Root » WordPress » Celah Folder Uploads WordPress

Celah Folder Uploads WordPress

Bahas tentang keamanan WordPress lagi nih. Walaupun sudah banyak yang tahu, salah satu kelemahan WordPress yaitu tidak setiap folder terlindungi oleh file index, sehingga sangat mungkin terjadinya direktori browsing alias file-file yang ada dalam folder tersebut “telanjang” atau terlihat jelas.

Salah satu folder yang patut diamankan adalah folder uploads ( /wp-content/uploads/ ).Tentunya tidak mau kejadiannya seperti ini

atau seperti ini

celah uploads wordpress

dan ini
celah uploads wordpress 3

Yap, bisa telihat jelas disana ada beberapa theme dan plugin premium yang bisa didownload langsung, nyaamm.

Cara termudah melindungi setiap folder adalah dengan file htaccess, cukup copas beberapa baris kode berikut maka direktori browsing bisa dimatikan.

# disable directory browsing
Options All -Indexes

Untuk keterangan htaccess lainnya bisa dilihat di htaccess WordPress.

Apabila folder uploads sudah terlindungi, ancaman masih bisa tetap terjadi lho, terutama bagi yang suka upload file theme dan plugin secara langsung lewat dashboard WordPress. Cukup dengan sedikit trik orang lain bisa mendapatkan theme / plugin yang kita upload tadi.

Kenapa bisa ? ya bisalah, karena setiap file theme dan plugin dalam format .zip yang diuploadย  lewat dasboard akan diletakan dahulu di folder uploads, baru kemudian di ekstrak ke folder themes / plugins. Nah, setelah diupload tersebut, WordPress tidak menghapus file dalam bentuk .zip tadi alias bisa diakses langsung nantinya.

Lalu, bagaimana cara lihatnya kan sudah diamankan oleh htaccess dan kalaupun dicoba akan menampilkan halaman kosong / halaman 404. Gampang, cukup dengan metode “View Source”.

Untuk theme WordPress cari dan lihat saja “/wp-content/themes/” misal didapat domain.com/wp-content/themes/bla-bla/ maka untuk mendapatkan theme tersebut cukup jadikan ke “domain.com/wp-content/uploads/bla-bla.zip/” jika beruntung file theme tersebut bisa langsung di download *dengan asumsi nama folder theme sama dengan nama file zip theme tersebut*.

Untuk plugin sedikit sulit karena harus tahu lebih dahulu nama file plugin tersebut, silahkan googling saja.

Memanfaatkan kurangnya kepedulian akan keamanan folder uploads WordPress, dengan sedikit keisengan saya bisa dapat banyak theme dan plugin premium yang tidak di hapus setelah diupload oleh pemilik blog WordPress ๐Ÿ˜€ *jangan ditiru yoo*.

Oia…ย  jangan lupa juga yoo, cek url dan file di “/wp-content/uploads/” di blog masing-masing. Saya lihat masih ada saja yang bisa diintip folder uploads-nya.

Kesimpulan :
[*] Amankan WordPress dari direktori browsing dengan file .htaccess
[*] Setiap kali upload file theme dan plugin yang penting lewat dashboard, jangan lupa diHAPUS file zip-nya diย  “/wp-content/uploads/” entah itu lewat CPanel, FTP dll.
[*] Kalau tetap masih mau upload lewat dashboard, ganti nama file zip-nya dengan yang lain terlebih dahulu.
[*] Saran saya pakai saja program FTP misal filezilla untuk urusan upload file theme dan plugin penting.

Twitter

JhezeR

Engineer | Blogger | Pencari Ilmu | Internet Maniak | Pemburu Kesuk$e$an | Penikmat Musik, Film & Pertandingan | Interisti | Muser

telah mempunyai 236 Tulisan di JhezeR.com

WordPress » » » » » celah wordpress ยป
Celah Folder Uploads WordPress Reviewed by JhezeR on . Sebuah Tulisan tentang Celah Folder Uploads WordPress @JhezeR.com

Bahas tentang keamanan WordPress lagi nih. Walaupun sudah banyak yang tahu, salah satu kelemahan WordPress yaitu tidak setiap folder terlindungi oleh file index, sehingga sangat mungkin terjadinya direktori browsing alias file-file yang ada dalam folder tersebut “telanjang” atau terlihat jelas. Salah satu folder yang patut diamankan adalah folder uploads ( /wp-content/uploads/ ).Tentunya tidak mau kejadiannya

