Hati-Hati Memilih Tema WordPress Karena Bisa Terkena Malware
Salah satu penerbit tema WordPress, DynamicPress merilis update baru pada Minggu kemarin untuk memperbaiki celah keamanan yang ditemukan pada tema buatannya yang bernama Neosense. Dimana celah ini memungkinkan siapa saja mengupload file berbahaya ke situs yang menjalankan tema buatannya tersebut. Dan juga malware ini dapat menyebar ke server yang menjadi hostingnya.
Walter Hop, peneliti sistem keamanan dari perusahaan yang berbasis di Belanda, Silk, yang menemukan celah ini pada minggu lalu. Celah berbahaya ini terjadi pada tema WordPress Neosense versi 1.7. Dan pada hari Minggu, 25 September 2016, DynamicPress telah meresponnya dan merilis update Neosense versi 1.8 dengan patch yang telah menutup celah tersebut.
“Akan membutuhkan waktu yang cukup lama untuk pelanggan mengupdate website mereka, tetapi sangat penting untuk melakukan update secepat mungkin. Tanpa update terbaru tema Neosense, pengguna membiarkan website-nya terbuka untuk diserang,” ungkap Hop.
Hop mengatakan celah ini telah diketahui oleh hacker yang secara aktif mencoba untuk mengeksploitasinya. Dia memberikan catatan bahwa DynamicPress juga sudah mengupdate hampir semua tema WordPress buatannya dihari yang sama mereka merilis update tema Neosense terbaru.
DynamicPress sudah mengkonfirmasi masalah keamanan pada tema Neosense. Pembuat template WordPress ini menjual 14 tema yang berbeda melalui website pihak ketiga seperti Envato Market. Perwakilan dari perusahaan DynamicPress mengatakan bahwa celah ini hanya ada pada tema Neosense dan tidak ditemukan pada tema lain buatannya.
Celah keamanan terjadi karena DynamicPress menggunakan open source code “qquploader,” file uploader berbasis Ajax yang dimplementasikan tanpa keamanan. Hacker dapat melakukan serangan pada tema Neosense versi 1.7 yang digunakan pengguna, dengan mengupload script PHP berbahaya yang memiliki ekstensi .php atau .phtml pada directory download. Tema Neosense tidak membutuhkan sama sekali user name dan password untuk mengakses directory upload.
“Hacker dapat dengan mudah mengupload file dan mengeksekusinya untuk mengambil alih kontrol dari website WordPress,” jelas Hop. Dan masalah yang lebih besar akan terjadi jika website yang menggunakan tema Neosense versi 1.7 tidak berada dalam sandboxed atau container, maka hacker dapat memperoleh akses ke server hosting.
“Tanpa membutuhkan otorisasi dari pengguna, siapa saja dapat mengunjungi website dan mengupload file apa saja. Mereka dapat mengupload file backdoor menggunakan Curl dan segera mungkin menjalankannya hanya dengan mengklik URL,” ungkap Hop.
Jika tidak ingin kamu mengalami masalah seperti ini, kamu harus berhati-hati dalam memilih tema template. Disarankan kamu menggunakan tema dan plugin hanya dari direktori resmi WordPress dan sebelum menguploadnya harus discan terlebih dahulu. Untuk tips keamanan WordPress lainnya bisa dilihat disini.
Apabila Anda sedang mencari web hosting yang cepat dan handal untuk Anda gunakan pada website, Anda bisa mengandalkan //www.jakartawebhosting.com sebagai web hosting terpercaya Anda. Karena Jakartawebhosting.com menyediakan web hosting Indonesia, web hosting dengan server yang menggunakan HDD maupun SSD yang sangat terjamin kecepatan dan sumber daya resourcenya. Anda cukup pilih mana yang Anda inginkan.
