Root » Info » Masih Amankah WordPress ?

Masih Amankah WordPress ?

Sekedar info tentang WordPress. Sudah tahukan info tentang Direktori WordPress yang disusupi dan 3 plugin terkenal yaitu AddThis, WPtouch, dan W3 Total Cache yang didalamnya berhasil ditanam backdoor. Info bisa dilihat di sini.

Kenapa ketiga plugin tersebut dijadikan target ? Yah, karena AddThis telah diunduh 445.000 kali, W3 Total Cache lebih dari 520. 000 download, dan WPTouch 2 juta lebih. Suatu angka yang bila dijumlahkan mendekati 3 juta pengguna WordPress yang bisa dijadikan target oleh Cracker.

Bagi yang menggunakan ketiga plugin tersebut, sebaiknya segera di update (update terakhir 20/21 juni 2011) atau bila sedikit paranoid bisa juga reset ulang password CPanel dan login WP nya.

Akhir² ini memang banyak yang saya baca, Blog berbasis WP yang jadi target serangan. WP kan CMS paling populer jadi sudah biasa jadi bahan percobaan.

Oia sebagai tambahan,  ini ada beberapa plugin lagi yang rawan dan bisa jadi musuh dalam selimut, saya kutip dari situs http://www.exploit-db.com . Silahkan di cek lagi daftar installan plugin di blognya.

  • Is-human 1.4.2 WordPress Plugin
  • EditorMonkey WordPress plugin
  • WordPress SermonBrowser Plugin
  • Ajax Category Dropdown WordPress Plugin
  • WordPress plugin BackWPup
  • GRAND Flash Album Gallery 0.55 WordPress Plugin
  • WordPress cache
  • PHP Speedy 0.5.2 WordPress Plugin
  • OPS Old Post Spinner 2.2.1 WordPress Plugin
  • jQuery Mega Menu 1.0 WordPress Plugin
  • High-Tech Bridge .
  • WP Forum Server 1.6.5 WordPress Plugin
  • Relevanssi 2.7.2 WordPress Plugin

Tambahan lagi, pengguna plugin WPtouch 1.9.27 silahkan dicoba url dibawah apabila diredirect ke attacker-site.com maka terdapat celah. (ganti site.com dengan domain blog)

http://site.com/?wptouch_view=normal&wptouch_redirect=.attacker-site.com

Masih amankah WordPress ? itu semua tergantung penggunanya.

=======/* update 1 Juli 2011*/======

Bagi yang masih menggunakan WordPress 3.1.3 kebawah harap segera Upgrade ke WordPress 3.1.4 karena WP 3.1.3 terdapat kelemahan sehingga memungkinkan terjadinya SQL Injection.

via : http://www.exploit-db.com/exploits/17465

 

[Keep Share]

Twitter

JhezeR

Engineer | Blogger | Pencari Ilmu | Internet Maniak | Pemburu Kesuk$e$an | Penikmat Musik, Film & Pertandingan | Interisti | Muser

telah mempunyai 236 Tulisan di JhezeR.com

Info » WordPress » » » »
Masih Amankah WordPress ? Reviewed by JhezeR on . Sebuah Tulisan tentang Masih Amankah WordPress ? @JhezeR.com

Sekedar info tentang WordPress. Sudah tahukan info tentang Direktori WordPress yang disusupi dan 3 plugin terkenal yaitu AddThis, WPtouch, dan W3 Total Cache yang didalamnya berhasil ditanam backdoor. Info bisa dilihat di sini. Kenapa ketiga plugin tersebut dijadikan target ? Yah, karena AddThis telah diunduh 445.000 kali, W3 Total Cache lebih dari 520. 000 download,

Rating: 5

66 Komentar "Masih Amankah WordPress ?"


  1. Rudy Azhar | 10 Komentar +
    June 22nd, 2011 @ 12:47

    Ini tulisan terbaru kok tidak tampak pada halaman depan Mas? atau mungkin saya yang salah?

