Cara Membersihkan Web yg Kena Hack

Artikel ini dan beberapa artikel yang akan datang adalah terjemahan bebas dari artikel dengan judul New Guides from WordFence to Help Clean a Hacked Website. Sebenarnya saya lebih suka menyebutnya ditulis kembali karena akan ada banyak tambahan dan mungkin juga ada pengurangan tulisan dari saya. InsyaaLlah saya akan coba jelaskan satu per satu artikel dalam tulisan itu. Namun, anda bisa langsung membacanya dari sumber di atas apabila ingin langsung mengetahui semuanya. Continue reading Cara Membersihkan Web yg Kena Hack

Serangan Penambang Crypto Currency Menyasar WordPress

Crypto Currency (CC) adalah mata uang digital yang saat ini lagi booming. Harganya yg tiap hari terus naik membuat banyak orang memburunya. Hal ini kemudian menjadi sebuah mekanisme pasar dimana makin banyak permintaan, harga akan semakin dan semakin mahal.

CC diperoleh dengan melakukan penambangan digital menggunakan hardware yang memiliki spesifikasi tinggi. Kalau spec-nya rendah, bisa2 biaya listriknya lebih mahal dripada hasilnya hehehe… Continue reading Serangan Penambang Crypto Currency Menyasar WordPress

Backdoor di Plugin Captcha

Telah ditemukan celah keamanan yang ditanam di plugin Captcha. Modusnya dia menggunakan fasilitas auto update sehingga ketika perentas hendak memasukkan file backdoor, dia mengupdate pluginnya dan secara otomatis wordpress akan mendownload update tersebut.

Untungnya celah ini segera diketahui, karena saat ini ada sekitar 300ribu website yang menggunakannya. Apabila anda juga mempergunakan plugin ini, silahkan segera melakukan update.

Meski begitu, karena celah ini sengaja dipasang oleh pembuat plugin, maka beberapa pakar keamanan website menyarankan untuk menghapusnya dan menggantinya dengan plugin yang lainnya mengingat authornya sudah tidak dapat dipercaya lagi setelah insiden ini.

Info lengkap tentang bagaimana modus dan script mana yang bekerja untuk itu, bisa anda baca di https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin

 

Lubang Keamanan Plugin-plugin WordPress

Berikut ini beberapa plugin WordPress yang teridentifikasi mengandung lubang keamanan yang dapat dimanfaatkan orang lain untuk menyusupkan file ke blog kita:
Metode XSS

  • WordPress DX-Contribute Plugin 1.1.0 – XSS
  • Post-views plugin 2.6.1. – XSS
  • WP e-Commerce 1.1.1 – XSS
  • WordPress WooCommerce Predictive Search Plugin 1.0.6. – XSS
  • Video Lead Form 0.5 – XSS
  • Pretty Link Lite Plugin 1.6.0 – XSS
  • WP125 plugin 1.4.5. XSS
  • Ultimate TinyMCE plugin 3.6. – XSS
  • Wysija Newsletters Plugin 2.1.7. – XSS
  • WordPress Carousel Slideshow 3.10 – XSS
  • BuddyStream plugin 2.6.2 – XSS
  • NextGEN Gallery 1.9.7 – XSS
  • Amazon Associate plugin 2.0 – XSS

SQL Injection

  • Hitasoft FLV Player Plugin 1.1 SQL Injection
  • AJAX Post Search Plugin 1.1 – SQL Injection

Lainnya

  • Advanced Custom Fields Plugin 3.5.2. – Arbitrary file inclusion
  • vTiger CRM Lead Capture 1.1.0. – unspecified errors
  • WP-Filebase Plugin 0.2.9.24. – unspecified errors

Hati-hati dengan Script Bajakan

Beberapa hari terakhir ini saya dan tim server cbwebspace disibukkan oleh ulah para cracker yang menyerang blog-blog berbasis WordPress. Apakah ini berarti WordPress tidak aman? WordPress sendiri sangat aman karena rata2 bukan menyerang lewat situ. Tapi user WordPress yang merusak keamanan blognya sendiri. Salah satunya adalah penggunaan theme dan plugin bajakan. Selain itu kemalasan untuk melakukan upgrade theme atau plugin atau bahkan WordPress-nya sendiri juga turut andil dalam memberikan jalan bagi para cracker untuk mengobok-obok isi blog.

