1 Juta Lebih Website WordPress Rentan Karena Plugin
Plugin gallery WordPress yang sangat terkenal, yang telah dipasang di lebih dari 1 juta website WordPress memiliki celah yang sangat berbahaya. Namun developer plugin tersebut telah merilis patch untuk menutup celah, yang memungkinkan untuk mengekploitasi database website.
Plugin merupakan backbone dari sistem WordPress yang dapat membuat tampilan website menjadi lebih menarik dan interaktif, dan juga bisa menambahkan berbagai fitur-fitur yang tidak ada pada sistem WordPress. Namun kamu harus berhati-hati dalam memilih plugin karena banyak kejadian plugin malah membawa celah pada keamanan website WordPress kamu.
Peneliti dari perusahaan keamanan siber Sucuri menginformasikan lebih dari satu juta website WordPress rentan terhadap serangan yang sangat serius karena satu plugin yang bernama WP-Slimstat.
Dalam rilis persnya Sucuri mengatakan “Selama audit rutin untuk Web aplication firewall (WAF), kami menemukan bug keamanan yang dapat membuat hacker, dengan menembus kelemahan plugin, melakukan serangan SQL Injection terhadap website target.”
Sucuri juga menjelaskan bahwa hacker yang berhasil mengeksploitasi celah ini, memungkinkan mereka untuk mengakses ataupun mendownload informasi sensitif dari website WordPress seperti password yang terenkripsi, secret key WordPress dan lainnya.
Dengan informasi ini hacker dapat menggunakan untuk meng-hijack keseluruhan website WordPress.
Dan Sucuri mengakhirinya dengan pertanyaan yang dapat membuat pemilik website WordPres stress, “Hal ini merupakan celah yang sangat berbahaya, kamu harus mengupdate semua website WordPress yang menggunakan plugin ini (WP-Slimstat) sesegera mungkin.”
Sucuri mengestimasikan ada lebih dari satu juta website WordPress yang rentan dengan resiko ini karena plugin WP-Slimstat. Angka ini sangat besar. Di internet, ada hampir dari 75 website yang menggunakan WordPress.
Saran saya tidak hanya rajin untuk mengupdate sistem WordPress, kamu juga harus rajin untuk mengupdate semua plugin dan tema yang kamu gunakan.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
Blok Alamat IP Cegah Akses WordPress Admin
Jika kamu merupakan pengguna atau web master website WordPress, hal penting yang selalu kamu harus utamakan adalah masalah keamanan. WordPress merupakan content management system atau CMS yang paling banyak digunakan di internet, sehingga tidaklah aneh platform ini juga menjadi target serangan popular.
Salah satu langkah yang bisa kita lakukan untuk mengamankan website WordPress kita adalah dengan blok alamat IP agar tidak bisa mengakses WordPress admin, wp-admin dan wp-login.php. Kita bisa blok alamat IP semuanya kecuali alamat IP kita sendiri. Pada tutorialnya kami membahas untuk blok alamat IP di web server yang menggunakan Nginx.
Syarat-syarat Tutorial Ini:
– Web server kamu menggunakan Nginx, bagi yang menggunakan Apache tidak bisa menggunakan cara ini.
– WordPress kini sudah bisa bekerja di Nginx,
Blok Alamat IP Cegah Akses WordPress Admin di Web Server Nginx
Dengan men-setting perlindungan berbasis IP ini, website WordPress kamu tidak akan lagi rentan akan serangan seperti brute force. Serangan brute force merupakan salah satu metode serangan yang paling banya digunakan untuk menyerang CMS di internet. Blok alamat IP akan membantu kamu untuk mencegah hacker mencoba memasuki area WordPress admin, karena memang mereka tidak bisa mengaksesnya karena alamat IP-nya tidak ada di dalam daftar whitelist alamat IP.
