 |
Sekitar 2 hari ini, banyak beredar berita tentang penyerangan di blog/situs oleh worm yang masih menggunakan WordPress versi lama (versi 2.8.2 kebawah). Karena begitu pentingnya masalah keamanan ini, sangat disarankan untuk segera upgdare sebelum membaca artikel ini. |
Ini juga disebutkan oleh salah satu pengembang wordpress sendiri (matt)
untuk segera upgrade ke versi terbaru ( 2.8.4 saat ini)
Salah satu blog yang menyebutkan masalah keamanan ini adalah Lorelle di artikelnya Old WordPress Versions Under Attack, dan menyarankan segera upgrade ke versi 2.8.4 sebelum membaca artikelnya karena begitu bahayanya celah keamanan ini.
Ada dua indikasi bahwa situs/blog yang menggunakan wordpress terkena serangan (hack) ini, yaitu :
- Adanya tambahan aneh di setting permalink, misalnya
example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/Kata kuncinya adalah “eval” dan “base64_decode” - Indikasi kedua adalah adanya hidden Administrator. Perlu dicek adanya user dengan nama yang mencurigakan, misalnya “Administrator (2)”, dan kita tidak bisa mengakses account user ini atau menghapusnya..
Sebelum di upgrade, pastikan untuk membaca atau paling tidak tahu bagaimana cara meng-upgrade seperti misalnya backup database. Jika ada versi baru, maka di admin akan ada keterangan untuk mengupgrade ( berlaku versi 2.7 ke atas, dan tidak ada jika masih versi divawahnya).
Proses upgrade sebenarnya sangat mudah, tinggal klik Upgrade Now di menu admin wordpress, dan proses upgrade biasanya akan berjalan kurang dari 1 menit. Jika hal ini tidak bisa, mungkin fitur ini di matikan oleh penyedia hosting anda. Doba ditanyakan ke tempat membeli hosting anda.
Serangan ini hanya rentan untuk situs/blog yang menggunakan installasi wordpress sendiri, tidak berlaku di blog wordpress.com.
Referensi
– Old WordPress Versions Under Attack
– How to Keep WordPress Secure
Comments are closed.