Lindungi WordPress dari Serangan

Posted by Poer on Apr 28, 2010 in Personal | 5 comments

Satu lagi plugin keren dari PerisablePress.com, blog yang sering membahas masalah keamanan situs WordPress. Kali ini dia membuat sebuah plugin ringan (dalam artian cuma beberapa baris kode saja) tapi punya kemampuan mumpuni untuk melindungi blog kita.

Plugin yang diberi nama Block Bad Queries ini fungsinya hampir sama dg plugin WordPress Firewall yang pernah aku bahas sebelumnya. Keduanya sama-sama mencegah akses mencurigakan ke situs WordPress. Perbedaannya plugin Block Bad Queries ini mengkhususkan diri untuk menangkal percobaan serangan melalui malicious URL request yang menggunakan kata kunci EVAL, CONCAT, UNION+SELECT, dan BASE64.

global $user_ID; if($user_ID) {
	if(!current_user_can('level_10')) {
		if (strlen($_SERVER['REQUEST_URI']) > 255 ||
			stripos($_SERVER['REQUEST_URI'], "eval(") ||
			stripos($_SERVER['REQUEST_URI'], "CONCAT") ||
			stripos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
			stripos($_SERVER['REQUEST_URI'], "base64")) {
				@header("HTTP/1.1 414 Request-URI Too Long");
				@header("Status: 414 Request-URI Too Long");
				@header("Connection: Close");
				@exit;
		}
	}
} ?>

Semua URL request ke situs kita ( http://situskita.com/alamat-artikel/?parameter ) yang panjangnya lebih dari 255 karakter atau mengandung parameter berbahaya seperti EVAL, CONCAT, UNION+SELECT, dan BASE64 akan langsung menghasilkan error “414 Request-URI Too Long”.

Parameter-parameter diatas berbahaya karena dapat digunakan untuk melakukan link injection, SQL injection, ataupun upload file berbahaya ke situs kita. Dalam keadaan normal, semua parameter itu tidak pernah digunakan sebagai parameter URL.

Cuma 14 baris kode, tapi bermanfaat banget buat menangkal serangan ke situs WordPress kita

Tags:

mencegah serangan website