Menyembunyikan Hints Pada Pesan Error Login WordPress

Tuesday, May 9, 2017

Hallo.. kali ini saya akan membagi sedikit tips mengenai tweak security bagi kalian yang menggunakan cms wordpress. Pada tutorial kali ini kita akan membahas mengenai menghilangkan login hints saat login ke wordpress.

Jadi default nya kan saat kita salah masukin password, error di wp bakal ngasih tau password for username bla bla bla incorrect. Nah hint username itu bakal dimanfaatin oleh attacker buat ngelakuin bruteforce ke server wordpress mu.

Beberapa tools bruteforce juga dilengkapi scanner yang otomatis melakukan bruteforce username dan melihat respon dari server, jika respon nya username valid, maka dilanjutkan dengan bruteforce password. Nah untuk menghindari itu bisa dengan mengirim respon yang sama entah username yang dimasukkan benar atau salah.

Caranya ?
Oke ikuti trik simpel berikut ini.
Kamu buat folder dengan nama bebas di direktori plugins wordpress. (/wp-content/plugins/) . Selanjutnya buat file di dalam folder tersebut dengan nama yang sama.
Di tutorial kali ini saya membuat folder dengan nama disable-hints . jadi susunannya /wp-content/plugins/disable-hints/disable-hints.php .
Lalu isinya gini :
<?php
/*
Plugin Name: Disable Login Hints
Description: Ampun bang heker jangan hek situs saya
*/
function no_wordpress_errors(){
  return 'ampun bang jangan di hek';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
?>

Nah itu yang dicetak tebal sesuaikan sendiri ya. Males ngasih keterangan wkwk.
Selanjutnya gimana ?
Kamu login ke dashboard wordpress mu, masuk ke menu plugins, lalu aktifkan plugins yang kamu buat barusan.

Kalau sudah coba logout, lalu masukkan username (benar) dan password ngasal. Pasti clue username mu tidak akan muncul dan diganti dengan error notice yang kamu atur di plugins tadi.

Oke sampai disini kamu sudah berhasil untuk menambahkan keamanan di cms wordpress mu. Meski kalian memasukkan data valid (username atau email benar) maka errornya akan terlihat sama dengan error saat username maupun email salah.

Tambahan :
Selain dengan cara diatas, biasanya attacker melihat username terdaftar melalui REST API yang secara default di enable sejak versi 4.7.x . Sehingga anonymous user pun bisa melihat list author di wordpress .
Coba lihat screenshot berikut :
kalian bisa melihatnya di alamat /wp-json/wp/v2/users
Cara menyembunyikannya ?
kalian install plugins Disable REST API .
Sekarang coba logout dan cek apakah list suthor masih terlihat.

Nah untuk menghindari scanner seperti "wpscan" yang melakukan enumerate username, kalian bisa gunakan plugins berikut :

Mudah bukan ?

Setidaknya meski tidak menjamin seratus persen bahwa wordpress mu aman dari peretasan , tapi cara diatas bisa meminimalisir peretasan yang akan menimpa servermu. Kecuali kalau hacker nya memang sudah hacker legenda dengan semboyan "Your Site's Security Is Good, But Not Enough To Stop me". Kalau itu sudah jangan dibahas lagi.

Oke sekian tutorial kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan atau ditambahkan silahkan komentar.

Artikel Terkait Hardening ,Security ,WordPress

No comments:

Post a Comment