Selain itu, Anda juga bisa membeli nama domain dengan harga domain murah se Indonesia di Jakarta Web Hosting Indonesia. Bila anda sebuah perusahaan, anda ingin menggunakan layanan Cloud Hosting? Jakartawebhosting.com menyediakan layanan Cloud Hosting, dengan kecepatan dan stabilitas pusat data serta server yang baik, up time server 99,9%, team support yang siap membantu anda 24 jam setiap hari dan biaya langganan yang menarik.
Jakarta Web Hosting Indonesia
Mempercepat WordPress Dengan Mengurangi Request HTTP
Banyak cara yang bisa kita lakukan untuk mempercepat website atau blog WordPress, salah satunya dengan cara mengurangi request HTTP. Ikuti langkah-langkah dibawah ini untuk mempercepat WordPress dengan memperbaiki masalah gravatar dan lainnya.
Gravatar
Jika kamu menggunakan sistem komentar bawaan WordPress, secara default sistem komentar ini akan membuat request HTTP yang terpisah untuk setiap gravatar. Jika website kamu banyak yang memberikan komentar, hasilnya akan membuat banyak request dan redirect yang sangat tidak dibutuhkan seperti yang bisa dilihat pada contoh dibawah.
Ada beberapa cara untuk mengatasi masalah ini.
Cara 1 – Disable User Gravatar
Cara pertama adalah dengan menonaktifkan user gravatar dan menggunakan hanya local avatar. Namun hal ini tidak ideal, meskin dapat mempercepat website WordPress kamu.
Untuk melakukannya, install plugin WordPress yang bernama WP User Avatar“. Setelah itu pada menu settings kli pada “Disable Gravatar and use only local avatars.” Lalu pilih default avatar.
Cara 2 – Gunakan Disqus
Cara kedua yang lebih baik adalah menggunakan sistem komentar Disqus yang menggunakan lazy load, dimana dengan lazy load hanya men-load komentar yang ada di tampilan layar, jika pengguna men-scrol kebawah baru akan terbuka komentar berikutnya. Hal ini akan mengurangi jumlah request HTTP.
2. Menonaktifkan Emoji
Dengan dirilisnya WordPress 4.2 hadir dengan fitur tambahan dukungan Emoji. Sayanganya hal ini termasuk file javascript tambahan wp-emoji-release.min.js?ver=4.3.1 pada header. Hal ini akan membuat tambahakn request HTTP yang tidak dibutuhkan, terutama jika kamu bahkan tidak menggunakannya.
Untuk menonaktifkan Emoji bisa dengan beberapa langkah dibawah.
Cara 1 – Plugin WordPress
Untuk menonaktifkan Emoji bisa menggunakan plugin yang bernama Disable Emoji“. Plugin ini akan menonaktifkan fungsi emoji.
Cara 2 – Fungsi WordPress
Jika kamu tidak mau menggunakan plugin, ada alternatif dengan mengedit file functions.php. Tambahkan kode dibawah ini.
/**
* Disable the emoji's
*/
function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
}
add_action( 'init', 'disable_emojis' );
/**
* Filter function used to remove the tinymce emoji plugin.
*
* @param array $plugins
* @return array Difference betwen the two arrays
*/
function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( 'wpemoji' ) );
} else {
return array();
}
}
3. Menonaktifkan Fitur Embeds
Sejak WordPress 4.4 ada script baru yang di-load wp-embed.min.js, dimana script ini memungkinkan kita secara mudah untuk meng-emdeds video, gambar, tweet dan lainnya. WordPress secara otomatis akan mengubah URL video YouTube menjadi YouTube embed dan menampilkan live preview pada visual editor.
Meski banyak pengguna WordPress yang menggunakan fitur ini, ada banyak juga pengguna yang tidak menggunakan atau tidak membutuhkan fitur ini. Jika kamu termasuk yang tidak menggunakannya, kamu bisa menonaktifkan embed untuk mengurang request HTTP.
Cara 1 – Plugin WordPress
Cara yang paling mudah adalah dengan menggunakan plugin yang bernama “Disable embeds.” Plugin ini memiliki fitur:
– Mencegah embed ke website kita oleh pengguna lain.
