Mencari lubang bug wordpress 3.3.1 untuk di hack sangat mudah untuk disusupi para hacker, contoh yang sangat keliatan ada di file
domainxxx.com/wp-admin/admin-functions.php
domainxxx.com/wp-admin/menu.php
domainxxx.com/wp-admin/menu-header.php
domainxxx.com/wp-admin/options-head.php
dan masih banyak lagi yang lainya, sebenarnya wordpress sangatlah ampuh untuk masalah seperti ini tapi entah mengapa untuk versi kali ini banyak bug atau lubang-lubang yang mudah disusupi hacker. selain bug wordpress yang bisa di susupi hacker ada juga plugin-plugin yang bisa disusupi para hacker jadi sebelum install plugin silahkan di cari kelemahan dan kekurangan di google mungkin saja sudah ada yang menulis tentang plugin tersebut.
salah satu contoh website wordpress teman yang kena hack masal seperti gambar berikut
kalau menurut pihak hosting katanya memang ada sedikit kesalahan dan sekarang sudah di delete beberapa tapi menurut saya pribadi karena bisa lewat bug-bug wordpress yang di atas. gambar di atas bisa di cek di domain kalian domainxxx.com/root.htm
Menutupi Bug WordPress Lubang Untuk di Hack
salah satu cara untuk menanggulanginya silahkan buka cpanel website dan buat file di folder wp-admin dengan nama .htaccess dan isikan dengan scrip berikut
RewriteEngine On
RewriteBase /
RewriteRule (admin-functions|menu|menu-header|options-head|upgrade-functions)\.php$ http://ahmadfaza.com/ [L]
order allow,deny
deny from all
satisfy all
maksud dari srcip di atas adalah mengredirek file2nya di anggap bug ke domain kita, silahkan ganti ahmadfaza.com dengan nama website masing-masing.
setelah memberi file tersebut ada beberapa file yang harus dihapus yaitu
install.php ==> di wp-admin
readme.php ==> di public_html
dan jangan gunakan plugin-plugin yang sudah positif mudah di hack
WordPress Ajax Gallery 3.0 (sudah dihapus dari database WordPress.org)
WordPress Global Content Blocks 1.2 (sudah dihapus dari database WordPress.org)
WordPress WordPress Allow PHP in Posts and Pages plugin 2.0.0.RC1
WordPress Menu Creator 1.1.7
WordPress WP DS FAQ plugin (sudah dihapus dari database WordPress.org)
WordPress WP Forum (sudah dihapus)
WordPress File Groups (sudah dihapus)
WordPress Contus HD FLV Player (sudah dihapus)
WordPress Easy Contact Form Lite (sudah dihapus)
WordPress IP-Logger Plugin (sudah dihapus)
WordPress MM Duplicate Plugin (sudah dihapus)
WordPress jetpack plugin
WordPress E-commerce 3.8.6
untuk menangani agar tidak mudah di injecktion silahkan di install plugin WordPress FireWall 2 dan secure-wordpress untuk menutupi lagi silahkan tunggu postingan selanjutnya.
Sumber : http://ahmadfaza.com