacker, are you fucking kidding me ? :p” . Lalu klik save.
Buka lagi file general-template.php yang ada di wp-includes.
Lalu cari kode berikut function wp_login_url . Atau lengkapnya seperti ini :
function wp_login_url($redirect = ‘ ‘, $force_reauth = false) {
$login_url = site_url(‘nabilah.php’, ‘login’);
Ganti tulisan berwarna biru, “nabilah.php” menjadi “achan.php“


Dan sekarang, coba anda logout dari Dashboard WP sobat, coba masuk kembali namun kali ini masuk lewat [localhost]/wp-admin . Maka sobat akan diredirrect ke halaman [localhost]/achan.php dan akan menjumpai tulisan Hello hacker, are you fucking kidding me ? :p .


NB : Sekarang sobat harus login dengan alamat [localhost]/nabilah.php karena selain itu tidak bisa.
Sekian tutorial kali ini, semoga bermanfaat.

security, wordpress, wordpress (blogger), wordpress security, how to secure wordpress website, how to protect wordpress website, website security, secure wordpress website, security for wordpress, wordfence, wpcrafter, website (industry), wordpress plugin tutorials, wordpress security vulnerabilities, wordpress admin, different types of admin user, wordpress user meta, wordpress give admin, wordpress admin user, wordpress protection, wpbeginner, wordpress hacking, code, protect wordpress, secure wordpress, defaced, hackers, hacked, web site, hosting websites on linux, web security, configuration, application security, wordpress admin through database, wpll101, tutorial, how-to, all in one wp security tutorial, hogan chua, all in one wp security

Tidak ada komentar:

Posting Komentar