Rating: 4

39 Komentar "Celah Folder Uploads WordPress"


  1. Panduan Belajar Blog | 1 Komentar +
    October 25th, 2011 @ 16:38

    gak banyak mengikuti postingan kali ini karena hostingku masih gratisan dari blogspot. ๐Ÿ™‚
    nice share bagi pengguna WordPress.org lainnya karena ini pasti sangat bermanfaat dalam hal perlindungan keamanan blognya.

    Balas Yoo

    JhezeR |

    kenapa gak sekalian pindah ke wp self hosted mas, kan bisa ntar dipraktekan ๐Ÿ˜€

    Balas Yoo

  2. Dravide | 2 Komentar +
    October 25th, 2011 @ 17:25

    Pake Wp Firewall 2 aman deh, check di site ane.

    Balas Yoo

    JhezeR |

    wp firewall gak bisa lindungi yg ini gan, td saya cek http://www.dravide.com/wp-content/uploads/ masih bisa diakses.

    Balas Yoo

    Xrvel |

    Bener, masih bisa diliat dravide.com ๐Ÿ˜€

    Balas Yoo

  3. arif | 8 Komentar +
    October 26th, 2011 @ 18:52

    kalau saya sih pake BPS security, hasilnya jadi 404 Error not found kalo ada yang ngakses direktori itu ๐Ÿ™‚

    Balas Yoo

    tomi |

    bullet prof security ya mas?

    Balas Yoo

    JhezeR |

    kayaknya theme yg mas pake skrg (cleanx) msh bisa saya download di folder uploads

    Balas Yoo

    arif |

    sudah saya hapus mas, maklum kemaren baru aja gelagapan blog kena masalah ( katanya sih trojan )

    Balas Yoo

  4. Peluang Usaha | 27 Komentar + ♥♥
    October 28th, 2011 @ 01:10

    Wah-wah, blog cari peluang usaha (dot) com jg ada yg intip gak ya ?? ๐Ÿ™‚ pi yg paling sering ngintip admin nya sendiri nih, hehe..

    Oh ya Da Jhezer. Sy intip situs sendiri aja biar lebih safety, mau tanya nih Da. Kalo sy akses /wp-content/ nya aja kn kosong gak ada tampilan apa-apa. Tp kalo di terusin sampe /menu/ atau /css/ atau /javascript sampe ke folder img nya kok malah telanjang gitu ya ? amankah kalau masih dibiarkan gitu. atau di redirect ke halaman depan folder-folder gituan.

    balas yoo ๐Ÿ™‚

    Balas Yoo

    JhezeR |

    kalo gak ada file penting, aman2 saja kok. pake htaccess aja biar lbh terlindungi.

    Balas Yoo

    Peluang Usaha |

    blh mnt contoh htaccess ny untuk folder yg di maksud ?

    Balas Yoo

    JhezeR |

    yg ini

    # disable directory browsing
    Options All -Indexes

    utk htaccess lainnya bisa diliat di http://jhezer.com/htaccess-WordPress/

  5. M Mursyid PW | 6 Komentar +
    October 28th, 2011 @ 18:23

    Wow, dapet ilmu baru, ni. Thanks.

    Balas Yoo

    JhezeR |

    gak sekalian dipraktekan pak? folder uploads nya msh bisa dilihat, hmm bnyk juga upload theme dan plugin.

    Balas Yoo

  6. dHaNy | 29 Komentar + ♥♥
    October 29th, 2011 @ 19:28

    Makasih banget mas, punyaku masih telanjang bulet..

    Balas Yoo

    JhezeR |

    haha…. cepetan dikasih pakaian mas

    Balas Yoo

  7. Miftakhudin | 2 Komentar +
    October 30th, 2011 @ 15:35

    Salam kenal mas
    terimakasih buat artikel peringatanya mas..
    tapi blog saya masih polos tanpa di security

    Balas Yoo

    JhezeR |

    secara bertahap aja mas mengamankan blognya ๐Ÿ˜€

    Balas Yoo

  8. iskandaria | 16 Komentar +
    November 4th, 2011 @ 20:46

    Wah, ternyata punya blog saya sudah aman ๐Ÿ™‚

    Balas Yoo

    JhezeR |

    blog mas is udah aman kayaknya dari pencurian hehe..