– Mencegah Meng-embed website berbahaya.
– Menonaktifkan semua JavaScript yang berkaitan dengan fitur ini.
Cara 2 Fungsi WordPress
Caranya dengan mengedit file funtions.php.
// Remove WP embed script
function speed_stop_loading_wp_embed() {
if (!is_admin()) {
wp_deregister_script('wp-embed');
}
}
add_action('init', 'speed_stop_loading_wp_embed');
Apabila Anda sedang mencari web hosting yang cepat dan handal untuk Anda gunakan pada website, Anda bisa mengandalkan //www.jakartawebhosting.com sebagai web hosting terpercaya Anda. Karena Jakartawebhosting.com menyediakan web hosting Indonesia, web hosting dengan server yang menggunakan HDD maupun SSD yang sangat terjamin kecepatan dan sumber daya resourcenya. Anda cukup pilih mana yang Anda inginkan.
Selain itu, Anda juga bisa membeli nama domain dengan harga domain murah se Indonesia di Jakarta Web Hosting Indonesia. Bila anda sebuah perusahaan, anda ingin menggunakan layanan Cloud Hosting? Jakartawebhosting.com menyediakan layanan Cloud Hosting, dengan kecepatan dan stabilitas pusat data serta server yang baik, up time server 99,9%, team support yang siap membantu anda 24 jam setiap hari dan biaya langganan yang menarik.
.
WordPress 4.7.5 Hadir Dengan Update Keamanan
Pagi ini ketika membuka dashboard WordPress saya ada pemberitahuan mengenai update baru WordPress 4.7.5. Penasaran fitur apa saja yang dibawa oleh update baru ini, saya mengunjungi halaman resmi WordPress.org.
Menurut halaman WordPress.org, update WordPress 4.7.5 merupakan security release yang fokus memperbaiki celah keamanan pada versi sebelumnya dan WordPress menyarankan penggunanya untuk segara melakukan update. Jika kamu sudah mengaktifkan fitur update otomatis, maka seharusnya versi WordPress kamu sudah yang terbaru. Namun tidak ada salahnya kamu untuk mengecek apakah sudah menggunakan versi 4.7.5 yang paling baru.
WordPress 4.7.5 memperbaiki masalah keamanan yang berpengaruh pada WordPress 4.7.4 serta versi sebelumnya. Total ada 6 masalah keamanan yang diperbaiki:
- Insufficient redirect validation pada HTTP class. Dilaporkan oleh Ronni Skansing.
- Penanganan post meta data value yang tidak tepat pada XML-RPC API. Dilaporkan oleh Sam Thomas.
- Kurangnya kemampuan memeriksa post meta data pada XML-RPC API. Dilaporkan oleh Ben Bidner dari WordPress Security Team.
- Celah Cross Site Request Forgery (CRSF) ditemukan pada filesystem credentials dialog. Dilaporkan oleh Yorick Koster.
- Celah cross-site scripting (XSS) ditemukan ketika mencoba meng-upload file berukuran besar. Dilaporkan oleh Ronni Skansing.
- Celah cross-site scripting (XSS) ditemukan pada yang terkait dengan Customizer. Dilaporkan oleh Weston Ruter dari WordPress Security Team.
Selain masalah keamanan diatas, WordPress 4.7.5 juga membawa perbaikan pemeliharaan untuk rilis 4.7. Untuk informasi lebih lanjut mengenai rilis ini, kamu bisa melihatnya disini.
Download WordPress 4.7.5 atau update langsung dari Dashboard -> Updates dan tinggal pilih klik Update Now. Bagi yang mengaktifkan update otomatis seharusnya sudah mulai meng-update versi WordPress terbaru ini.
Apabila Anda sedang mencari web hosting yang cepat dan handal untuk Anda gunakan pada website, Anda bisa mengandalkan //www.jakartawebhosting.com sebagai web hosting terpercaya Anda. Karena Jakartawebhosting.com menyediakan web hosting Indonesia, web hosting dengan server yang menggunakan HDD maupun SSD yang sangat terjamin kecepatan dan sumber daya resourcenya. Anda cukup pilih mana yang Anda inginkan.
