Beberapa hari terakhir ini saya dan tim server cbwebspace disibukkan oleh ulah para cracker yang menyerang blog-blog berbasis WordPress. Apakah ini berarti WordPress tidak aman? WordPress sendiri sangat aman karena rata2 bukan menyerang lewat situ. Tapi user WordPress yang merusak keamanan blognya sendiri. Salah satunya adalah penggunaan theme dan plugin bajakan. Selain itu kemalasan untuk melakukan upgrade theme atau plugin atau bahkan WordPress-nya sendiri juga turut andil dalam memberikan jalan bagi para cracker untuk mengobok-obok isi blog.
Blog ini sendiri tak luput dari serangan juga meski alhamdulillah sejauh ini belum berhasil menembus system pertahanan kami. Maka untuk berjaga-jaga berikut ini beberapa tips keamanan WordPress yang sebaiknya selalu menjadi check list kita dalam memelihara blog:
- Pasang plugin security yaitu: WP firewall 2 dan Limit Login Attempt
- Download WP Firewall 2 : http://wordpress.org/extend/plugins/wordpress-firewall-2/
- Download Limit Login Attempt: http://wordpress.org/extend/plugins/limit-login-attempts/
- Jangan menggunakan plugin dan theme bajakan apalagi yang disebarkan lewat forum
- Hapus theme yang tidak terpakai kecuali theme twenty bawaan WordPress.
- Jika theme yang kita pakai menggunakan timthumb.php maka pastikan itu versi terbaru. Dapatkan versi terbarunya disini: http://timthumb.googlecode.com/svn/trunk/timthumb.php
- Jika ada notifikasi update wordpress, theme atau plugin segera lakukan update. Sehari saja terlambat, web kita akan jadi sasaran
- Sering2 lihat Cpanel – File manager periksa apakah ada file yang baru dimasukkan. Gunakan pengurutan berdasarkan tanggal. Jika ada file baru yg tidak anda kenal atau terupdate baru-baru saja, segera laporkan kepada pihak hosting agar bisa mereka periksa. File dengan awalan WP belum tentu file wp, dalam kasus yang kami tangani kemarin cracker menyusupkan file2 dengan nama itu. Bahkan mereka mengubah file2 wp asli dan menyusupkan kode jahatnya disana.
- Lakukan backup database secara berkala sesuai frekuensi update blog. Misalnya update sehari sekali, maka backup-nya bisa sepekan atau 3 hari sekali
- Ubah password Cpanel dan wp-admin secara berkala minimal sebulan sekali.
Itulah check list dasar yang bisa kita jadikan pedoman keamanan untuk menghindari seseorang yang tak bertanggung jawab memanfaatkan blog kita untuk tujuan kriminal.
Ingat!! Cracker jaman sekarang sudah tidak melakukan deface lagi. Jadi kita tak pernah tahu blog kita di hack. Tiba2 saja hosting kita kena suspend oleh pihak hosting karena melakukan tindakan ilegal. Siapa yang rugi? Jelas kita dong. Sebabnya? Karena kita malas menjaga blog kita sendiri.
Yang sekarang sering dilakukan:
- Menjadikan hosting kita tempat bersarang web phising untuk menjerat mangsa kartu kredit, akun bank, akun paypal bahkan akun facebook.
- Menjadikan hosting kita sebagai pengirim email2 spamming untuk promosi atau menambah backlink.
- Menjadikan hosting kita sebagai pengirim ping dalam melakukan DDOS ke akun hosting lain.
So… waspadalah…waspadalah !!
65 replies on “Hati-hati dengan Script Bajakan”
Ngeri juga ya kalau blog kena hack, hmm.. seperti dulu soalnya saya pernah juga mengalaminya disalah satu web saya
saya akan ikuti saran2nya agar web saya tetap aman, terima kasih
Terima kasih atas petunjuknya…langsung cek blog apakah sudah sehat atau belum….
Terimakasih infonya sangat bermanfaat.
Langsung diterapkan untuk recovery ke tiga setelah kena hack 2 kali ..
Info yang menarik, thanks
wp 3.5 kok gc suport WP firewall 2 ya???
mohon pencerahannya…
Ikut diskusi!
