Cara Membersihkan Web yg Kena Hack

Artikel ini dan beberapa artikel yang akan datang adalah terjemahan bebas dari artikel dengan judul New Guides from WordFence to Help Clean a Hacked Website. Sebenarnya saya lebih suka menyebutnya ditulis kembali karena akan ada banyak tambahan dan mungkin juga ada pengurangan tulisan dari saya. InsyaaLlah saya akan coba jelaskan satu per satu artikel dalam tulisan itu. Namun, anda bisa langsung membacanya dari sumber di atas apabila ingin langsung mengetahui semuanya. Continue reading Cara Membersihkan Web yg Kena Hack

Dicari dengan kata kunci:

cara menutup backdoor di wordpress

Serangan Penambang Crypto Currency Menyasar WordPress

Crypto Currency (CC) adalah mata uang digital yang saat ini lagi booming. Harganya yg tiap hari terus naik membuat banyak orang memburunya. Hal ini kemudian menjadi sebuah mekanisme pasar dimana makin banyak permintaan, harga akan semakin dan semakin mahal.

CC diperoleh dengan melakukan penambangan digital menggunakan hardware yang memiliki spesifikasi tinggi. Kalau spec-nya rendah, bisa2 biaya listriknya lebih mahal dripada hasilnya hehehe… Continue reading Serangan Penambang Crypto Currency Menyasar WordPress

Dicari dengan kata kunci:

7DK1,BFFL,celah sql injection pada wp,W80R,YQ97

Backdoor di Plugin Captcha

Telah ditemukan celah keamanan yang ditanam di plugin Captcha. Modusnya dia menggunakan fasilitas auto update sehingga ketika perentas hendak memasukkan file backdoor, dia mengupdate pluginnya dan secara otomatis wordpress akan mendownload update tersebut.

Untungnya celah ini segera diketahui, karena saat ini ada sekitar 300ribu website yang menggunakannya. Apabila anda juga mempergunakan plugin ini, silahkan segera melakukan update.

Meski begitu, karena celah ini sengaja dipasang oleh pembuat plugin, maka beberapa pakar keamanan website menyarankan untuk menghapusnya dan menggantinya dengan plugin yang lainnya mengingat authornya sudah tidak dapat dipercaya lagi setelah insiden ini.

Info lengkap tentang bagaimana modus dan script mana yang bekerja untuk itu, bisa anda baca di https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin

 

Lubang Keamanan Plugin-plugin WordPress

Berikut ini beberapa plugin WordPress yang teridentifikasi mengandung lubang keamanan yang dapat dimanfaatkan orang lain untuk menyusupkan file ke blog kita:
Metode XSS

  • WordPress DX-Contribute Plugin 1.1.0 – XSS
  • Post-views plugin 2.6.1. – XSS
  • WP e-Commerce 1.1.1 – XSS
  • WordPress WooCommerce Predictive Search Plugin 1.0.6. – XSS
  • Video Lead Form 0.5 – XSS
  • Pretty Link Lite Plugin 1.6.0 – XSS
  • WP125 plugin 1.4.5. XSS
  • Ultimate TinyMCE plugin 3.6. – XSS
  • Wysija Newsletters Plugin 2.1.7. – XSS
  • WordPress Carousel Slideshow 3.10 – XSS
  • BuddyStream plugin 2.6.2 – XSS
  • NextGEN Gallery 1.9.7 – XSS
  • Amazon Associate plugin 2.0 – XSS

SQL Injection

  • Hitasoft FLV Player Plugin 1.1 SQL Injection
  • AJAX Post Search Plugin 1.1 – SQL Injection

Lainnya

  • Advanced Custom Fields Plugin 3.5.2. – Arbitrary file inclusion
  • vTiger CRM Lead Capture 1.1.0. – unspecified errors
  • WP-Filebase Plugin 0.2.9.24. – unspecified errors

Dicari dengan kata kunci:

WordPress DX-Contribute Plugin 1 1 0 – XSS,tombol install themes tidak ada pada wordpress,cara mengetahui adanya lubang keamanan,cara mengatasi lubang keamanan,10 plugin keamanan wordpress,cara edit index wp,cara membuat tulisan di halaman awal wordpress hanya setengah,cara deface wordpress twenty,cara hacking AJAX Post Search Plugin 1 1,cara hack wordpress untuk pemasangan script

Hati-hati dengan Script Bajakan

Beberapa hari terakhir ini saya dan tim server cbwebspace disibukkan oleh ulah para cracker yang menyerang blog-blog berbasis WordPress. Apakah ini berarti WordPress tidak aman? WordPress sendiri sangat aman karena rata2 bukan menyerang lewat situ. Tapi user WordPress yang merusak keamanan blognya sendiri. Salah satunya adalah penggunaan theme dan plugin bajakan. Selain itu kemalasan untuk melakukan upgrade theme atau plugin atau bahkan WordPress-nya sendiri juga turut andil dalam memberikan jalan bagi para cracker untuk mengobok-obok isi blog.