Selain itu, Anda juga bisa membeli nama domain dengan harga domain murah se Indonesia di Jakarta Web Hosting Indonesia. Bila anda sebuah perusahaan, anda ingin menggunakan layanan Cloud Hosting? Jakartawebhosting.com menyediakan layanan Cloud Hosting, dengan kecepatan dan stabilitas pusat data serta server yang baik, up time server 99,9%, team support yang siap membantu anda 24 jam setiap hari dan biaya langganan yang menarik.
.
Cara Menambah Hreflang Tag di WordPress
Jika kamu ingin mempublikasikan konten dalam beberapa bahasa atau untuk wilayah yang berbeda, maka Hreflang Tag dapat membantu untuk meningkatkan SEO untuk bahasa dan wilayah tersebut. Pada artike kali ini, saya akan menunjukan cara untuk menambahkan Hreflang Tag tanpa perlu menulis kode sendiri.
Apa Itu Hreflang Tag?
Hreflang Tag memungkinkan kita untuk memberitahu mesin pencari halaman mana yang harus ditampilkan untuk bahasa dan wilayah tertentu. Kita juga bisa menggunakannya untuk menentukan variasi dari konten yang sama dalam bahasa yang berbeda.
Contoh implementasi Hreflang Tag pada HTML:
1 <link rel="alternate" href="example.com" hreflang="en-us" /> 2 <link rel="alternate" href="example.com/fr/" hreflang="fr-fr" /> 3 <link rel="alternate" href="example.com/pt/" hreflang="pt-pt" />
Hreflang merupakan kombinasi dari kode bahasa dan kode region. Sebagai contoh, en-us untuk Bahasa Inggris dan di Amerika Serikat, fr-fr untuk bahasa Perancis di Perancis, dan seterusnya.
WordPress tersedia dalam lebih dari 60 bahasa. Jika kamu ingin mengimplementasikannya, kamu bisa mengikuti caranya sperti dibawah.
Menambahkan Hreflang Tag di WordPress Dengan Plugin Multilingual
Cara yang paling mudah untuk membuat website WordPress multi bahasa adalah dengan menggunakan plugin multilingual. Dengan plugin ini memungkinkan kita secara mudah untuk membuat dan mengatur konten dalam beberapa bahasa yang masih menggunakan software WordPress yang sama.
Plugin ini akan secara otomatis yang mengatur masalah teknisnya seperti Hreflang Tag, jadi kita dapat fokus untuk membuat konten.
Plugin multilingual yang saya rekomendasikan adalah Polylang. Plugin ini gratis, tetapi memiliki fitur yang sangat bagus dan memiliki tampilan yang mudah digunakan.
Download dan aktifkan plugin Polylang. Setelah selesai, sekarang akan ada menu baru yang bernama Languanges. Klik menu tersebut, dan sekarang tambahkan bahasa Indonesia terlebih dahulu, lalu selanjutnya tambahkan bahasa Inggris atau bahasa lain yang kamu ingin.
Sekarang setiap kamu membuat atau men-edit post atau page akan ada pilihan baru Languanges disebelah kanan. Sekarang kamu bisa membuat artikel dalam bahasa Indonesia dan juga membuat terjemahannya dalam bahasa yang sudah dipilih. Untuk terjemahannya harus kamu buat manual, tidak akan otomatis diterjemahkan.
Sekarang sesudah membuat post atau page dalam beberapa bahasa, kamu bisa mengunjunginya di browser window baru. Lalu klik kanan dan pilih ‘View Page Source’ dan cari apa sudah ada Hreflang tag, bisa menggunakan CTRL+F.
