Amankan Blog WordPress Kita dari Hacker Abal Abal

Wordpress Zeroday Vulnerability
4

Pagi ini ketika saya sedang blogwalking, saya menemukan hal yang sangat mengganggu. Saya mengunjungi salah satu blog dan secara tidak sengaja saya menemukan bahwa blog tersebut telah disusupi oleh malware berupa exploit. Saya tidak akan menyebutkan blog mana dan bagaimana saya menemukan exploit tersebut, karena sampai siang ini (27 Juli 2016) program tersebut masih aktif.

Program ini bisa mengakses file yang ada di server korban. Saya sendiri leluasa untuk membuka folder dan file. Selain itu, saya juga bisa membuat user baru untuk masuk ke dalam admin melalui program ini. Beberapa menu yang saya temui di sana pun lumayan kejam, seperti Mass Deface dan Mass Delete. Beberapa orang mungkin sudah tidak asing dengan tampilan seperti ini.

Segera, saya menghubungi sang owner untuk memberitahu bahwa blognya sedang diganggu oleh orang yang tidak bertanggungjawab. Email saya direspon cepat dan segera dilaporkan ke pihak webhosting untuk meminta bantuan. Ternyata blognya sudah pernah di-hack sebelumnya dan somehow masih ada jejak di sana. Semoga cepat teratasi ya!

Amankan Blog WordPress
Amankan Blog WordPress dari exploit

Hacker abal-abal macam ini memang kerap mengincar situs WordPress yang minim security. Memang menurut beberapa situs, WordPress cenderung memiliki celah keamanan yang bisa dimanfaatkan oleh orang-orang tidak bertanggungjawab dengan tujuan tidak baik.

Di blog yang saya kunjungi, hacker abal-abal tersebut menggunakan program exploit yang didapat dari salah satu situs di Indonesia. Kesimpulan saya, seseorang sedang melakukan testing program tersebut dan menerapkan “ilmu” yang baru dia dapat. Intinya, this person is hacker wannabe.

Karena seorang hacker sejati tidak merusak system, tapi justru membangun system. Mereka menguji, dan memperbaiki. Seperti beberapa waktu lalu, seorang hacker bernama Herdian Nugraha menemukan celah keamanan di 3 situs jual beli online di Indonesia (Tokopedia, Bukalapak dan Sribu.com) dan melaporkan celah tersebut ke pengelola situs (sumber: kompas.com) yang segera disambut dengan respon positif.

Pihak pengelola situs segera menutup celah keamanan tersebut dan memberikan reward kepada Herdian Nugraha atas informasi yang diberikan. Ini lah hacker sebenarnya. Seseorang yang cuma baru membaca dan menggunakan program orang lain dengan tujuan merusak bukanlah hacker! Bahkan belum pantas disebut dengan Cracker!

Anyway, hal seperti ini memang sangat mengganggu. Saya sendiri pernah mengalami waktu itu sekitar tahun 2013 ketika seseorang menyerang salah satu blog saya. Sejak saat itulah saya meningkatkan keamanan  untuk setiap blog WordPress yang saya miliki. Hampir saja waktu itu saya kehilangan blog sekaligus isi-isinya karena ulah orang tidak bertanggungjawab.

Read More Post
1 of 30

Lalu, bagaimana mengamankan situs berbasis WordPress?

Pengalaman seperti tadi pagi seperti mengingatkan saya untuk selalu melakukan hal-hal preventive sebelum hal yang buruk terjadi. Mengutip dari wpsites.net, ada 3 hal utama yang menyebabkan sebuah blog berbasis WordPress rentan terhadap serangan. 3 hal tersebut adalah sebagai berikut.

Update Plugin, Themes dan WordPress Core
Update Plugin, Themes dan WordPress Core
  1. Plugin, Theme dan WordPress engine yang tidak update. Selalu update ketiga elemen tersebut ketika sudah tersedia. Di dalam update tersebut, biasanya dimasukkan juga patch dan security update yang telah diketahui sehingga meminimalisir serangan.
  2. User dan password yang lemah. Jangan sekali-kali menggunakan user “admin” sebagai nama user. Di WordPress yang terbaru, mereka sudah mengupdate option ini. Solusi lain juga bisa menginstall plugin keamanan, seperti Limit Login Attemps yang akan me-lock ip ketika salah memasukkan username dan password. Kebanyakan WP installer di cPanel sudah menggunakan option ini ketika menginstall WordPress untuk pertama kali
  3. Database injection. Seperti yang kita ketahui, WordPress menggunakan MySQL database sebagai fondasinya. Jika seorang hacker mampu masuk ke dalam database, dia bisa melakukan apa saja yang dia mau.

Lakukan tindakan preventive

Selain 3 hal tersebut di atas, ada baiknya kita amankan blog WordPress kita dengan melakukan tindakan preventive untuk menghindari hal-hal yang tidak diinginkan. Ada satu hal preventive yang selalu saya lakukan sejak menerima serangan di tahun 2013 lalu, selain setup-setup kecil yang membantu mengamankan blog saya.

Rajin melakukan backup! Jangan anggap remeh backup. Sebelum saya mengalami serangan, saya tidak pernah menyentuh yang namanya backup. Setelah mengalami serangan, saya sadar bahwa saya bisa kehilangan blog saya kapan saja. Tapi tidak ketika saya mempunyai backup!

Saya selalu melakukan full backup paling tidak 1 bulan sekali dan database backup setiap 1 minggu sekali dan saya download untuk disimpan di local computer. Sehingga misalkan blog saya kena hack, saya masih mempunyai backup yang masih bisa diandalkan.

Bagaimana dengan kamu? Apakah blog berbasis WordPress kamu sudah aman? Jika belum, segera amankan blog WordPress kamu, sebelum terlambat!

- Matched Content -

You might also like
4 Comments
  1. Irfan says

    eemm.. saya belum coba cari di google sih bagaimana cara cek apakah blog WP sedang di senggol atau tidak. Tapi saya pribadi sudah coba mengamankan blog dengan SSL, iThemes security dan CloudFlare, sudah cukup amankah itu?

    1. Akut Wibowo says

      Sudah aman mas. Blog saya bahkan ngga pake iThemes security, karena terlalu berat dan makan memory.
      Pakai dan ngga pakai plugin itu sama aja.
      Udah pakai jetpack?

  2. sarah eyie says

    itu untuk WP, bagaimana untuk blogspot ? apa bisa di hack juga? mengingat amat sangat minim pengetahuan saya tentang keamanan data data di blog.

    1. Akut Wibowo says

      Kalo blogspot saya kurang tahu karena tidak pernah pakai.
      Tapi menurut saya, data di sana akan aman karena menggunakan server Google?

      Artikel ini pun lebih banyak untuk WP self-hosted.

Mari Berdiskusi

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More