Oké, sebelum saya dilémpari batubata oléh para pembaca sekalian, saya harus membuat klarifikasi dulu, bahwa ini bukan tutorial komplit meretas (meng-hack) WordPress menggunakan anéka jurus sakti, tapi hanya satu cara dari sekian banyak cara yang terpaksa saya gunakan untuk menjadikan diri saya Administrator.
Ceritanya begini. Saya diminta memindahkan situs web (website) suatu lembaga pendidikan, di mana situs web tersebut dibangun menggunakan WordPress. Kalau semuanya lancar, maka yang saya lakukan adalah:
- Masuk (Login) menggunakan akun Administrator.
- Memasang Plugin Al-in-One WP Migration.
- Mengekspor data.
- Pindahkan A pointer DNS agar menunjuk ke IP address server baru.
- Pasang WordPress di server baru.
- Pasang Plugin Al-in-One WP Migration.
- Import data.
Selesai. Mudah kan?
Ada juga cara lain yang lebih “tingkat rendah” yaitu menyalin semua tabel dan file-file WordPress dari server lama ke server baru. Ini juga adalah cara yang diajarkan WordPress. Tapi pada praktéknya, kadang saya menemui kegagalan melakukan ini, terutama bila server lama memakai Cpanel dan server baru memakai Serverpilot. Sepertinya ada ketidakcocokan pada Apache dan PHP.
Oké, kembali kepada bahasan.
Bila saya tahu kata sandi (password) Administrator, maka 7 langkah di atas bisa segera dilakukan. Paling hanya butuh 20 menit. Tapi masalahnya, saya tidak tahu kata sandi Administrator dan parahnya lagi Administratornya sulit dihubungi. Yowis, terpaksa saya pakai téknik hacking ala Mawan yang serabutan, héhéhé…
LANGKAH 1: DAPATKAN KATA SANDI DATABASE WORDPRESS.
Di dalam file wp-config.php ada data tentang nama database, nama pengguna (username), dan kata sandi (password). Tertulis jelas tanpa diacak. Masalahnya, bagaimana cara membuka file ini? Berarti harus bisa masuk ke sérver, baik melalui SSH, FTP, atau Cpanel. Cara yang paling sering berhasil adalah melalui Cpanel. Yang penting kita bisa menerka nama pengguna dan kata sandinya.
Dengan usaha keras, akhirnya saya bisa masuk melalui SSH, lalu membuka file wp-config.php menggunakan nano (sejenis éditor téks di Linux). Data yang diperlukan dicatat di Notepad.
Bagaimana cara masuk (membobol) SSH? Wah, panjang ceritanya. Harus ada pembahasan tersendiri.
Penting:
Untuk mengurasi résiko situs web diretas (kena hack), maka saran saya adalah:
- SSH jangan mengizinkan masuk menggunakan kata sandi. Harus menggunakan pasangan private key dan public key. Untuk lebih aman lagi, ganti port 22 menjadi angka lain. Tapi jangan lupa Firewall juga harus disesuaikan.
- Buang layanan FTP bila tidak dibutuhkan.
- Buang phpMyAdmin.
LANGKAH 2: SUNTIKKAN ADMINER.
Adminer adalah sejenis phpMyAdmin, tapi hanya berupa satu file PHP. Jadi tidak perlu diinstall. Dengan menggunakan data yang tadi dicatat di Notepad, saya bisa masuk ke basis datanya (database).
LANGKAH 3: UBAH KATA SANDI ADMINISTRATOR.
Masih menggunakan Adminer, buka tabel yang namanya diakhiri “users”, misalnya wp_users. Administrator biasanya mendapat ID nomor 1. Catat user_login dan amankan dulu kata sandi aslinya. Kata sandi ada di kolom user_pass. Setelah diamankan, ganti menjadi:
$P$BQpp8ptyzdyqAuEDwkyn3T9LbEMtNy/
Itu adalah hash untuk kata sandi “12345678” (tanpa tanda kutip).
LANGKAH 4: MASUK KE WORDPRESS.
Jalankan peramban (web browser) lalu buka alamat http://namadomain/wp-admin. Gunakan akun admin dan kata sandi 12345678.
LANGKAH 5: MEMASANG PLUGIN.
Karena saya masuk menggunakan akun Admin, maka saya bisa memasang plugin All-in-One WP Migration. Setelah itu prosés migrasi pun bisa berjalan lancar.
selamat pagi pak..!! jika kita ingin membuat sebuah situs wordpres apkah harus menggunakn Cpanel atau yang lain nya pak ??, atau juga tidak perlu menggunakan itu semua pak ?? , tolong pencerahan nya ya pak..!!
bapak bisa save wa saya pak ..^_^
Laila
WA +62822xxxxxxxx (diedit oleh Mawan demi alasan keamanan dan privacy).
CPanel adalah aplikasi yang dipasang di server untuk mempermudah menginstall dan mengatur web server (misalnya Apache, Nginx), memroses script (misalnya PHP), dan database (misalnya MySQL, PosgreSQL). Kalau kita bisa menginstall sendiri Apache atau Nginx, PHP, dan MySQL, maka tidak diperlukan lagi CPanel. CPanel sangat memudahkan pekerjaan kita, tapi biayanya lumayan mahal. Kalau mau berhemat, bisa menggunakan yang murah misalnya CentOS Web Control Panel atau malah yang gratis misalnya VestaCP.
apakah menginakan themes geratisan gampang untuk di retas ? apakah themes berbayar masih bisa di Hack juga ?
mohon untuk memberikan pejelasanya saolnya saya mengunakan themes geratisan dari wordpress sering kali kena Hack
Theme gratis yang disediakan WordPresss lebih aman dari pada Theme gratis yang diunduh dari situs web bebas. Saya juga memakai beberapa Theme gratis. Alhamdulillah masih aman-aman saja. Hacker masuk bukan cuma dari Theme, tapi juga dari plugin yang diketahui ada celah keamanan tapi tidak diupdate. Serangan lain bisa melalui SSH dan FTP yang passwordnya mudah ditebak.
Wah, berbahaya sekali kalau website wordpress kita sampai kena hack juga. Apakah ini bisa dicegah dengan plugin wordpfence?
Wordfence adalah Web Application Firewall. Artinya, dia hanya melindungi dari serangan yang mentargetkan aplikasi web pada folder instalasi WordPress. Tidak bisa mencegah serangan pada folder lain, atau yang masuk melalui SSH. Tapi lebih baik ada WAF dari pada tidak ada perlindungan sama sekali.
Rumah seseorang bisa dimasuki pencuri karena pemilik rumah tidak menyangka pencuri bisa masuk melalui cara tertentu. Misalkan pintu dan jendela telah dikunci. Dianggap aman. Ternyata pencuri masuk melalui atap rumah. Atau dengan menggali tanah. Atau bersembunyi di dalam bagasi mobil dan baru keluar setelah mobil masuk ke dalam rumah.