WordPress Jetpack plugin SQL Injection Vulnerability

Plugin Jetpack ini telah menjadi primadona para blogger WordPress. Kemampuannya untuk membuat blog instalan biasa menjadi seperti WordPress.com membuatnya banyak dipakai oleh para blogger. Nah, kemarin, telah ditemukan lubang keamanan di plugin ini yang memungkinkan peretas untuk melakukan SQL Injection.

Untuk itu, silahkan pasang pengaman sementara menunggu update-nya muncul. Saya sarankan menggunakan WP Firewall 2 yang cukup efektif menangkal SQL Injection.

Memang tidak mudah memanfaatkan lubang keamanan ini, tapi berjaga-jaga juga tidak ada salahnya kan?

 

Segera Hadir Buku Mastering WordPress 3.3

Insya Allah sebentar lagi WordPress versi 3.3 sudah rilis. Dijadwalkan akhir November nanti, kita sudah bisa menikmati versi teranyar WordPress tersebut. Sayapun mencoba untuk membuat bukunya berdasarkan versi beta yang saat ini sudah dirilis. Tak banyak perubahan besar sih dibanding versi 3.2, jadi saya rasa kalau dibuat bukunya sekarang hasilnya tidak akan jauh beda dengan versi stable-nya nanti.

Jika anda pernah membaca ebook Mastering WordPress 3.0 yang pernah saya tulis, maka isinya tidak beda jauh dari itu. Tentunya ada banyak modifikasi dan tambahan informasi terkait dengan perubahan tampilan di versi 3.3 nanti. Continue reading Segera Hadir Buku Mastering WordPress 3.3

WordPress 3.3 Beta 1

Tidak lama lagi, kita akan kedatangan versi terbaru WordPress yaitu WordPress 3.3. Sebenarnya pengumumannya sudah sejak tanggal 11 yang lalu tapi baru sempat saya posting sekarang.

Seperti biasanya, update WP menambal lubang-lubang keamanan dan sekaligus menambah fasilitas baru. Dalam versi 3.3 ini ada 3 fasilitas yang diperkenalkan yaitu:

Media uploader
Sekarang kalau mau upload media seperti gambar, ebook atau video, anda tinggal drag and drop saja ke box yang tersedia. Meski begitu anda tetap bisa menggunakan browser-nya. Media juga dijadikan satu tombol sekarang (bukan tombol sendiri2 untuk gambar, video, dll). Jadi lebih simple. Tapi sayangnya ketika saya coba, cuma muncul blank hitam doang xixixi…

Improved admin bar
Admin bar sekarang juga muncul di wp-admin. Tak hanya itu, jika anda membuka blog, admin bar-nya sekarang menyediakan semua menu yang ada di wp-admin. Sehingga jika anda sedang melihat-lihat hasil kerja lalu kepikiran sesuatu, anda bisa langsung menuju menu yang diinginkan. Bahkan fasilitas search juga dimasukkan di admin bar sehingga sangat memudahkan kita yang enggan memasang search form.

Fly out admin menus
Admin menu-nya sekarang tidak dropdown. Tapi muncul kesamping. Sehingga mengurangi ketidaktahuan user baru. Sebelumnya kan untuk menampilkan sub menu, harus klik tanda panah yang baru muncul kalau didekati mouse. Nah, sekarang begitu menu-nya didekati mouse, sub menu otomatis muncul di sebelah kanannya.

Ya udah, kita tunggu versi RC-nya aja ya

Mengubah Email Default WordPress

Secara default WordPress menggunakan email seperti ini: wordpress@domain-anda.com ketika mengirimkan email-email kepada kita seperti email ketika ada komentar yang perlu dimoderasi, email lupa password, dll. Nah, dengan sedikit trik kecil, kita bisa mengubah nama pengirim dan emailnya dengan kode ini. Seperti biasa, masukkan di file functions.php ya:

add_filter('wp_mail_from', 'new_mail_from');
add_filter('wp_mail_from_name', 'new_mail_from_name');

function new_mail_from($old) {
 return 'email@domain-anda.com';
}
function new_mail_from_name($old) {
 return 'Nama Anda';
}

Nah, silahkan ganti email@domain-anda.com dengan email yang anda kehendaki dan Nama Anda dengan nama yang anda kehendaki. Sekarang cobalah untuk forgot password dan lihat siapa yang mengirimi anda email sekarang 🙂

Non Aktif semua plugin dengan SQL

Saya tidak tahu apakah ini terjadi juga pada anda atau hanya saya saja. Tapi yang jelas, saya mengalami kesulitan untuk menonaktifkan semua plugin jika menggunakan cara lama yaitu delete file. Atau merename folder plugins dan membuat folder plugins kosongan.