    Balas Yoo

    JhezeR |

    kan baru diposting beberapa menit yg lewat mas

    Balas Yoo

  2. Rudy Azhar | 10 Komentar +
    June 22nd, 2011 @ 12:49

    test cooment, apa ada yang salah ya?

    Balas Yoo

    tomi |

    lancar tuh mas rudy

    Balas Yoo

    JhezeR |

    msh lancar mas, kalo mmg bermasalah ntar saya disable lg ajax commentnya

    Balas Yoo

  3. tomi | 103 Komentar + ♥♥♥
    June 22nd, 2011 @ 12:54

    wahh untungnya gak pake ketiga plugin itu 😀
    dan tidak memakai jg plugin yg ada di daftar hitam…

    sebenarnya wp masih aman mas.. makanya sering diupdate.. tp kadang yg membuat tidak aman itu ya pemilik blognya sendiri karena sering pake plugin/themes yg nulled/warez

    Balas Yoo

    JhezeR |

    wp nya msh cukup aman mas, server wp.org aja bisa ditembus dan disisipi backdoor di plugin resmi wp.
    kalo yg nulled² test di localhost aja hehe…

    Balas Yoo

  4. iskandaria | 16 Komentar +
    June 22nd, 2011 @ 13:18

    Untung saya gak pakai plugin2 yg disebutin dalam daftar itu. Masalah aman atau tidak, saya masih menemukan banyak sekali bug/celah di direktori WP jika dieksploitasi via URL.

    Balas Yoo

    JhezeR |

    kalo dari url mmg cukup banyak mas, susah juga nambalnya satu². perkuat/rutin ganti password aja dan rajin upgrade.

    Balas Yoo

  5. giewahyudi | 3 Komentar +
    June 22nd, 2011 @ 14:15

    Selama ini aman-aman saja kok..
    Saya pakai WPTouch..

    Balas Yoo

    JhezeR |

    msh beruntung mas, blum dijadikan target penyusup. apa sudah diupdate ke versi terbaru wptouchnya?

    coba test blognya : http://site.com/?wptouch_view=normal&wptouch_redirect=.attacker-site.com

    Balas Yoo

  6. Hendro Prayitno | 5 Komentar +
    June 22nd, 2011 @ 17:18

    Saya ga pernah pake plugin..cuma disqus doang,,niatnya malah disqus mau pakai universal code aja.

    Balas Yoo

    JhezeR |

    Mantap mas hendro nih gak pake plugin, jd bisa meminimalisir resiko

    Balas Yoo

  7. Alwi | 54 Komentar + ♥♥♥
    June 22nd, 2011 @ 18:58

    Saya termasuk pengguna W3 total cache, dan langsung saya update begitu ada notifikasi di dashboard, kalau para pengguna W3 total cache sekelas mattcutts.com, mashable.com, smashingmagazine.com, makeuseof.com, yoast.com, kiss925.com, pembuat plugin ini pasti akan cepat URC-nya (unit rekasi cepat) dalam menangani bug2 yg ada ….

    Balas Yoo

    JhezeR |

    Pluginnya gak ada masalah tp kalo pluginnya dijadikan inang, bermasalah jg jdinya.
    ngeri jg sbenarnya liat wp.com di ddos bln april kemarin dan skrg direktori WordPress.org

    Balas Yoo

  8. Alwi | 54 Komentar + ♥♥♥
    June 22nd, 2011 @ 19:01

    Tidak ada system keamanan yg benar2 bisa menjamin 100% aman, apalagi untuk jangka panjang. “Di atas langit masih ada langit”, sehebat apapun sebuah system security maka akan ada saja cara lain untuk bisa mengalahkan atau menembus system keamanan tsb.

    Balas Yoo

    Alwi |

    Saya jadi teringat menjelang akan dirilisnya Win 7, Microsoft mengadakan test untuk menjebol system keamanan Windows 7 oleh para cracker. Hanya butuh waktu 6 menit para cracker itu sudah berhasil menjebol system kemanan windows 7, setelah dipatch dibutuhkan waktu kira-kira 1 jam.