Blog ini sendiri tak luput dari serangan juga meski alhamdulillah sejauh ini belum berhasil menembus system pertahanan kami. Maka untuk berjaga-jaga berikut ini beberapa tips keamanan WordPress yang sebaiknya selalu menjadi check list kita dalam memelihara blog: Continue reading Hati-hati dengan Script Bajakan

Dicari dengan kata kunci:

mmaksimalkan template proudly wordpress,menggunakan template bajakan,ada notifikasi plugin firewall,themes bajakan,script bajakan,masalah pembelian tema worpress ilegal,download script php untuk hack akun facebook dengan cpanel,script phising kartu kredit,amankah menggunakan ddos,wordpress theme bajakan

Lubang Keamanan WordPress 3.3.1

Telah ditemukan sebuah lubang keamanan pada fasilitas instalasi WordPress. Memang sih kemungkinan cracker memanfaatkan lubang keamanan ini sangat kecil, tapi bukan tidak mungkin hal tersebut dilakukan. Jadi, untuk jaga-jaga tidak ada salahnya kita melakukan tindakan kecil yang cukup berarti.

Hingga ada rilis resmi dari WordPress (kemungkinan tidak ada karena menurut team WP sendiri kemungkinan pemanfaatan lubang itu kecil sekali), kita bisa melakukan tindakan sederhana untuk mencegahnya:

Hapus file install.php dan setup-config.php sesaat setelah anda berhasil menginstall WordPress. Kedua file ini yang dimanfaatkan cracker untuk menembus jantung pertahanan WordPress. File-file itu ada di dalam folder wp-admin. Kalau takut ya rename aja dengan nama yang unik.

Meski begitu, lubang keamanan ini hanya berfungsi kalau script WordPress-nya belum diinstall alias belum ada wp-config.php Kalau sudah terinstall maka akan ada error yang meminta pengguna menghapus isi database dahulu sebelum melakukan instalasi ulang.

Nah, itu aja deh untuk sementara. Mudah-mudahan bisa membuat wordpress anda lebih aman

Dicari dengan kata kunci:

wordpress 3 3 1,hack wordpress 3 3 1,cara install wordpress 3 3 1,4 lubang keamanan,sql injection wordpress 3 3 1,wordpress keamanan,template wordpress 3 3 1 free,hacking wordpress 3 3 1,hack wordpress 3 1,apakah plugin better wp security berbahaya

WordPress Jetpack plugin SQL Injection Vulnerability

Plugin Jetpack ini telah menjadi primadona para blogger WordPress. Kemampuannya untuk membuat blog instalan biasa menjadi seperti WordPress.com membuatnya banyak dipakai oleh para blogger. Nah, kemarin, telah ditemukan lubang keamanan di plugin ini yang memungkinkan peretas untuk melakukan SQL Injection.

Untuk itu, silahkan pasang pengaman sementara menunggu update-nya muncul. Saya sarankan menggunakan WP Firewall 2 yang cukup efektif menangkal SQL Injection.

Memang tidak mudah memanfaatkan lubang keamanan ini, tapi berjaga-jaga juga tidak ada salahnya kan?

Dicari dengan kata kunci:

wordpress jetpack plugin sql injection vulnerability,sql injection wordpress web,makalah sql,cara pemasangan injection plug,wordpress jetpack plugin sql injection vulnerability tutorial,inject sql wordpress,TEKNIK PEMASANGAN INJECTION PLUG,cara menghapus injek sql pada wordpress,ciri ciri sebuah web terkena sql injection,pasang langsung game jetpack

WP E-Commerce 3.8.6 SQL Injection Vulnerability

Telah ditemukan lubang keamanan yang memungkinkan perentas melakukan SQL Injection pada WordPress yang diinstall WP E-commerce 3.8.6. Lubang keamanannnya ada di file wp-shopping-cart.php, wpsc-functions.php, chronopay.php

Saya belum sempat cek dalamnya, tapi sebagai tindakan keamanan saat ini sebaiknya pada plugin WP Firewall 2 saja karena plugin ini cukup ampuh mencegah SQL Injection. Mudah-mudahan bisa segera diperbaiki. Jika update-nya rilis, segera lakukan upgrade ya

Dicari dengan kata kunci:

sql injection wordpress,wp ecommerce,panduan e-commerce wordpress,wp-ecommerce,kenapa wp-ecomerce 3 8 tidak bisa diaktifkan,wp e-commerce,wp-ecommerce tutorial,membuat keamanan sql injection,buku wordpress ecommerce,pencegahan sql injection pada atribut

Menangkal Brute Force dengan Limit Login

Awalnya saya pikir Firewall sudah memiliki fitur untuk mencegah Brute Force. Tapi ternyata tidak punya hehehe.. Maka, selain menggunakan WP Firewall yang sudah kita bahas sebelumnya, maka ada 1 plugin keamanan lagi yang perlu ditambahkan yaitu Limit Login Attempt.

Oke, pertama saya jelaskan dulu apa itu Brute Force. Brute Force adalah metode penyerangan ke dalam suatu system dengan menggunakan semua kombinasi password yang memungkinkan. Pertama, seorang hacker akan mencoba mengetahui username admin dari target. Dan ini sangat mudah sekali karena WordPress punya banyak celah untuk menampilkan username admin-nya. Continue reading Menangkal Brute Force dengan Limit Login

Dicari dengan kata kunci:

brute force adalah,brute force,mencegah brute force,cara mencegah brute force,cara menggunakan brute force,apa itu brute force,cara membatasi login jika terjadi kesalahan dengan php,brute adalah,apa yang dimaksud dengan brute force,Cara mengaktifkan plugin limit login attempts

SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini: Continue reading SQL Injection pada plugin Tweet Old Post

Dicari dengan kata kunci:

sql injection,sql injection pada wordpress,cara sql injection wodpress,menutup sql injection,materi tentang sql injection,makalah tentang sql dan php,makalah tentang sql,cara sql injection wordpress,cara menutup/mengantisipasi celahnya,cara mengatasi html injection pada php