    Balas Yoo

  9. Dimas Satrio | 2 Komentar +
    November 5th, 2011 @ 10:53

    sudah ku praktekan di blog ku

    trik yang hebat !

    Balas Yoo

    JhezeR |

    sipp, cuma trik lama mas

    Balas Yoo

  10. Rumah | 1 Komentar +
    November 9th, 2011 @ 14:21

    mantaps deh, o ya aku mau kasih info nih http://seocontest.century21.co.id/2011/ selamat mencoba ya kawan ๐Ÿ™‚

    Balas Yoo

    JhezeR |

    kontes seo lagi nih, mantap hadiahnya

    Balas Yoo

  11. Zippy | 11 Komentar +
    November 9th, 2011 @ 20:29

    Waduw, harus bertindak nih ๐Ÿ˜€
    Barusan saya cek, file2 di /wp-content/uploads/ masih bisa diakses ๐Ÿ˜€
    Apalagi thema saya kan pertamax, wkwkwkww…. ๐Ÿ˜†
    Makasih mas, langsung mau saya coba nih ๐Ÿ˜€

    Balas Yoo

    Zippy |

    Udah saya coba mas dan sukses ๐Ÿ˜€
    Eh..tapi udah bener gak ya kayak gitu? ๐Ÿ˜€
    Mohon di cek, xixixi… ๐Ÿ˜€

    Balas Yoo

    JhezeR |

    jejak uploads udah ilang mas ๐Ÿ™‚

    Balas Yoo

  12. Jual Breket Box | 57 Komentar + ♥♥♥
    November 10th, 2011 @ 13:57

    wah….apa mungking dulu blog saya diserang dari celah tersebut?

    lalu masih amankan WordPress???

    Balas Yoo

    JhezeR |

    kalo masuk dari situ kayaknya gak mas, palingan cuma bisa donlot theme/plugin yg kita upload.
    wp masih aman dong ๐Ÿ˜€

    Balas Yoo

  13. Survey dibayar | 2 Komentar +
    November 10th, 2011 @ 18:30

    wah gila…padahal saya uda 2 bulan ini aktif di WordPress, ternyata baru tahu celah ini. Thanks ya mas…

    Balas Yoo

  14. FajaR | 2 Komentar +
    December 3rd, 2011 @ 05:07

    Wah perlu di coba nih mas, cek cek cek yoookkk maklum mas saya benar-benar 0% dalam bidang security….

    Balas Yoo

  15. Balita | 6 Komentar +
    December 6th, 2011 @ 14:42

    yapzz saya setuju pakai software ftp. . ๐Ÿ™‚

    Balas Yoo

  16. Aditya Eka Prawira | 1 Komentar +
    December 7th, 2011 @ 23:03

    segera dicoba. Trimakasih, mas, infonya.

    Balas Yoo

  17. djawa | 13 Komentar +
    December 24th, 2011 @ 16:26

    punyaku masih telanjang gan., mo nyoba tapi males utak-atiknya neh hehe.,

    Balas Yoo

  18. herry | 1 Komentar +
    February 18th, 2012 @ 19:07

    jang lupa index.php
    utk mengurangi pesan error

    Balas Yoo

  19. December 12th, 2012 @ 09:28

    […] saat yang lalu saya membaca sebuah postingan di blognya JhezeR dengan judul Celah Folder Uploads WordPress. Cukup menarik artikelnyaโ€ฆ Saya mengucapkan terima kasih atas infonya mas JhezeR. Trus saya […]

  20. August 21st, 2013 @ 08:19

    […] saat yang lalu saya membaca sebuah postingan di blognya JhezeR dengan judul Celah Folder Uploads WordPress. Cukup menarik artikelnyaโ€ฆ Saya mengucapkan terima kasih atas infonya mas JhezeR. Trus saya […]

  21. Info Bagus | 4 Komentar +
    January 20th, 2014 @ 14:53

    lanjutkan bro

    Balas Yoo

Halo, Silahkan Tinggalkan Jejak Komentarnya Yoo...