    Balas Yoo

    ibnu ismadi |

    baru tau ane klo seven pernah dihack..wah ganas juga hanya butuh 6 menit untuk menghack na..kapan ya kita spt tu ?

    Balas Yoo

  9. Alwi | 54 Komentar + ♥♥♥
    June 22nd, 2011 @ 19:07

    Jadi kesimpulannya, walau wp rentan (mungkin itu salah satu kekurangannya) untuk saat ini saya masih tetep cinta dan setia pakai wp karena kelebihannya lebih banyak, dan kita sebagai admin dituntuk kreatif dalam mengamankan wp kita, itulah kalau open source penggunanya dituntut untuk kreatif setelah itu yaaa banyak2 berdoa supaya gak ada yg jahil haaaaa ….3x

    Balas Yoo

    JhezeR |

    Bener banget mas, wp tetap di hati (wp maniac), cms wp akan semakin powerfull bila kita sbg penggunanya bisa memaksimalkannya dg baik.
    Plus doa dan keberuntungan 😀

    semakin bnyk yg jailin wp, moga wp semakin kuat.

    Balas Yoo

  10. afiv | 1 Komentar +
    June 22nd, 2011 @ 20:43

    sepertinya harus anstisifasi nih! pake apa ya?

    Balas Yoo

    JhezeR |

    selalu update aja mas, dan praktekan tips keamanan wp lainnya yg bertebaran di blog

    Balas Yoo

  11. isaninside | 3 Komentar +
    June 23rd, 2011 @ 11:08

    Wah, mantep infonya, beruntung saya tidak menggunakan satupun dari yang terdaftar di atas.. Thx..

    Balas Yoo

    JhezeR |

    sekedar mengingatkan saja kok 🙂

    Balas Yoo

  12. Satrya | 13 Komentar +
    June 23rd, 2011 @ 12:02

    Saya baru aja baca di oke zone, iya memang ada celah nih, doh padahal pecinta berat wp touch 🙁

    Balas Yoo

    JhezeR |

    haha… 1 dari sekian juta pecinta wp touch yoo mas, tinggal update ke yg terbaru, tpi yg saya lihat msh bisa diredirect kok

    Balas Yoo

  13. Semua Ada | 2 Komentar +
    June 23rd, 2011 @ 20:57

    kalau tools buat ngamanin wp apa aja mas ? ,
    boleh tukeran link mas ? link sudah saya pasang mas, coba cek disini mas Semua Ada , terima kasih mas 🙂

    Balas Yoo

    JhezeR |

    okay, ntar saya masukin linknya yoo

    Balas Yoo

  14. Kaget | 4 Komentar +
    June 23rd, 2011 @ 22:47

    Yang namanya aplikasi tetap ada celah sepanjang masih bisa menggunakan plugin. Semua bergantung setting, atau kalau tak percaya ngga usah dipasang. Kira2 begitu ya? 😀

    Balas Yoo

    JhezeR |

    yups, anything no secure 100%

    Balas Yoo

  15. sucipto | 1 Komentar +
    June 25th, 2011 @ 19:50

    ga nyangka kalo wp bisa kena crack..

    Balas Yoo

    JhezeR |

    namanya jg internet mas, gak ada yg aman.
    situs FBI aja bisa di hack

    Balas Yoo

  16. Guusn | 14 Komentar +
    June 27th, 2011 @ 14:54

    alhamdulillah mas saya masih aman aja. tapi sempat kemarin ada insiden, blog saya tiba2 kategorinya hilang. karena ada yang menghapus. tapi untung bisa di atasi.

    Balas Yoo

    JhezeR |

    wew..kok bisa gitu mas, emg ada login selain mas?

    Balas Yoo

    Guusn |

    menurut teman saya yang punya hosting, ada yg hapus mas. tdk tahu siapa.

