Tidak seperti biasanya, penyedia hosting blog saya mengirim email pemberitahuan tentang wordpress Dapat kami informasikan bahwa saat ini adalah pengumuman penting bagi seluruh klien yang menggunakan wordpress sebagai CMS Website/blog. Pengumuman ini bersifat urgent untuk seluruh pengguna CMS WordPress dikarenakan terdapat Security Hole pada: WordPress 4.1.2 Beberapa hari yg lalu perusahaan sekuriti Securi memberikan informasi bahwa mereka telah menemukan celah keamanan XSS pada puluhan plugin wordpress populer. Celah keamanan ini disebabkan kesalahan implementasi penggunaan fungsi wordpress add_query_arg() danremove_query_arg() oleh para developer plugin wordpress. Mengapa bisa terjadi kesalahan? Hal ini karena kurangnya penjelasan yang terdapat pada halaman wordpress Codex sehingga developer menganggap fungsi tersebut telah aman memfilter hasil input data dari user. XSS merupakan kependekan yang digunakan untuk istilah cross site scripting, salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Celah keamanan ini pertama ditemukan oleh Joost de Valk (Yoast) yang secara mendetail menjelaskan permasalahan ini. Pada hasil penelusurannya ternyata celah keamanan ini ditemukan tidak hanya pada plugin WordPress Seo miliknya melainkan dari 300 – 400 plugin yang telah di analisa Securi. Mereka menemukan 15 plugin yang kedapatan mempunyai celah keamanan XSS ini. Ratusan wordpress themes juga memiliki celah keamanan XSS , di karenakan struktur plugin dan themes yang mengikuti standart lama versi wordpress 4.1.2 yang sudah di update saat ini. Meskipun anda menggunakan wordpress terbaru, bila anda masih menggunakan plugin dan themes versi lama maka XSS attack akan tetap mengancam website anda. Termasuk themes yang anda dapatkan dari Themeforest atau Codecanyon. Segera kontak developer themes dan plugin tersebut untuk mendapat update plugin terbaru. Berikut ini adalah beberapa plugin tersebut. Jetpack WordPress SEO Google Analytics All In one SEO Gravity Forms Multiple Plugins from Easy Digital Downloads UpdraftPlus WP e-Commerce WPTouch Download Monitor P3 Profiler Give iThemes Exchange Broken-Link-Checker Ninja Forms Aesop Story Engine My Calendar Lakukan Update WordPress Segera Kali ini pertama kalinya kolaborasi terbesar antara pihak external wordpress dan team core sekuriti wordpress, developer plugin untuk menyelesaikan celah keamanan ini. Pendergast mengkonfirmasi bahwa update wordpress telah tersedia. (WordPress 4.2) update tersebut hanya khusus untuk kode yang bermasalah saja hal ini untuk memperkecil kemungkinan adanya kerusakan website. Plugin-plugin diatas tersebut juga sudah tersedia path nya sehingga anda tinggal lakukan saja update melalui panel dashboard wordpress anda. Segera update ya sebelum website anda terkena serangan XSS wordpress ini. Dikutip dari blog.atriumhosting.com dan blog.pusathosting.com berdasarkan sumber dari: https://blog.sucuri.net/2015/04/sec...ity-affecting-multiple-wordpress-plugins.html https://poststatus.com/coordinated-...nerability-in-many-popular-wordpress-plugins/ https://yoast.com/coordinated-security-release/
ternyata wordpress juga rentan terhadap serangan yang memakai wordpres segera lakukan 3 hal berikut: UP grade upgrade UP GRA DE
Alhamdulillah, sudah langsung saya upgrade kalau kena masalah ini bisa-bisa rugi juga. Saya tanya kangandre, kalau cara memanfaatkan bug ini untuk menerobos keamanan website bagaimana? mau uji coba ke situs sendiri
Banyak cara dilakukan hacker untuk menembus wp. Sebenarnya wordpress cukup aman, tapi dari pihak ketiga ini yang sering disusupi.
Waduh lupa.. sudah lama nggak main seperti ini. Dulu sy pakai software semacam "security vulnerability" untuk mengetahui keamanan sebuah website. Jika nemu langsung menginjeksi dengan beberapa kueri untuk masuk sebagai admin. Bisa juga lewat cpanel, ini yang berbahaya terutama shared hosting, bisa kena semua website dalam 1 ip tsb. Dulu, selain kecoa.com ada beberapa situs yang membahas komunitas dunia hacker dan memberikan tutorial cara hack mendetail dan memberikan situs yg bisa dijadikan kelinci percobaan. Sepertinya situs-situs seperti itu masih ada, kok. Dan saya sudah nggak minat sama sekali, nggak ada untungnya.
Katanya ada yang menyelinap masuk melalui ruangan contact form tetapi saya tidak pasti adakah plugin contact form 7 mempunyai "loop hole" ataupun tidak.
Belum lama blog saya error dan tidak bisa diakses, hanya menampilkan pesan warning yang mengarah pada plugin jetpack. Kemudian saya harus menginstall ulang CMS tersebut. Apakah ada hubungannya dengan XSS ya?
Sementara 15 plugin terdapat celah keamanan XSS versi Securi. Mudah-mudahan update WP 4.2 dapat mengatasi.
Bisa jadi. Ada blog rekan yang mengalami sama, blog error di bulan ini, celakanya tidak ada backup, jadi mulai awal lagi. Info ini dibuat 20 april 2015 oleh sumber.
Dan Wordpress SEO by Yoast yang menemukan celah keamanannya. https://yoast.com/coordinated-security-release/