Nginx: Blok Akses ke Area WordPress Admin
Yang pertama harus dilakukan adalah dengan mengedit file Nginx vhost, atau file nginx.conf, hal ini tergantung bagaimana cara kamu mengkonfigurasi Nginx service.
nano -w /etc/nginx/nginx.conf
Tambahkan kode dibawah ini untuk blok alamat IP semuanya, dan whitelist alamat IP kamu:
location ~ ^/(wp-admin|wp-login\.php) {
allow 111.111.111.111;
deny all;
}
Jika kamu meng-install WordPress di dalam folder misalnya sub folder /blog/, maka ketik kode seperti dibawah ini:
location ~ ^/blog/(wp-admin|wp-login\.php) {
allow 111.111.111.111;
deny all;
}
Ganti alamat IP 111.111.111.111 dengan alamat IP kamu.
Test Login ke Area WordPress Admin
Buka browser dan coba akses ke http://www.situskamu.com/wp-admin atau http://www.situskamu.com/wp-login.php. Jika kamu mengakses dari alamat IP yang dibolehkan maka harusnya bisa mengakses halaman tersebut, dan coba lagi dari ISP yang berbeda apakah bisa mengakses halaman WordPress admin tersebut?
Kesimpulan
Melindungi area WordPress admin wp-admin dan wp-login.php sangat mudah jika kamu menggunakan Nginx. Yang kamu butuhkan adalah ISP dengan alamat IP statik, atau bisa menggunakan koneksi VPN untuk mempunya alamat IP statik.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
Hacker Incar Website WordPress Yang Tidak Update
Hacker tidak membutuhkan waktu lama bagi mereka yang lambat untuk mengupdate website WordPress-nya ke versi WordPress terbaru. Seperti yang kita tahu bahwa update terbaru adalah WordPress 4.7.2.
Update WordPress terbaru tersebut dirilis ke publik pada tanggal 26 Januari 2017. Dimana update terbaru ini memperbaiki isu termasuk cross-site scripting dan celah SQL inejction, serta masalah pada taxonomy terms.
Peneliti keamanan dari Sucuri, yang secara pribadi mengungkapkan celah pada WordPress, mengatakan bahwa ada sekitar empat campaign yang berbeda yang menargetkan website WordPress yang masih belum diupdate. Padahal WordPress telah menambahkan fitur untuk update otomatis, namun banyak pengguna yang memilih untuk menon-aktifkan fitur ini dan menguji update sebelum mereka menggunakannya pada website yang penting.
Keempat campaign ini melakukan scan massal di internet mencari website WordPress yang masih menjalankan WordPress versi yang rentan dan mencoba untuk mengeksploitasi celah yang ada. Sebagai besar serangan dimual dalam waktu dua hari dari pengungkapan publik dan mengarahkan ke website defacements.
Campaign terbesar telah menyerang lebih dari 66.000 website WordPress, dan angka tersebut akan terus bertambah seiring dengan Google membuat index baru dari halaman website. Sucuri mengidentifikasi kelompok ini sebagai w4l3XzY3 dan memiliki empat alamat IP yang digunakan dalam defacements: 176.9.36.102, 185.116.213.71, 134.213.54.163 dam 2a00.1a48.7808.104.9b57.dda6.eb3c.61e1.
Tiga campaign lainnya telah menyerang sekitar 500 website WordPress untuk setiap masing-masing campaign. Sucuri mengidentifikasi ketiganya sebagai Cyb3r-Shia, By+NeT.Defacer, dan By+Hawleri_hacker.
Celah memang terdengar sepele, namun dapat dieksploitasi dan hacker dapat mengeksploitasinya celah tersebut untuk memodifikasi konten pada halaman website, atau untuk membuat serta menghapus posting.
Website administrator sangat disarankan untuk segera meng-update versi WordPress yang digunakannya menjadi versi yang paling baru. Atau berisiko merusak reputasi website WordPress mereka di mesin pencari seperti Google.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.