Category Archives: Keamanan

Lubang Keamanan Plugin-plugin WordPress

Berikut ini beberapa plugin WordPress yang teridentifikasi mengandung lubang keamanan yang dapat dimanfaatkan orang lain untuk menyusupkan file ke blog kita:
Metode XSS

  • WordPress DX-Contribute Plugin 1.1.0 – XSS
  • Post-views plugin 2.6.1. – XSS
  • WP e-Commerce 1.1.1 – XSS
  • WordPress WooCommerce Predictive Search Plugin 1.0.6. – XSS
  • Video Lead Form 0.5 – XSS
  • Pretty Link Lite Plugin 1.6.0 – XSS
  • WP125 plugin 1.4.5. XSS
  • Ultimate TinyMCE plugin 3.6. – XSS
  • Wysija Newsletters Plugin 2.1.7. – XSS
  • WordPress Carousel Slideshow 3.10 – XSS
  • BuddyStream plugin 2.6.2 – XSS
  • NextGEN Gallery 1.9.7 – XSS
  • Amazon Associate plugin 2.0 – XSS

SQL Injection

  • Hitasoft FLV Player Plugin 1.1 SQL Injection
  • AJAX Post Search Plugin 1.1 – SQL Injection

Lainnya

  • Advanced Custom Fields Plugin 3.5.2. – Arbitrary file inclusion
  • vTiger CRM Lead Capture 1.1.0. – unspecified errors
  • WP-Filebase Plugin 0.2.9.24. – unspecified errors

Dicari dengan kata kunci:

WordPress DX-Contribute Plugin 1 1 0 – XSS,tombol install themes tidak ada pada wordpress,cara mengetahui adanya lubang keamanan,cara mengatasi lubang keamanan,10 plugin keamanan wordpress,cara edit index wp,cara membuat tulisan di halaman awal wordpress hanya setengah,cara deface wordpress twenty,cara hacking AJAX Post Search Plugin 1 1,cara hack wordpress untuk pemasangan script

Hati-hati dengan Script Bajakan

Beberapa hari terakhir ini saya dan tim server cbwebspace disibukkan oleh ulah para cracker yang menyerang blog-blog berbasis WordPress. Apakah ini berarti WordPress tidak aman? WordPress sendiri sangat aman karena rata2 bukan menyerang lewat situ. Tapi user WordPress yang merusak keamanan blognya sendiri. Salah satunya adalah penggunaan theme dan plugin bajakan. Selain itu kemalasan untuk melakukan upgrade theme atau plugin atau bahkan WordPress-nya sendiri juga turut andil dalam memberikan jalan bagi para cracker untuk mengobok-obok isi blog.

Blog ini sendiri tak luput dari serangan juga meski alhamdulillah sejauh ini belum berhasil menembus system pertahanan kami. Maka untuk berjaga-jaga berikut ini beberapa tips keamanan WordPress yang sebaiknya selalu menjadi check list kita dalam memelihara blog: Continue reading

Dicari dengan kata kunci:

mmaksimalkan template proudly wordpress,menggunakan template bajakan,ada notifikasi plugin firewall,themes bajakan,script bajakan,masalah pembelian tema worpress ilegal,download script php untuk hack akun facebook dengan cpanel,script phising kartu kredit,amankah menggunakan ddos,wordpress theme bajakan

Lubang Keamanan WordPress 3.3.1

Telah ditemukan sebuah lubang keamanan pada fasilitas instalasi WordPress. Memang sih kemungkinan cracker memanfaatkan lubang keamanan ini sangat kecil, tapi bukan tidak mungkin hal tersebut dilakukan. Jadi, untuk jaga-jaga tidak ada salahnya kita melakukan tindakan kecil yang cukup berarti.

