Non Aktif semua plugin dengan SQL

Saya tidak tahu apakah ini terjadi juga pada anda atau hanya saya saja. Tapi yang jelas, saya mengalami kesulitan untuk menonaktifkan semua plugin jika menggunakan cara lama yaitu delete file. Atau merename folder plugins dan membuat folder plugins kosongan.

Tapi kemudian saya nemu cara yang lebih efisien dan insya Allah 99% berhasil. Mudah-mudahan bisa bermanfaat. Dengan cara ini, kita tidak perlu ribet-ribet masuk file manager, nyari folde plugins, merename dan membuat yang baru. Lama banget kan? Belum lagi nanti kalau mau mengaktifkan lagi kita harus memindah file-filenya. Panjang deh ceritanya. Continue reading

WP E-Commerce 3.8.6 SQL Injection Vulnerability

Telah ditemukan lubang keamanan yang memungkinkan perentas melakukan SQL Injection pada WordPress yang diinstall WP E-commerce 3.8.6. Lubang keamanannnya ada di file wp-shopping-cart.php, wpsc-functions.php, chronopay.php

Saya belum sempat cek dalamnya, tapi sebagai tindakan keamanan saat ini sebaiknya pada plugin WP Firewall 2 saja karena plugin ini cukup ampuh mencegah SQL Injection. Mudah-mudahan bisa segera diperbaiki. Jika update-nya rilis, segera lakukan upgrade ya

Menangkal Brute Force dengan Limit Login

Awalnya saya pikir Firewall sudah memiliki fitur untuk mencegah Brute Force. Tapi ternyata tidak punya hehehe.. Maka, selain menggunakan WP Firewall yang sudah kita bahas sebelumnya, maka ada 1 plugin keamanan lagi yang perlu ditambahkan yaitu Limit Login Attempt.

Oke, pertama saya jelaskan dulu apa itu Brute Force. Brute Force adalah metode penyerangan ke dalam suatu system dengan menggunakan semua kombinasi password yang memungkinkan. Pertama, seorang hacker akan mencoba mengetahui username admin dari target. Dan ini sangat mudah sekali karena WordPress punya banyak celah untuk menampilkan username admin-nya. Continue reading

SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini: Continue reading

XSS Vulnerability pada WordPress 3.2.1

Jika anda menggunakan WordPress dengan beberapa user atau membuka fasilitas registrasi user, maka mohon perhatikan artikel ini. Ada lubang keamanan di WordPress versi 3.2.1 yang memungkinkan pengguna menyisipkan kode XSS ke blog kita. Paling sederhana dia bisa memunculkan sebuah alert di halaman depan, halaman artikel dan halaman category atau archive dimana artikelnya muncul.

Modusnya cukup simple, di awal dia menulis artikel seperti biasa. Setelah anda approve dan artikelnya muncul, maka dia bisa edit artikel itu dan menyisipkan kode javascript. Kodenya bisa macam-macam dong, yang paham soal javascript pasti paham deh hehehe..

Untuk mengatasinya, maka sementara anda edit file post-template.php yang ada di folder wp-include. Ada 3 tempat yang harus dirubah Continue reading

WP Comment Autoresponder error_log

Salah satu plugin yang saya pakai di blog ini adalah WP Comment Autoresponder. Tapi belakangan plugin tersebut bermasalah di perintah query-nya sehingga menciptakan error_log yang besar banget. Awalnya saya tidak tahu kalau masalahnya gara-gara plugin tersebut. Tapi tiap saya cek file manager kenapa error_log-nya besar banget sampai puluhan Mb.

Kemudian beberapa hari lalu saya coba search di google pesan error di error_log tersebut. Ternyata asalnya dari plugin wp comment autoresponder buatan Ahlul Faradish Resha. Sayangnya ketika saya chat dengan beliau, saat ini beliau belum fokus mengembangkan plugin tersebut. Sehingga error-nya akan tetap ada hehehe.. Continue reading

Plugin-plugin WordPress yang Berpotensi kena Hack

Pagi ini saya dapat laporan dari forumnya hacker tentang beberapa plugin WordPress yang bermasalah sehingga berpotensi kena SQL Injection. SQL Injection adalah sebuah cara menyusupkan kode tertentu ke query suatu program yang menyebabkan program tersebut beralih fungsi dari yang seharusnya. Kalau fungsi awalnya cuma membaca file, maka dengan SQL Injection kita bisa mengubah password admin hehehe… Mau tau cara SQL Injection? Belajar sendiri gan ditempat lain. Disini bukan tempat belajar hacking apalagi cracking. Continue reading

Membuat File Single.php, archive.php, dll

Sesuai janji, hari ini saya akan share bagaimana cara membuat file-file wordpress themes yang jumlahnya berjibun itu. Sebenarnya file-file itu isinya sama kok. Hanya saja fungsinya berbeda-beda. Bahkan sebenarnya kalau isinya sama semua dengan index.php anda tidak perlu membuatnya.

Oke, sekarang akan jelaskan lebih dahulu skema perintah file di WordPress.

Saat anda mengetikkan URL, maka WordPress akan melakukan analisa, ini URL apa? Apakah halaman utama, arsip kategori, arsip tanggal, artikel, page atau kategori? Setelah tahu ini URL apa, WordPress kemudian akan mencari file template yang sesuai: Continue reading

Memecah Sidebar

Oke, kita lanjutkan kegiatan memecah belah kita hehehe.. Jika sebelumnya kita telah memisahkan header dan footer, tapi bagian konten dan sidebar kan masih menyatu tuh di index.php. Nah, sudah saatnya kita ceraikan mereka hahahaha….

Baik, langsung aja buka index.php lalu cari kode yang membangun sidebar. Kalau anda mengikuti pelajaran themes ini dari awal, harusnya kode sidebarnya seperti ini:
Continue reading

Memecah File Themes

Baiklah, karena ke depan kita akan melakukan modifikasi themes yang lebih expert lagi, rasanya akan sangat memusingkan kepala kalau kita masih juga bekerja dengan 1 file index.php dan 1 file functions.php kita butuh file-file lain untuk mengelola semua tampilan themes. Sekaligus memperkenalkan masing-masing fungsi file yang biasanya terdapat di themes2 gratisan.

Baiklah, sebagai awal, silahkan anda buka file index.php didalam file ini sebenarnya terkandung banyak file hehehe… Tapi anda tidak sadar kan? Baiklah. Untuk awalnya, kita pecah dulu file index.php ini menjadi 3 file yaitu header.php, index.php dan footer.php

Sebenarnya suka-suka hati anda sih mau memecahnya dimana. Kalau saya biasanya untuk footer, saya ambil dari baris paling awal hingga kode <div id="maincontent"></div>. Jadi <div id="maincontent"></div> akan tetap di index.php Ini isi file header.php saya Continue reading