Security WordPress : Celah Keamanan WordPress Yang Harus Diwaspadai

in Wordpress | 36 Comments
Security WordPress : Celah Keamanan WordPress Yang Harus Diwaspadai

Beberapa hari yang lalu saya berbincang-bincang dengan sahabat saya mas Jerry di twitter, kami membahas mengenai masalah celah keamanan wordpress yang saya sendiri pun baru tahu. Ternyata folder wp-includes dan wp-content bisa membawa bencana besar untuk hosting/cpanel anda, dengan mengetikan salah satu file yang ada di dalam wp-includes atau wp-content akan menampilkan pesan error yang disertai username cpanel anda.

Sekarang anda coba ketikan code berikut pada browser anda dan lihat apa yang muncul.

http://www.namasitusanda.com/wp-includes/wp-db.php

Sekarang anda bayangkan, ketika seorang hacker sudah mengetahui username cpanel anda dia hanya tinggal mencari passwordnya saja, mungkin bisa dengan cara brute force attack atau cara hacking lainnya. Tentunya saya tidak tinggal diam dan langsung mencari solusinya dengan googling, tidak berapa lama saya menemukan solusi yang mudah untuk dimengerti, yaitu di blognya pembuat plugin STT2

Beliau meng-akali celah keamanan ini menggunakan .htaccess yang disimpan di folder wp-includes dan wp-content. Sekarang anda buat file baru di folder wp-includes dan wp-content, kemudian anda beri nama .htaccess setelah itu anda isikan kode berikut ke dalam file .htaccess tersebut.

Order Allow,Deny
 Deny from all
 <Files ~ "\.(css|jpe?g|png|gif|js|xml|swf)$">
 Allow from all
 </Files>
 <Files "wp-tinymce.php">
 Allow from all
 </Files>

Tapi sayangnya ada permasalahan dengan file .htaccess bila disimpan pada folder wp-content, kemarin blog saya menjadi berat setelah mencoba cara ini dan langsung di suspended oleh hosting :( . Tapi untuk file .htaccess yang di simpan di folder wp-includes tidak ada masalah. Bila anda ingin mencobanya sebaiknya anda berhati-hati, bila ketika anda sudah membuat fiile .htaccess pada folder wp-content dan tiba-tiba blog anda menjadi berat, sebaiknya langsung hapus saja.

Untuk penjelasan lebih jelas mengenai penggunaan .htaccess ini, silahkan anda baca langsung pada sumbernya http://exclusivewordpress.com/celah-keamanan-wordpress-dan-htaccess.html

Penulis: Satrya Bima - http://www.margasatrya.com

Satrya, founder margasatrya.com yang saat ini sedang bekerja di salah satu provider theme e-commerce, Tokokoo.com sebagai Front End Developer. Mau mengenal saya lebih jauh ? Silahkan follow twitter atau kontak saya

Berlangganan Artikel Gratis !

  • Erdien

    Test Awwalan heula Yi….

    • AMALIA

      izin menyimak saja lah

  • Erdien

    Wah muhun Yi, tos nyobian ngetes sababara blog muncul error sareng aya user namena.
    Nuhun Yi, infona. Pami tos rineh engke dicobian ah :D

    • http://udinhamd.com Udin Hamd | Blogger 2 Inchi

      Apa kang artie?…gak ngerti saya wkwkwkwk

      • http://www.margasatrya.com Satrya

        Hahhaha,. saya juga agk kurang ngerti bahasa sunda halus banget kang :mrgreen:

  • http://andreasandre.net andre

    makasi mas, saya langsung langsung ke TKP aja

  • http://abdulhakim.web.id Abdul Hakim

    wah gawat tuh mas…. ternyata jebolnya mudah banget ya…..

  • Dunia Komputer

    Info yang bermanfaat mas satyra. Sepertinya mesti ganti password secara berkala kalau begitu.

  • budiastawa

    Wah, pantesan kemarin Satrya bisa tahu username CPanel saya :lol: . Bahaya juga ya ternyata. Tapi saya perhatikan, kebanyakan CMS memiliki error yang sama dengan memperlihatkan nama username CPanel, Satrya. Joomla juga seperti itu lho.

    Tapi kalau ada plugin yang bisa mengakali ini, alangkah bagusnya. Seperti bli Gus Adit bilang di atas, mending sering-sering ganti password aja ah.