@apry, WP 3.5 suport WP firewall 2 sekarang Versi 1.3, ane udah nginstal..
webb buatan saya kenaa hack :(….www.jernih.net….terima kasih instruksinya,sangat bermanfaat.Btw, group wordpress ini ada group fb nya jga gk??maksih…
Jadi target serangan kemarin π sekarang dah tau plugin yang pas buat security. Tapi sayang tidak dibahas tentang CHMOD file2 penting (siapa tahu admin punya ramuan yang tepat) dan juga htaccess yang pas buat security. Thanks
Selain wp firewall ada alternatif lain gak Gan,soalnya plugin yg entu gak suport buat wp 3.5.1 thank’s
ok thanks ya plugin nya, udah recommanded banget. aku lagi nyari banyak tau tentang penggunaan wordpress π
Konsultan Pajak
bukankah security dari wordpress sudah optimal gan?
ane pernah mendapati salah satu blog ane yang make wordpress namun lupa update ke versi terbaru, eh ternyata di acak-acak ama orang tak di kenal, untung na bisa install back-up yang lama.
terlalu banyak make plugin apakah akan buat load blog menjadi lama?
yap…. website saya juga pernah kena inject file, gara2 pake plugin abal-abal π
Apakah setiap ada update an WP kita harus selalu ikuti? Masalahnya banyak plugin yang belum kompatible dengan versi yang barus saja dikeluarkan WP.
Sekarang banyak plugin premium dicrack. Dan hasilnya situspun terbajak.
#pengalamanpribadi
kira2 saran saya mendingan pake platform dot blogspot aza pasti lebih aman !?….
Namanya pakai bajakan ya harus ngerti dengan konsekuensinya…
untuk atisipasinya bagaimana ya mas?
untuk atisipasinya bagaimana ya mas??
Kalo WordPress Berbasis Sosbok Pake Plugin Limit Login Attempt Ini Apakah User Lain Kena Limit Login Juga ??
Thanks gaaan, ane tinggal sedoot yaaaaa
terima kasih banyak petunjuknya
Menarik Bung…..
Tapi kalo menggunakan template bajakan yg di dapet di forum2 atau web2 nulled itu gmn ya cara kerja si pemilik template/plugin/script tau bahwa itu punya dia?
Thank’s π
mereka pasti sudah menanam string yg bs di “call back” sama cracker.
isi call back nya yah bermacam2, bisa query user n pass admin. ato bahkan bs user n pass hosting :hammer:
cara mbersihkanny jg sudah ada toolnya, toolnya berupa beberapa file PHP, googling aja bro π
pakai gratis boleh2 aja, yang penting bs bikin lebih maju, klo bisa maju karena produk crack ato nulled, belum tentu juga mereka menjadi calon cracker selanjutnya. Bisa jg sebagai defender bagi website2 mereka, karena mereka tau “lubang/celah” para cracker, dan bs berkembang menjadi programmer yang bs mendevelop website dengan enkripsi yang ndak kalah canggihnya dengan SSL, karena mereka bisa custom security mereka dengan baik dan rapi ;).
sesuatu yg kurang baik, bila dipelajari belum tentu menghasilkan yang kurang baik juga π . Tergantung pribadi masing2, anda pilih menjadi lebih baik atau lebih buruk.
Salam
kalau bisa pilih yang bukan bajakan saja nie, walau ada yang tidak gratis namun akan aman bagi blog ya..
nice share dan terima kasih sudah memperingatkan kita semua
sukses selalu π
Oke bang, makasih buat infonya
Sip mas, thanks info
wahhh,,, harus hati2 nih,,, takut kena web blog saya
Terima kasih. sangat bermanfaat, web2 saya paling sering kena jahil, dan sejak saya instal WP firewall 2 dan Limit Login Attempt jadi agak berkurang, kemarin saja selama 2 hari berturut2 2×24 jam email beruntun masuk laporan limit login attempt, padahal saya sudah pake captcha, dan setting maksimal 2 kali salah login maka IP terblokir 1000 menit.
Saya jadi bingung sendiri, pakai apa ya sampai 2×24 jam melakukan percobaan login ke web saya? apa mereka tidak tidur? atau pakai robot?
Alhamdulillah, blog utama saya masih aman walau tanpa plugin yang disebut disini. Kunci utamanya ya backup, update dan password yang kuat, π
terimakasih mas atas tips dan informasinya, websiet saya sudah satu bulan ini data indeks googlenya lari terus sampe sekarang sudah mencapai 24000 lebh, padahal artikel baru 230han, kenapa ya? apakah indikasi kena serangan? sehingga web saya jatuh di pringkat google, terimakasih sblumnya π
wah info yang bagus mas, jadi harus lebih berhati-hati utk memilih plugin. Obat Herbal Ambeien
Terima kasih atas sarannya sangat bermanfaat, namun setelah masang firewall dan login attempt jadi berat banget, ( http://kuningmas-autocare.co.id ) akhirnya kami hanya memasangkan math login captcha. Untuk mengetahui themes bajakan dari mana ya? kami selalu menginstall themes/plugin dari wordpress.org atau add new di menu dashboard.
