WordPress adalah sebuah aplikasi sumber terbuka (open source). WordPress dibangunkan dengan bahasa pengaturcaraan PHP dan disokong oleh pangkalan data MySQL. Selain daripada blog, WordPress juga digunakan sebagai sebuah CMS (Content Management System). Ramai pengguna terutama pembangun (developer) menggunakan WordPress ini untuk membangunkan sesebuah projek atau website.
Awas!!! Perlu diingatkan, jangan pernah menganggap bahawa website atau sesebuah projek yang dibangunkan selamat dari serangan hacker. Umumnya para hacker mengambil alih website melalui beberapa cara seperti SQL injection, Malware, XSS, RFI, CRLF, CSRF, Base64 dan sebagainya.
Berikut merupakan langkah-langkah pencegahan yang perlu diambil bagi memastikan sesebuah pembangunan projek ataupun website selamat dari serangan hacker.
- Kata laluan (password) - Pastikan agar anda menggunakan password yang kuat dengan kombinasi a-z, A-Z, 1-0, dan kode simbol seperti !@#$%^&*().
- Versi WordPress - Pastikan agar anda selalu mengemaskini versi wordpress anda ke versi terbaru. Ini disebabkan WordPress memaparkan informasi versi yang diguna oleh pengguna. Pada umumnya, pada sesetengah theme WordPress dapat menyembunyikan versi WordPress melalui Appeareance > Editor. Pengguna perlulah mengedit pada bahagian function.php dan hapuskan coding berikut <?php remove_action(‘wp_head’, ‘wp_generator’); ?>
- Buang Admin Default - Pastikan anda membuang nama akaun admin asal wordpress. Hackers biasanya akan cuba akses kepada wp-admin anda dengan menyerang akaun menggunakan nama admin. Buat satu akaun dengan nama yang lain selain admin.
- Pastikan plugin yang anda gunakan selamat - Anda perlu berhati-hati memilih plugin. Pilih plugin yang selamat dan anda disarankan untuk memuat turun plugin dari laman web wordpress sahaja. Elakkan daripada download plugin daripada laman web yang tidak diketahui.
- Menambah skrip pada .htacces file - Pada fail .htacces anda perlu menambah skrip seperti dibawah ini bertujuan agar orang lain tidak boleh melihat dan mengakses wp-config.php
- Pasang plugin security - Download WP Firewall2 (http://wordpress.org/extend/plugins/wordpress-firewall-2/) dan Download Limit Login Attempt (http://wordpress.org/extend/plugins/limit-login-attempts/)
- Menukar table prefix - Kebiasaanya table prefix bermula dengan “wp_”, begitu juga anggapan hackers apabila ingin menggodam WordPress anda. Oleh demikan, anda perlu menukar table prefix kepada perkataan atau huruf lain supaya anda boleh menyekat kebanyakkan serangan SQL - Injection
- Mengubah kebenaran fail (file permission) - Kebenaran fail ini terdapat pada halaman CPanel dibahagian File Manager pada server hosting anda. Anda tidak perlu mengubah kesemua fail kebenaran (file permission) pada fail website anda. Berikut merupakan senarai fail yang perlu diubah
- Backup Data - Anda seharusnya sentiasa membuat backup data termasuklah database semasa ianya masih bersih atau belum digodam. Ini bertujuan mumudahkan anda sendiri untuk restore kembali semua data-data anda sekiranya berlaku sebarang masalah.