    • http://www.margasatrya.com Satrya

      Iya bli, untuk sementara solusi blm ada , berarti rajin ganti passwordnya :D

    • ardianzzzz

      Hosting saya menggunakan spanel, dan saya menggunakan Textpattern. Sepertinya tidak bermasalah dengan hal-hal tersebut. :)

      Atau ada yang mau ngecek lebih jauh?

      • http://personfield.web.id aldy

        Hehehe….
        Bagus juga.

  • Blognya Achot

    silahkan mas..

    • http://www.margasatrya.com Satrya

      maaf y mas, saya hapus, demi keamanan cpanel mas. Error yg mas tulisakan disini itu ada username cpanel mas. Terima kasih

  • Pingback: Tweets that mention Celah Keamanan Wordpress Yang Harus Diwaspadai | Tutorial Tips Wordpress | Webdesign | Blogging -- Topsy.com

  • http://www.gemilang.tv Indovision

    Cara sekarang untuk mencegah ya, terpaksa harus sering2 ganti password dan buat password di kombinasikan angka, huruf & lambang.

  • http://Jhezer.web.id JhezeR

    Wow lngsung dibikin postingannya bro,yap setidaknya pass cpanel yg harus diperkuat dan rutin diganti kalo dri wp sendiri tampaknya file wp-config perlu di chmod 444 dan bisa dipindahkan satu tingkat ke folder lain..

  • http://grahadesain.wordpress.com Graha Nurdian

    Nice tips tapi saya pake wp.com bro jadi ya relax untuk masalah security :)

  • Bang Dje

    Saya coba kok gak terjadi apa-apa ya ? Gak muncul apa-apa tuh ? Apa salahku ?

  • kampus blog

    saya dulu ngepatch masing² file yg bisa dimanfaatin itu bro,. tp karena update WP jadi males ngepatch satu²…
    coba cara ini lah.. jadi enak.,. makasih infonya ya.. smoga gak berat dan gak ke suspend hostingan :D

  • yusrond

    wahh.. gitu yahh ? aku kok baru tau . :(
    nanti saya coba mas . trims

  • Pingback: Celah Keamanan WordPress Yang Harus Diwaspadai Part 2 | Tutorial Tips Wordpress | Webdesign | Blogging

  • rismaka

    Terima kasih mas. Saya baru tahu celah keamanan ini.
    Memang cara yang terbaik adalah dengan mengganti password secara berkala dengan kombinasi kata/nomer/simbol yang cukup susah ditebak.

    Sekali lagi terima kasih. Tulisan Ini layak direkomendasikan.

    • http://www.margasatrya.com Satrya

      Thanks, mas Adi :)

  • PooSoft

    Wah GILA ni, berarti Gampang baNGET Ya,,, mesti diamanin dulu, tancap gas, makash

  • Web Presence

    Wah.. Saia pake blogger

  • http://www.nyubi.org/ Ngeblog Dibayar

    segera ganti username & password :)

  • http://personfield.web.id aldy

    Solusi selain mengganti password dan username belum ada mas?

  • dJumTKS Weblog

    saya sudah coba ketikan code diatas pada browser dan menganti namasitus.com dengan djumtks.co.cc sobat satrya….yang muncul cuma halaman kosong :-)

  • http://reprogrammingmind.com Devin

    i went to your site to see how the avatars on your comments page looks because i am getting the same plug in that you have….or trying to :-)

    avatars on the comments looks great btw.

  • iznyn

    Yang begitulah kelemahan dari shared CMS. Karena kode sumbernya disebarkan secara bebas maka para orang2 yang tidak bertanggung jawab dengan sangat mudah memperlajarinya. Artinya jika terdapat celah keamanan pada CMS secara otomatis website kita yang menggunakannya juga akan mempunyai celah yang sama.

    Btw, thank’s buat artikelnya. Manfaat banget.

  • kampus blog

    cara ini ternyata membuat tidak bisa mengedit gambar yang di insertkan di postingan mas..
    mgkn karena file jpeg di wp include di restrict

  • Pingback: Mencegah Access File Php Di Wordpress @ Iznyn Blog - The Creative Solution for Web Design | CSS XHTML Wordpress

  • http://psdesain.net/ jaka @psdesain.net

    blank mas gag keluar apa-apa?

    • http://barengiqbal.com nm iqbal

      Sama, sy juga :D

  • http://barengiqbal.com nm iqbal

    Kok sy coba ketik “http://www.namasitusanda.com/wp-includes/wp-db.php” tampilannya cuma halaman kosong ya?!

    Sy jd ga ngerti pembahasan ini hehe,..