    Balas Yoo

  17. Adi Wibowo | 10 Komentar +
    June 27th, 2011 @ 19:12

    Saya pengguna W3 Total Cache mas, tapi alhamdulillah masih aman. Karena kemarin langsung saya update, padahal belum tahu ada kabar kalau ada backdoornya 🙂

    Balas Yoo

    JhezeR |

    syukur deh mas, tpi untung pihak wp dan developer w3 cache cepat tanggap juga

    Balas Yoo

    Satria Yudha |

    komen saya kok ga muncul ya :pusing:

    Balas Yoo

  18. Satria Yudha | 17 Komentar +
    June 28th, 2011 @ 18:36

    wahh.. untung tidak ada satupun plugin dr list diatas yg saya gunakan.. Tp kalau mau berhenti pake WordPress rasanya kok mustahil yoo 😀

    Balas Yoo

  19. Sriyono Semarang | 3 Komentar +
    June 28th, 2011 @ 20:37

    nggak pake plugin satupun dari yang disebutin di atas, ngikut Mas Alwi saja diatas langit masih ada langit, berdoa supaya nggak ada yang iseng saja sama dikasih password yang panjanggggg plus agak alay saja… 🙂

    Balas Yoo

  20. Pena Aksi | 3 Komentar +
    June 29th, 2011 @ 05:14

    wah klo saya g pake WP..tapi senang telah berbagi informasi

    Balas Yoo

  21. dHaNy | 29 Komentar + ♥♥
    July 1st, 2011 @ 21:05

    Wah saya belum pakai nih mas… masih aman kalau gitu…

    Balas Yoo

  22. Gugun | 3 Komentar +
    July 2nd, 2011 @ 20:03

    saya belum pakai plugin-plugin tersebut tapi saya pernah kena hack

    Balas Yoo

  23. fanz | 47 Komentar + ♥♥
    July 5th, 2011 @ 13:02

    kebetulan saya ga pake 3 plugin di atas.. namun kemaren sempet kena deface.. sekarang ganti pass deh 🙁

    Balas Yoo

  24. phiy | 10 Komentar +
    July 5th, 2011 @ 13:51

    wkt upgrade 3.1.3 malah error. ga berani upgrade deh. gimana downg solusinya?
    BTW, kok URL ku dibilang terlalu panjang sih?

    Balas Yoo

    JhezeR |

    mgkn sebaiknya kalo mw upgrade semua plugin di matikan dulu phiy..
    hehe… kena limit url blognya ya, lebih dari 15 karakter berarti, ntar saya edit lagi jadi max. 25 karakter biar bisa masuk url nya 🙂

    Balas Yoo

  25. Vatih | 1 Komentar +
    July 5th, 2011 @ 17:30

    Terimakasih untuk artikelnya, akhir-akhir ini saya jarang update berita dari WordPress, jadi terkadang ketinggalan info yang seperti ini.

    Balas Yoo

  26. aming | 57 Komentar + ♥♥♥
    July 6th, 2011 @ 16:32

    sekarang malah ada notifikasi upgrade ke 3.2
    yuk kita upgrade…

    Balas Yoo

    deanvaldis |

    mudah2an ada upgrade plugin reguler so fungsi2 backdoor macam mas sebut tadi ga berfungsi lg

    Balas Yoo

    JhezeR |

    yap, mudah²an para developer plugin tsb selalu mengupdate plugin yg mereka bikin mas 🙂

    Balas Yoo

  27. farizalfa | 13 Komentar +
    July 8th, 2011 @ 22:07

    alhamdulillah. . .
    Blog saya belum pernah kena brondol tu mas. . .

    Balas Yoo

  28. bro eser | 26 Komentar + ♥♥
    July 10th, 2011 @ 20:28

    Ngga ada yang 100% aman didunia maya (pernyataan s’to)… jadi ketika saya memutuskan untuk menekuni sesuatu lewat internet termasuk ngeblog maka saya sudah tahu konsekuensinya… Kita hanya bisa meminimalisir…. 🙂 Yan penting enjoy blogging

    Balas Yoo

  29. aprillins | 1 Komentar +
    July 16th, 2011 @ 23:32

    sial bangetlah pokoknya.. blog2 ane udah kena beberapa kali inject file 3 hari berturut2 ini..

