Sedikit pekerjaan dapat menghemat banyak waktu. Aku tidak mampu menemukan jalan keluar lain, tapi itu adalah nasihat terbaik bagi para blogger – sedikit pekerjaan pada sebuah mutakhirkan sekarang menghemat banyak pekerjaan untuk memperbaiki sesuatu nanti.

Saat ini, ada cacing yang beredar di WordPress tua dan tidak tertutup. Cacing khusus ini tidak seperti sebelumnya. Dia pintar: ia mendaftarkan diri sebagai pengguna, menggunakan kelemahan keamanan (yang diperbaikin awal tahun ini) yang memungkinkan kode evaluasi akan dieksekusi melalui struktur permalink, membuat dirinya sendiri sebagai admin, kemudian menggunakan JavaScript untuk menyembunyikan sendiri ketika Anda melihat halaman pengguna, upaya untuk membersihkan diri setelah itu, kemudian berjalan tenang sehingga Anda tidak pernah melihat saat ia menyisipkan spam dan malware tersembunyi ke posting lama Anda.

Taktiknya baru, tetapi strategi tidak. Dimana cacing khusus ini kacau dalam “membersihkan” jejak: ia tidak menyembunyikan diri dengan baik dan blogger memberitahukan bahwa semua linknya yang rusak, yang menyebabkan dia menggali lebih dalam dan melihat tingkat kerusakan. Bila cacing tua melakukan tindakan kekanak-kanakan seperti mengganti wajah situs anda, cacing baru ini memilih diam dan tak terlihat, sehingga Anda hanya melihat mereka ketika mereka mengacaukan (seperti yang ini) atau situs anda akan dihapus dari Google karena telah nyepam dan ada malware di sana.

Saya mengatakan ini bukan untuk menakut-nakuti Anda, tetapi untuk menggarisbawahi bahwa ini adalah sesuatu yang telah terjadi sebelumnya, dan itu akan lebih dari mungkin terjadi lagi.

Sekali kerja menghemat sembilan. Upgrade adalah pekerjaan yang berkualitas, dan satu lagi bahwa masyarakat WordPress kerja kerasnya telah mencoba untuk membuatnya semudah mungkin dengan satu klik upgrade. Memperbaiki blog yang dihack, sangatlah sulit. Upgrade adalah mengambil vitamin; memperbaiki hack seperti operasi jantung terbuka. (Hal ini berlaku untuk biaya, juga.)

2.8.4, versi terakhir dari WordPress, yang kebal terhadap cacing ini. (Juga rilis sebelum ini.) ( So was the release before this one. ) Jika anda sudah berpikir tentang upgrade tapi belum sempat melakukannya, sekarang akan menjadi waktu yang benar-benar baik. If you’ve already upgraded your blogs, maybe check out the blogs of your friends or that you read and see if they need any help. Jika Anda telah mengupgrade blog Anda, mungkin melihat blog teman-teman anda, membaca dan melihat apakah mereka butuh bantuan. Sekali kerja menghemat sembilan.

Whenever a worm makes the rounds, everyone becomes a security expert and peddles one of three types of advice: snake oil, Club solutions, or real solutions.

Setiap kali cacing membuat ulah, semua orang menjadi ahli keamanan dan memberi salah satu dari tiga jenis saran ini: Menjadi belut, Klub solusi, atau solusi nyata. Menjadi belut adalah yang terlihat dapat digunakan langsung karena mudah. Sembunyikan versi WordPress, kata mereka, dan Anda akan baik-baik. Aduh, pembuat cacing pasti memikirkan hal itu. Dimana versi 1.0 mungkin hanya memeriksa nomor versi. 2.0 hanya memerikan kemampuan. Nomor versi lewat deh.

Tipe kedua adalah Klub solusi; untuk mengilustrasikan, saya akan mengutip dari Tulisan bagus Mark Pilgrim’s tentang spam 7 tahun yang lalu, sebelum WordPress bahkan ada:

Hal yang sangat menarik tentang pendekatan-pendekatan ini, dari perspektif teori permainan, adalah bahwa mereka semua klub solusi, bukan solusi Lojack. Ada dua pendekatan dasar untuk melindungi mobil anda dari pencurian: The Club (tameng atau mobil alarm, atau yang serupa), dan Lojack. The Club tidak banyak memberi perlindungan terhadap pencuri yang bertekad untuk mencuri mobil Anda (dengan cara yang cukup mudah untuk bor kunci, atau hanya memotong kemudi dan mematikan The Club). Tetapi perlindungan ini efektif terhadap seorang pencuri yang ingin mencuri sebuah mobil (tidak perlu mobil Anda), karena biasanya pencuri terburu-buru dan akan pergi untuk sasaran yang paling mudah, buah menggantung rendah. The Club dapat bekerja asalkan tidak semua orang mempunyai itu, karena jika semua orang memilikinya, pencuri akan memiliki waktu yang sama sulit mencuri setiap mobil, pilihan mereka akan didasarkan pada faktor-faktor lain, dan mobil Anda kembali menjadi rentan seperti orang lain. The Club tidak mencegah pencurian, ia hanya mengalihkannya.

Solusi keamanan Klub blog dapat sederhana (seperti file .htaccess) atau yang sangat kompleks (seperti dua-faktor otentikasi), dan mereka dapat bekerja, terutama untuk eksploitasi yang dikenal. Solusi klub dapat bermanfaat, seperti menggunakan kata kunci yang kompleks dan kuat untuk login Anda – tidak ada seorang pun akan merekomendasikan melawan itu. (Klub lain solusinya adalah beralih ke perangkat lunak yang jarang digunakan dengan asumsi atau lebih seperti klaim bahwa perangkat lunak itu sempurna dan lebih aman. Ini sebabnya BeOS lebih aman daripada Linux, ehem.)

Dalam dunia mobil, jika seseorang menemukan cara untuk teleport seluruh mobil sehingga tak butuh toko, The Club tidak akan begitu berguna lagi. Beruntung bagi produsen dari The Club, hal ini belum terjadi. Di dunia online dan perangkat lunak, meskipun setara terjadi hampir setiap hari. Hanya ada satu solusi nyata. Satu-satunya hal yang dapat saya janjikan menjaga blog Anda aman hari ini dan di masa depan adalah upgrade.

WordPress adalah komunitas ratusan orang yang membaca kode setiap hari, mengauditnya, memperbarui, dan cukup peduli menjaga blog anda aman dengan melakukan hal-hal seperti rilis update mingguan terpisah satu sama lain walaupun itu membuat kita terlihat buruk, tapi memperbarui akan menjaga blog anda aman dari orang jahat. Aku bukan peramal dan saya tidak dapat memprediksi skema apa yang spammer, hacker, cracker, dan penipu akan munculkan di masa depan untuk menyakiti blog Anda, tapi aku tahu pasti bahwa selama WordPress ada, orang-orang di sekitar kita akan melakukan segala sesuatu dengan segala kekuatan kita untuk memastikan perangkat lunak ini aman.

Kami sudah upgrade inti dan plugin satu-klik prosedur. Jika kita menemukan sesuatu yang rusak, kita akan merilis perbaikannya. Tolong upgrade, ini satu-satunya cara kita bisa saling membantu.

Artikel Asli : http://wordpress.org/development/2009/09/keep-wordpress-secure/