Tapi kemudian saya nemu cara yang lebih efisien dan insya Allah 99% berhasil. Mudah-mudahan bisa bermanfaat. Dengan cara ini, kita tidak perlu ribet-ribet masuk file manager, nyari folde plugins, merename dan membuat yang baru. Lama banget kan? Belum lagi nanti kalau mau mengaktifkan lagi kita harus memindah file-filenya. Panjang deh ceritanya. Continue reading Non Aktif semua plugin dengan SQL

WP E-Commerce 3.8.6 SQL Injection Vulnerability

Telah ditemukan lubang keamanan yang memungkinkan perentas melakukan SQL Injection pada WordPress yang diinstall WP E-commerce 3.8.6. Lubang keamanannnya ada di file wp-shopping-cart.php, wpsc-functions.php, chronopay.php

Saya belum sempat cek dalamnya, tapi sebagai tindakan keamanan saat ini sebaiknya pada plugin WP Firewall 2 saja karena plugin ini cukup ampuh mencegah SQL Injection. Mudah-mudahan bisa segera diperbaiki. Jika update-nya rilis, segera lakukan upgrade ya

Menangkal Brute Force dengan Limit Login

Awalnya saya pikir Firewall sudah memiliki fitur untuk mencegah Brute Force. Tapi ternyata tidak punya hehehe.. Maka, selain menggunakan WP Firewall yang sudah kita bahas sebelumnya, maka ada 1 plugin keamanan lagi yang perlu ditambahkan yaitu Limit Login Attempt.

Oke, pertama saya jelaskan dulu apa itu Brute Force. Brute Force adalah metode penyerangan ke dalam suatu system dengan menggunakan semua kombinasi password yang memungkinkan. Pertama, seorang hacker akan mencoba mengetahui username admin dari target. Dan ini sangat mudah sekali karena WordPress punya banyak celah untuk menampilkan username admin-nya. Continue reading Menangkal Brute Force dengan Limit Login

SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini: Continue reading SQL Injection pada plugin Tweet Old Post

XSS Vulnerability pada WordPress 3.2.1

Jika anda menggunakan WordPress dengan beberapa user atau membuka fasilitas registrasi user, maka mohon perhatikan artikel ini. Ada lubang keamanan di WordPress versi 3.2.1 yang memungkinkan pengguna menyisipkan kode XSS ke blog kita. Paling sederhana dia bisa memunculkan sebuah alert di halaman depan, halaman artikel dan halaman category atau archive dimana artikelnya muncul.

Modusnya cukup simple, di awal dia menulis artikel seperti biasa. Setelah anda approve dan artikelnya muncul, maka dia bisa edit artikel itu dan menyisipkan kode javascript. Kodenya bisa macam-macam dong, yang paham soal javascript pasti paham deh hehehe..

Untuk mengatasinya, maka sementara anda edit file post-template.php yang ada di folder wp-include. Ada 3 tempat yang harus dirubah Continue reading XSS Vulnerability pada WordPress 3.2.1

WP Comment Autoresponder error_log

Salah satu plugin yang saya pakai di blog ini adalah WP Comment Autoresponder. Tapi belakangan plugin tersebut bermasalah di perintah query-nya sehingga menciptakan error_log yang besar banget. Awalnya saya tidak tahu kalau masalahnya gara-gara plugin tersebut. Tapi tiap saya cek file manager kenapa error_log-nya besar banget sampai puluhan Mb.

Kemudian beberapa hari lalu saya coba search di google pesan error di error_log tersebut. Ternyata asalnya dari plugin wp comment autoresponder buatan Ahlul Faradish Resha. Sayangnya ketika saya chat dengan beliau, saat ini beliau belum fokus mengembangkan plugin tersebut. Sehingga error-nya akan tetap ada hehehe.. Continue reading WP Comment Autoresponder error_log