    Balas Yoo

  30. aeL | 4 Komentar +
    July 19th, 2011 @ 06:00

    makin ngeri…udah alogritma panda tambah lagi penyusup2..
    hadu…kpn kayanya jd blogger kl gini…hihi

    salam kenal mas jhezer..
    btw keren blognya

    Balas Yoo

  31. Ahmed | 4 Komentar +
    July 28th, 2011 @ 05:57

    Wow, syukur plugin yg saya pakai gak termasuk dari list di atas! 😀

    Balas Yoo

  32. andre | 32 Komentar + ♥♥
    July 28th, 2011 @ 09:19

    saya ga ada sih mas, tapi di blog satunya pake addthis, cek dulu ah… oya, blog drupal nya lum bisa dicoment

    Balas Yoo

  33. Agus Anantha | 1 Komentar +
    July 29th, 2011 @ 07:57

    terima kasih mas atas infonya kalo saya biasanya memakai plugin yang saya dapat dari Free WordPress Plugins semunya bagus² dan aman bagi saya…salam kenal

    Balas Yoo

  34. Aryo Seno | 9 Komentar +
    August 2nd, 2011 @ 18:26

    WP emang rawan sih, tapi biasanya cepet juga ditangani karena penggunanya banyak

    Balas Yoo

  35. Zippy | 11 Komentar +
    August 2nd, 2011 @ 20:35

    Haduh..syukur saya gak pake ketiga plugins tersebut 😀
    Kapok mas di hack, kayak orang kebakaran jenggot waktu itu 😆

    Balas Yoo

  36. Ade Malsasa Akbar | 12 Komentar +
    August 21st, 2011 @ 11:08

    Mas, blogku seang mengalami masalah. Saya tidak tahu ini masalah dengtan servernya atau WordPressnya. Begini.

    Saya kemarin upgrade WordPress dari 3.0 ke 3.2.1. Nah, setelah upgrade, blog saya muncul seperti biasa. Begitu saya mau login (/wp-admin/), ada pesan demikian:

    Fatal error: Allowed memory size of 262144 bytes exhausted (tried to allocate 122880 bytes) in /home/vhosts/nama.domain/wp-admin/includes/dashboard.php on line 90

    Saya sudah membek-ap database-nya. Apa bisa diperbaiki itu, Mas? Apa di-downgrade? Mohon bantuannya. Terima kasih.

    Balas Yoo

    JhezeR |

    coba edit/tambahkan di wp-config.php
    [php]
    define(‘WP_MEMORY_LIMIT’, ‘128M’); atau
    define(‘WP_MEMORY_LIMIT’, ‘256M’);
    [/php]

    atau bikin file php.ini di dlm folder wp-admin, lalu tambahkan

    memory_limit = 256M ;

    semoga membantu, atau kalo tidak hubungi pihak hosting utk menambah memory

    Balas Yoo

    Ade Malsasa Akbar |

    Dua baris pertama itu ditulis di berkas apa, Mas?

    Balas Yoo

    Ade Malsasa Akbar |

    Eeeh, maaf. Saya keliru baca. Terima kasih, Mas!

    Saya jajal ke 256, tetap sama errornya, mas. Saya coba dulu hubungi hosting saya.

    Balas Yoo

    Ade Malsasa Akbar |

    Kelihatannya memang saya harus pindah rumah, Mas. Terima kasih. Saya berencana memindahkannya ke hosting lain. Lumayan. Gratisan 10 GB 🙂

    Balas Yoo

  37. senangnya punyawp | 1 Komentar +
    April 29th, 2012 @ 12:34

    saya kepingin sekali punya WP sudah donload ngak bisa extrak kasih tau aku yah sms ke 083 872 999 165

    Balas Yoo

  38. LIMA DETIK | 1 Komentar +
    July 25th, 2012 @ 09:44

    terimakasih info nya mas boss

    Balas Yoo

Halo, Silahkan Tinggalkan Jejak Komentarnya Yoo...