terima kasih,,, infonya bos… akan segera saya actifkan pluginnya… agar aman semua websuite saya….
dan
untung saja baca artikel ini, jadi lebih hati hati tuk memakai cript,, makasih atas informasi yang bermanfaat ini gan.
kok tga.. yang ngasih bajakan segala
makasih, infonya gan
ane sih sering pakai script bajakan, error deh
makasih infonya mas, sangat bermanfaat bagi pemula seperti saya
ini yang penting gan, dulu pernah hosting ane kena hack, alhamdulillah sedah berjalan dengan lancar setelah ane menghubungi pihak hosting, oya kalo WP Firewall udah ane gunakan gan,,, makasih infonya gan……
trims infonya, akan sy coba tips nya…
Informasi yang sangat bermanfaat, terima kasih langsung di praktikan..
π
Terimakasih sekali peringatannya mas, saya juga pernah kena hack waktu masih persi 3.8 mas sampe kesel banget dah
Terima kasih saran2nya π
Tipsnya bermanfaat, terimakasih. Ini ada plugin bagus untuk melindungi halaman login namanya Stealth Login (http://wordpress.org/plugins/stealth-login-page/).
mas cara bedainya gimana dong ?bisa lebih spesifik lagi?
wah mudah-mudahan… gak kena wp saya π
wah makasih banget suhu, informasinya bermanfaat banget bagi ane yang masih baru terjun di wordpress
Mendingan pake yg asli gan… kasian developernya udah cape cape buat…
duh ngeri juga ya, apalagi saya yang masih belajar di wordpress dan masih bingung, tapi terimakasih atas ilmunya
salam kenal pak
Oh iya, ada referensi gak agar loading wordpress ku bisa lebig cepat loadingnya ? aku pakai theme hasil download , apakah ama gak ya ? gimana cara mencari celah agar web kita bisa aman dari penyusup ?
Terima kasih
WADUUUUUUUUUUUUUUH…ADA SAJA TAG BAJAKAN,HEHEHE…MAKASIH ,MASTAH ATAS INPONYE, MOHON PITUNYUKNYA, MAMPIR DULU MASTAH…
DARI, Newbeii
Oke Gan, baik sekali Anda membagi ilmu ini. Terima kasih atas sarannya.
Kalau pake nulled theme apa efeknya mas?
I simply want to mention I am beginner to blogging and honestly loved you’re web page. Probably Iβm want to bookmark your site . You really come with superb posts. Thanks a lot for sharing your website page.
I have to thank you for the efforts you’ve put in writing this blog. I really hope to see the same high-grade content by you later on as well. In truth, your creative writing abilities has motivated me to get my own website now π
Throughout the grand pattern of things you’ll secure an A just for effort. Where you lost us ended up being in all the specifics. You know, as the maxim goes, the devil is in the details… And it could not be much more accurate right here. Having said that, permit me inform you what did give good results. The text can be highly convincing and that is possibly why I am making an effort in order to comment. I do not really make it a regular habit of doing that. Second, while I can notice the leaps in reason you make, I am not really sure of just how you appear to connect your details which in turn help to make your conclusion. For the moment I shall yield to your position however wish in the foreseeable future you actually connect the dots better.
I was recommended this website by my cousin. I’m not sure whether this post is written by him as no one else know such detailed about my problem. You’re amazing! Thanks!
Thanks , I have just been searching used for information approximately this topic for a prolonged schedule and yours is the greatest I have came ahead hence far-flung. Then again, what in regards to the underneath line? Are you undeniable concerning the source?
Good day! I could have sworn Iβve been to this site before but after looking at some of the posts I realized itβs new to me. Anyhow, Iβm certainly delighted I discovered it and Iβll be bookmarking it and checking back often!
Hello, you used to write magnificent, but the last several posts have been kinda boring⦠I miss your tremendous writings. Past several posts are just a little out of track! come on!
Its like you read my mind! You appear to know a lot about this, like you wrote the book in it or something. I think that you can do with a few pics to drive the message home a little bit, but instead of that, this is magnificent blog. An excellent read. I’ll definitely be back.
I blog often and I genuinely appreciate your content. Your article has really peaked my interest. I am going to bookmark your website and keep checking for new information about once per week. I opted in for your Feed too.
Hi there, You have done an excellent job. I will definitely digg it and personally suggest to my friends. I am confident they will be benefited from this website.
Hello There. I found your blog using msn. This is an extremely well written article. Iβll make sure to bookmark it and come back to read more of your useful info. Thanks for the post. I will certainly return.
*very nice post, i certainly love this website, keep on itclash of clans hack*