Blog ini sendiri tak luput dari serangan juga meski alhamdulillah sejauh ini belum berhasil menembus system pertahanan kami. Maka untuk berjaga-jaga berikut ini beberapa tips keamanan WordPress yang sebaiknya selalu menjadi check list kita dalam memelihara blog: Continue reading Hati-hati dengan Script Bajakan

Lubang Keamanan WordPress 3.3.1

Telah ditemukan sebuah lubang keamanan pada fasilitas instalasi WordPress. Memang sih kemungkinan cracker memanfaatkan lubang keamanan ini sangat kecil, tapi bukan tidak mungkin hal tersebut dilakukan. Jadi, untuk jaga-jaga tidak ada salahnya kita melakukan tindakan kecil yang cukup berarti.

Hingga ada rilis resmi dari WordPress (kemungkinan tidak ada karena menurut team WP sendiri kemungkinan pemanfaatan lubang itu kecil sekali), kita bisa melakukan tindakan sederhana untuk mencegahnya:

Hapus file install.php dan setup-config.php sesaat setelah anda berhasil menginstall WordPress. Kedua file ini yang dimanfaatkan cracker untuk menembus jantung pertahanan WordPress. File-file itu ada di dalam folder wp-admin. Kalau takut ya rename aja dengan nama yang unik.

Meski begitu, lubang keamanan ini hanya berfungsi kalau script WordPress-nya belum diinstall alias belum ada wp-config.php Kalau sudah terinstall maka akan ada error yang meminta pengguna menghapus isi database dahulu sebelum melakukan instalasi ulang.

Nah, itu aja deh untuk sementara. Mudah-mudahan bisa membuat wordpress anda lebih aman

WordPress Jetpack plugin SQL Injection Vulnerability

Plugin Jetpack ini telah menjadi primadona para blogger WordPress. Kemampuannya untuk membuat blog instalan biasa menjadi seperti WordPress.com membuatnya banyak dipakai oleh para blogger. Nah, kemarin, telah ditemukan lubang keamanan di plugin ini yang memungkinkan peretas untuk melakukan SQL Injection.

Untuk itu, silahkan pasang pengaman sementara menunggu update-nya muncul. Saya sarankan menggunakan WP Firewall 2 yang cukup efektif menangkal SQL Injection.

Memang tidak mudah memanfaatkan lubang keamanan ini, tapi berjaga-jaga juga tidak ada salahnya kan?

WP E-Commerce 3.8.6 SQL Injection Vulnerability

Telah ditemukan lubang keamanan yang memungkinkan perentas melakukan SQL Injection pada WordPress yang diinstall WP E-commerce 3.8.6. Lubang keamanannnya ada di file wp-shopping-cart.php, wpsc-functions.php, chronopay.php

Saya belum sempat cek dalamnya, tapi sebagai tindakan keamanan saat ini sebaiknya pada plugin WP Firewall 2 saja karena plugin ini cukup ampuh mencegah SQL Injection. Mudah-mudahan bisa segera diperbaiki. Jika update-nya rilis, segera lakukan upgrade ya

Menangkal Brute Force dengan Limit Login

Awalnya saya pikir Firewall sudah memiliki fitur untuk mencegah Brute Force. Tapi ternyata tidak punya hehehe.. Maka, selain menggunakan WP Firewall yang sudah kita bahas sebelumnya, maka ada 1 plugin keamanan lagi yang perlu ditambahkan yaitu Limit Login Attempt.

Oke, pertama saya jelaskan dulu apa itu Brute Force. Brute Force adalah metode penyerangan ke dalam suatu system dengan menggunakan semua kombinasi password yang memungkinkan. Pertama, seorang hacker akan mencoba mengetahui username admin dari target. Dan ini sangat mudah sekali karena WordPress punya banyak celah untuk menampilkan username admin-nya. Continue reading Menangkal Brute Force dengan Limit Login

SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini: Continue reading SQL Injection pada plugin Tweet Old Post