Apabila Anda sedang mencari web hosting yang cepat dan handal untuk Anda gunakan pada website, Anda bisa mengandalkan https://www.jakartawebhosting.com sebagai web hosting terpercaya Anda. Karena Jakartawebhosting.com menyediakan web hosting Indonesia, web hosting dengan server yang menggunakan HDD maupun SSD yang sangat terjamin kecepatan dan sumber daya resourcenya. Anda cukup pilih mana yang Anda inginkan.
Selain itu, Anda juga bisa membeli nama domain dengan harga domain murah se Indonesia di Jakarta Web Hosting Indonesia. Bila anda sebuah perusahaan, anda ingin menggunakan layanan Cloud Hosting? Jakartawebhosting.com menyediakan layanan Cloud Hosting, dengan kecepatan dan stabilitas pusat data serta server yang baik, up time server 99,9%, team support yang siap membantu anda 24 jam setiap hari dan biaya langganan yang menarik.
.
Menemukan Celah Keamanan WordPress
Salah satu cara terbaik untuk menjaga keamanan WordPress adalah dengan secara rutin melakukan pengecekan terhadap potensi kode-kode jahat yang terpasang pada situs. Ketika kamu menemukannya, kamu harus segera mengambil tindakan sebelum seseorang mengeksploitasinya dan masuk ke panel admin situs WordPress kamu, yang tentunya sangat berbahaya.
Sudah menjadi rahasia umum bahwa hacker lebih memilih target situs yang menggunakan WordPress, karena CMS ini merupakan yang paling banyak digunakan di seluruh dunia. Ada banyak cara untuk membuat instalasi WordPress lebih aman. Namun pada kenyataannya banyak situs yang tidak mengikutinya, hal ini membuat WordPress menjadi target yang mudah bagi para hacker.
Kali ini kami akan membahas mengenai cara untuk menemukan celah keamanan WordPress.
Menemukan celah keamanan WordPress sebelum memasang tema
Jika kamu mencari tema gratis untuk situs WordPress, sangat direkomendasikan atau bahkan harus hanya mendownloadnya dari direktori resmi WordPress. Karena WordPress menjamin keamanan semua tema yang ada pada direktori resminya.
Namun jika masih ngeyel untuk mendownload tema selain dari direktori resmi, kamu harus menanggung sendiri segala resikonya. Atau untuk memastikannya benar-benar aman, kamu bisa melakukan pengecekan terlebih dahulu.
Banyak tool untuk mengecek malware secara online salah satunya adalah VirusTotal.com. Kamu bisa menggunakannya secara gratis, dan mengecek file termasuk tema WordPress dengan ukuran maksimal 128MB. Jika terdeteksi aman kamu bisa memasang tema yang kamu inginkan itu. Jika terdeteksi ada kode jahat, kamu bisa memperbaikinya jika mengerti. Atau yang paling baik adalah tidak memasangnya sama sekali dan mencari tema dari sumber lain.
Menemukan celah keamanan WordPress setelah memasang tema
Mungkin sebelum membaca artikel ini kamu sudah memasang beberapa tema gratis yang bukan berasal dari direktori resmi. Jika itu adalah kasusnya, saat ini juga kamu harus melakukan pengecekan. Ada beberapa cara.
– Theme Authenticity Check
Pasang plugin Theme Authencitiy Check. Merupakan plugin gratis untuk men-scan file tema. Jika terdeteksi kode jahat pada tema, plugin ini akan memberitahukan patch-nya, dan menampilkan kode jahat, yang dapat membantu kamu mengambil langkap selanjutnya.
– Exploit Scanner
Exploit Scanner juga merupakan plugin gratis, namun menawarkan fitur yang lebih banyak dari TAC. Yang paling bagus dari plugin ini adalah dapat mengecek database instalasi WordPress, selain tentunya file tema.
Yang perlu diingat plugin ini hanya menampilkan celah keamanan dan terserah kamu untuk menentukan langkah selanjutnya.
Untuk tips keamanan WordPress lainnya kamu bisa membacanya disini.
Jakartawebhosting.com menyediakan layanan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.