Menghindari Serangan Injeksi di Blog WordPress

Juni 24, 2008

Salah satu faktor kelemahan WordPress, seperti yang saya singgung pada workshop “Winning The SEO War With WordPress” di Surabaya minggu lalu, adalah rentan menjadi target hacker. Dan salah satu tren ulah hacker terhadap blog-blog WordPress saat ini adalah melakukan injeksi atau penyusupan kode. Memang ini bukan sepenuhnya kesalahan WordPress karena mereka lebih memanfaatkan lubang keamanan pada server hosting ketimbang yang ada pada WordPress. Tidak sedikit web hosting terkemuka yang sempat menjadi korban, termasuk JaguarPC, Dreamhost, dan Servage.

Seperti apa sih kode yang disusupkan? Apakah bersifat merusak (virus / malware) ? Ternyata tidak. Kode yang disusupkan biasanya justru berupa redirect atau frame ke situs affiliasi. Mungkin ini termasuk salah satu tehnik black hat dalam mencari uang di internet, hehehe.

Blog-blog saya sendiri sudah seringkali menjadi korban, terutama yang disimpan di tiga hosting yang saya sebutkan di atas. Dulu, jika hal tersebut terjadi, saya memilih untuk mengambil jalan pintas — memindahkan blog yang terkena injeksi ke hosting lain.

Kalau di hosting pindahan terkena injeksi lagi? Ya pindah lagi.

Namun ternyata ada cara yang lebih simpel dan lebih memecahkan masalah daripada jurus nomaden di atas. Yaitu dengan mengubah atribut file-file WordPress yang sering terkena injeksi menjadi 444 (r–r–r–) atau read-only. Setelah diubah atributnya, biasanya serangan injeksi akan berhenti.

File-file apa saja yang perlu diimunisasi?

  • Pada root direktori blog: index.php, wp-config.php, wp-setting.php.
  • Seluruh file themes yang kita gunakan pada direktori wp-content/themes

Selamat mencoba :)

Artikel ini ditulis oleh Cosa Aranda dan pertama kali dipublikasikan pada tanggal 22 June 2008. Artikel bebas untuk didistribusikan ulang untuk keperluan non-komersil selama mencantumkan nama penulis dan sumber artikel serta tidak merubah isi. Dan apabila Anda tertarik untuk memiliki theme-theme WordPress yang menawan, silahkan cek produk terbaru saya, Art of Stealing WordPress Themes, rilis 1 Juli 2008 mendatang!

Entry Filed under: SEO, Wordpress hacking. .

2 Comments Add your own

  • 1. Uyax  |  Agustus 8, 2008 at 6:38 am

    wah kebetulan nih….. Saya pengen nanya nih….
    Di file wordpress saya pada folder Public Html, tiba2 ada file “core.13722, core.14108, dan banyak lagi file core2 yg lain”…
    Apakah File tersebut ber bahaya ato nga?? Soalnya sebelumnya ga da file tersebut…
    Mohon Petunjuk…

  • 2. muhibbuddin  |  Agustus 8, 2008 at 7:10 am

    maaf mas, saya bukan penulis artikel tersebut, cuma kopas doang kok, pastinya mas dah ngliat kalo link penulis udah say sertakan, thanks… ya..:P

Leave a Comment

Required

Required, hidden

Some HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Trackback this post  |  Subscribe to the comments via RSS Feed

Tag

Tulisan Terakhir

Komentar Terakhir

MUHIB di Tentang Saya
ranyliq di ID webhost suck.
baladika di ID webhost suck.
muhibbuddin di Menghindari Serangan Injeksi d…
Uyax di Menghindari Serangan Injeksi d…

Blogroll

Statistik Blog

Klik Tertinggi

Komentar SPAM


KapanLagi.com Image Hosting