Hingga ada rilis resmi dari WordPress (kemungkinan tidak ada karena menurut team WP sendiri kemungkinan pemanfaatan lubang itu kecil sekali), kita bisa melakukan tindakan sederhana untuk mencegahnya:

Hapus file install.php dan setup-config.php sesaat setelah anda berhasil menginstall WordPress. Kedua file ini yang dimanfaatkan cracker untuk menembus jantung pertahanan WordPress. File-file itu ada di dalam folder wp-admin. Kalau takut ya rename aja dengan nama yang unik.

Meski begitu, lubang keamanan ini hanya berfungsi kalau script WordPress-nya belum diinstall alias belum ada wp-config.php Kalau sudah terinstall maka akan ada error yang meminta pengguna menghapus isi database dahulu sebelum melakukan instalasi ulang.

Nah, itu aja deh untuk sementara. Mudah-mudahan bisa membuat wordpress anda lebih aman

Dicari dengan kata kunci:

wordpress 3 3 1,hack wordpress 3 3 1,cara install wordpress 3 3 1,4 lubang keamanan,sql injection wordpress 3 3 1,wordpress keamanan,template wordpress 3 3 1 free,hacking wordpress 3 3 1,hack wordpress 3 1,apakah plugin better wp security berbahaya

WordPress Jetpack plugin SQL Injection Vulnerability

Plugin Jetpack ini telah menjadi primadona para blogger WordPress. Kemampuannya untuk membuat blog instalan biasa menjadi seperti WordPress.com membuatnya banyak dipakai oleh para blogger. Nah, kemarin, telah ditemukan lubang keamanan di plugin ini yang memungkinkan peretas untuk melakukan SQL Injection.

Untuk itu, silahkan pasang pengaman sementara menunggu update-nya muncul. Saya sarankan menggunakan WP Firewall 2 yang cukup efektif menangkal SQL Injection.

Memang tidak mudah memanfaatkan lubang keamanan ini, tapi berjaga-jaga juga tidak ada salahnya kan?

Dicari dengan kata kunci:

wordpress jetpack plugin sql injection vulnerability,sql injection wordpress web,makalah sql,cara pemasangan injection plug,wordpress jetpack plugin sql injection vulnerability tutorial,inject sql wordpress,TEKNIK PEMASANGAN INJECTION PLUG,cara menghapus injek sql pada wordpress,ciri ciri sebuah web terkena sql injection,pasang langsung game jetpack

WP E-Commerce 3.8.6 SQL Injection Vulnerability

Telah ditemukan lubang keamanan yang memungkinkan perentas melakukan SQL Injection pada WordPress yang diinstall WP E-commerce 3.8.6. Lubang keamanannnya ada di file wp-shopping-cart.php, wpsc-functions.php, chronopay.php

Saya belum sempat cek dalamnya, tapi sebagai tindakan keamanan saat ini sebaiknya pada plugin WP Firewall 2 saja karena plugin ini cukup ampuh mencegah SQL Injection. Mudah-mudahan bisa segera diperbaiki. Jika update-nya rilis, segera lakukan upgrade ya

Dicari dengan kata kunci:

sql injection wordpress,wp ecommerce,panduan e-commerce wordpress,wp-ecommerce,kenapa wp-ecomerce 3 8 tidak bisa diaktifkan,wp e-commerce,wp-ecommerce tutorial,membuat keamanan sql injection,buku wordpress ecommerce,pencegahan sql injection pada atribut

Menangkal Brute Force dengan Limit Login

Awalnya saya pikir Firewall sudah memiliki fitur untuk mencegah Brute Force. Tapi ternyata tidak punya hehehe.. Maka, selain menggunakan WP Firewall yang sudah kita bahas sebelumnya, maka ada 1 plugin keamanan lagi yang perlu ditambahkan yaitu Limit Login Attempt.

