Serangan worm terhadap WordPress versi lama
 |
Sekitar 2 hari ini, banyak beredar berita tentang penyerangan di blog/situs oleh worm yang masih menggunakan WordPress versi lama (versi 2.8.2 kebawah). Karena begitu pentingnya masalah keamanan ini, sangat disarankan untuk segera upgdare sebelum membaca artikel ini. |
Ini juga disebutkan oleh salah satu pengembang wordpress sendiri (matt)
untuk segera upgrade ke versi terbaru ( 2.8.4 saat ini)
Salah satu blog yang menyebutkan masalah keamanan ini adalah Lorelle di artikelnya Old WordPress Versions Under Attack, dan menyarankan segera upgrade ke versi 2.8.4 sebelum membaca artikelnya karena begitu bahayanya celah keamanan ini.
Ada dua indikasi bahwa situs/blog yang menggunakan wordpress terkena serangan (hack) ini, yaitu :
- Adanya tambahan aneh di setting permalink, misalnya
example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/Kata kuncinya adalah “eval” dan “base64_decode” - Indikasi kedua adalah adanya hidden Administrator. Perlu dicek adanya user dengan nama yang mencurigakan, misalnya “Administrator (2)”, dan kita tidak bisa mengakses account user ini atau menghapusnya..
Sebelum di upgrade, pastikan untuk membaca atau paling tidak tahu bagaimana cara meng-upgrade seperti misalnya backup database. Jika ada versi baru, maka di admin akan ada keterangan untuk mengupgrade ( berlaku versi 2.7 ke atas, dan tidak ada jika masih versi divawahnya).
Proses upgrade sebenarnya sangat mudah, tinggal klik Upgrade Now di menu admin wordpress, dan proses upgrade biasanya akan berjalan kurang dari 1 menit. Jika hal ini tidak bisa, mungkin fitur ini di matikan oleh penyedia hosting anda. Doba ditanyakan ke tempat membeli hosting anda.
Serangan ini hanya rentan untuk situs/blog yang menggunakan installasi wordpress sendiri, tidak berlaku di blog wordpress.com.
Referensi
- Old WordPress Versions Under Attack
- How to Keep WordPress Secure
Ditulis oleh Ebta Setiawan (pada hari Minggu, 06 September 2009)
Kategori Blogging tutorial dengan tags : wordpress, wordpress attack
Sudah dilihat 7,533 kali dan sudah ada 24 komentar. Ingin selalu mendapatkan informasi artikel terbaru lewat email ? Daftarkan email di RSS feed
Setiap ada artikel baru, otomatis diinformasi- kan ke email. Daftarkan email anda, GRATIS
*agar email tidak masuk spam, silahkan tambahkan alamat email saya ebta.setiawan[at]gmail[dot]com di address book
September 6th, 2009 at 6:31 pm
waH..
seRem..
September 6th, 2009 at 9:35 pm
Assalamu’alaikum wr. wb.
Untung gw lum punya blog/site, jd ga begitu pusing… Hehehe…
Nb. NOMER 2 (DUA) BRO…
September 6th, 2009 at 11:48 pm
Waduh serem juga neh.blog saya untuk ga di instalasi dikomputer melainkan langsung ke wordpressnya jadi ga perlu repot and takut.mas ebta mank blognya di hosting dimana ci?
September 6th, 2009 at 11:52 pm
Waduh lupa pengen tanya neh mas ebta,gimana buat tabel postingan di wordpress?kaya excel gitu.ko saya cari fiturnya ga ada ya di editor wordpress mas!
September 7th, 2009 at 1:17 am
jenapa gak upgrade aja?
September 7th, 2009 at 8:19 am
..PERLU TELITI NIH…MAKASIH LOh MAS
September 7th, 2009 at 9:09 am
ke7,,,hehe
September 7th, 2009 at 10:07 am
Kalo saya upgrade wordpress gak automatic hanya manual, terkadang automatic sering ada file yang tidak ter upgrade, apalagi jika koneksi lambat.
September 7th, 2009 at 1:00 pm
Untung punyaku udah tak upgrade… Thx infonya mas…
September 8th, 2009 at 9:19 am
kalo yang di wp.com anteng2 saja berarti…
September 8th, 2009 at 4:26 pm
Punya saya msih versi lama, mudah2an aman. karena dengan atomatic update kadang error saat sesi upload file di 30% akhir file, sehingga membuat postingan lama jadi hilang, dan blog tidak bisa dibuka lagi dan harus menghubungi penyewa hosting ditambah postingan lama pada kacau balau.
September 10th, 2009 at 3:38 am
wa’alaikumsalaam warahmatullah wabarokatuh
@Ifank funky
saya hosting di bluehost
buat manual misalnya dengan open office, dreamweaver,frontpage dll
@yuda
Iya.. seperti tulisan diatas
@Andy
Sejak ada automatic update, saya lebih milih itu, karena upload manual cukup lama
@masjaliteng
iya di wordpress.com aman2 saja
September 10th, 2009 at 7:44 am
untungnya saya udah update wordpress ke 2.8.4…
September 12th, 2009 at 2:46 am
udah coba pakai wp dilocalhost sama bantu admin wp keliatannya bagus wp tapi masih pusing pakainya saya masih lebih mudeng pakai joomla walaupun joomla kurang fleksible buat blog karena ga ada comment built in harus pakai extension
wah blogger indo pakai wp semua saya ketinggalan nie
kira2 drupal bagus ga ya buat blog (yg ini juga pusing pakainya)
September 15th, 2009 at 9:03 am
La klo trojan bisa ga nyerang wordpress!? Trus kudu pake antivirus apa nuy yang tepat..!?
September 23rd, 2009 at 6:30 am
One thorn of ugg sale experience is worth a whole wilderness of warning. Practical wisdom is only to be learned in the ugg cardy boots school of
September 27th, 2009 at 9:22 pm
THanks buat infonya kapan-kapan kunjungi web saya ya mas
Keep spirit of blogging!!!
September 29th, 2009 at 8:24 am
bagus infonya, blogwalking
October 3rd, 2009 at 2:09 am
thanks u artikelnya
October 6th, 2009 at 8:27 pm
Artikel yang bagus
menarik
wah yang worpress versi lama harus di update .
October 15th, 2009 at 2:29 pm
Bener tuh blog ku juga pernah mengalamai hal demikian, ada hidden administrator yang tidak bisa di buka detailnya, salah satu jalan ilanginnya lewat phpmyadmin.
November 23rd, 2009 at 8:14 pm
assalamualaikum.
wah da lama gak kemari
untung blogku langsung wp yg kelolah
December 14th, 2009 at 7:03 pm
untung aku udah aku wordpress.
February 9th, 2010 at 7:41 pm
wah punya q belum q up date je
cz gak tau caraY, bisa bantu gak?