Oke, pertama saya jelaskan dulu apa itu Brute Force. Brute Force adalah metode penyerangan ke dalam suatu system dengan menggunakan semua kombinasi password yang memungkinkan. Pertama, seorang hacker akan mencoba mengetahui username admin dari target. Dan ini sangat mudah sekali karena WordPress punya banyak celah untuk menampilkan username admin-nya. Continue reading

Dicari dengan kata kunci:

brute force adalah,brute force,mencegah brute force,cara mencegah brute force,cara menggunakan brute force,apa itu brute force,cara membatasi login jika terjadi kesalahan dengan php,brute adalah,apa yang dimaksud dengan brute force,Cara mengaktifkan plugin limit login attempts

SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini: Continue reading

Dicari dengan kata kunci:

sql injection,sql injection pada wordpress,cara sql injection wodpress,menutup sql injection,materi tentang sql injection,makalah tentang sql dan php,makalah tentang sql,cara sql injection wordpress,cara menutup/mengantisipasi celahnya,cara mengatasi html injection pada php

XSS Vulnerability pada WordPress 3.2.1

Jika anda menggunakan WordPress dengan beberapa user atau membuka fasilitas registrasi user, maka mohon perhatikan artikel ini. Ada lubang keamanan di WordPress versi 3.2.1 yang memungkinkan pengguna menyisipkan kode XSS ke blog kita. Paling sederhana dia bisa memunculkan sebuah alert di halaman depan, halaman artikel dan halaman category atau archive dimana artikelnya muncul.

Modusnya cukup simple, di awal dia menulis artikel seperti biasa. Setelah anda approve dan artikelnya muncul, maka dia bisa edit artikel itu dan menyisipkan kode javascript. Kodenya bisa macam-macam dong, yang paham soal javascript pasti paham deh hehehe..

Untuk mengatasinya, maka sementara anda edit file post-template.php yang ada di folder wp-include. Ada 3 tempat yang harus dirubah Continue reading

Dicari dengan kata kunci:

wordpress vulnerability,wordpress 3 2 1 exploit,vulnerability,bug wordpress 3 2 1,exploit wordpress 3 2 1,xss wordpress,vulnerability wordpress,exploit wordpress,XSS Vulnerability,wordpress 3 2 1 vulnerability

WP Comment Autoresponder error_log

Salah satu plugin yang saya pakai di blog ini adalah WP Comment Autoresponder. Tapi belakangan plugin tersebut bermasalah di perintah query-nya sehingga menciptakan error_log yang besar banget. Awalnya saya tidak tahu kalau masalahnya gara-gara plugin tersebut. Tapi tiap saya cek file manager kenapa error_log-nya besar banget sampai puluhan Mb.

Kemudian beberapa hari lalu saya coba search di google pesan error di error_log tersebut. Ternyata asalnya dari plugin wp comment autoresponder buatan Ahlul Faradish Resha. Sayangnya ketika saya chat dengan beliau, saat ini beliau belum fokus mengembangkan plugin tersebut. Sehingga error-nya akan tetap ada hehehe.. Continue reading

Dicari dengan kata kunci:

lutvi avandi,plugin wordpress buatan indonesia,arti parse error: syntax error unexpected t_variable in,unexpected t_variable,parse error: syntax error unexpected t_variable,arti syntax error unexpected t_variable,mengatasi unexpected t_variable,cara mengatasi syntax error unexpected T_VARIABLE,mengatasi masalah php parse error,mengatasi masalah pada php parse error: syntax error unexpected \<\

Plugin-plugin WordPress yang Berpotensi kena Hack

Pagi ini saya dapat laporan dari forumnya hacker tentang beberapa plugin WordPress yang bermasalah sehingga berpotensi kena SQL Injection. SQL Injection adalah sebuah cara menyusupkan kode tertentu ke query suatu program yang menyebabkan program tersebut beralih fungsi dari yang seharusnya. Kalau fungsi awalnya cuma membaca file, maka dengan SQL Injection kita bisa mengubah password admin hehehe… Mau tau cara SQL Injection? Belajar sendiri gan ditempat lain. Disini bukan tempat belajar hacking apalagi cracking. Continue reading

Dicari dengan kata kunci:

wordpress kena hack,hack wordpress,wordpress hack,cara hacking wordpress,bobol wordpress,wordpress di hack,link:cafebisnis com,cara hack plugins wordpress,cara bobol wordpress,cara hack wp