Salam. Terima kasih kepada beberapa rakan blogger (pengguna wordpress) yang telah menulis entri sebegini, tentang beberapa masalah yang ada pada wordpress. Jadi diharapkan pengguna wordpress dapat patch blog masing-masing ye.
1. Directoy listing pada wp-includes
Dalam kata mudah, fail index.php berfungsi untuk menyorokkan fail-fail lain dalam sesuatu direktori. Contohnya, jika fail index.php tersebut tiada dalam direktori wp-includes, orang lain dapat melihat fail-fail yang terdapat dalam diretori wp-includes seperti gambar dibawah:
Blog *******.com
2. Fatal error
Error ini mungkin akan timbul selepas anda autoupdate wordpress anda ke versi yang terbaru. Baru-baru ni saya saja-saja test kat blog orang, dan daripada test yang dibuat, bukan satu fail yang akan memaparkan error ni, tapi berbelas-belas fail. Fatal error selalunya akan memaparkan username ftp anda ;D Ni contoh error yang keluar dari satu file:
Cara Patch
Terdapat beberapa cara patch:
1. Tips dari Eizil untuk patch kedua-dua masalah di atas.
- Letak fail index.php dalam /wp-includes/ untuk menghalang directory listing. Bukak satu notepad kosong, save as index.php dan upload ke dalam hosting. Chmod: 644
- Untuk menghalang paparan “fatal error” , gunakan .htaccess untuk menghalang access dari luar ke fail-fail yang terdapat pada direktori /wp-includes/. Sila tambahkan code di bawah di dalam file .htaccess yang terletak di root wordpress (luar direktori /wp-includes/ anda :
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
2. Anda jua boleh ikut tips dari masokis.
- Create satu index.php file dan upload pada direktory /wp-includes/. Chmod fail index.php ke 644.
- Masukkan kod berikut selepas <?php dalam setiap fail yang hendak di patch, leceh sikit sebab kena buat satu-satu:
error_reporting(0);
Rasanya cara bro Eizil lagi mudah. Diharapkan pengguna wordpress semua dapat patch. Kalau tak reti, mungkin boleh mintak tolong rakan-rakan yang lebih pandai. Jangan lupa kongsi entri ni dengan pengguna-pengguna wp yang lain.
Perhatian: Untuk patch masalah directory listing, letak index.php sudah memadai. Tapi belum cukup untuk menghalang paparan fatal error. Dua-dua cara di atas saya dah cuba di beberapa blog (blog orang lain haha) dan berjaya tanpa sebarang masalah (setakat ni la hehe). Kalau ada masalah atau cadangan, sila komen kat bawah.
Servis Sekuriti WordPress
Menariknya, bagi mereka yang sangat mementingkan sekuriti blog/website wordpress, boleh juga cuba servis berbayar dari eizil.com, iaitu Perkhidmatan Sekuriti Wp-Solex. Bagus bro Eizil ni, dulu die pun ada buat perkhidmatan percuma untuk para blogger yang menghadapi masalah kecil berkaitan blog. Sekuriti blog merupakan sebuah pelaburan, jadi tak salah melabur sedikit untuk blog anda hehe. Mesej dari Gaysec.net:
Seperti yang kami ingatkan, jangan la terlalu bermegah-megah dengan tahap keselamatan laman sesawang sendiri. Kerana tidak mungkin ada sistem di dunia ini yang dicipta oleh manusia adalah sempurna dan ramai lagi manusia di dunia ini jauh lagi hebat daripada kita, Allah sahaja yang mampu menjadikan sesuatu benda itu sempurna 🙂
Kujie
dah dibaiki oleh tok guru seperguruan kita..haha
ada orang stress dengan masalah demi masalah, ada orang suka kerana darinya dia belajar satu perkara baru
andyhowtt
ni nak tanya yang index.php tuh just save notepad kosong je kan..
pastu yang code
# Block the include-only files.
nak letak ktne? sebab aku carik .htccess kt root aku takde pon adoyai..aku tak reti sgt bab nie
Affan Ruslan
Kalau takde, create je bro. Bukak notepade, paste code tu. Upload ke hosting (luar wp-includes), rename jadi .htaccess, tukar permission jadi 644
Kedudukan .htaccess setaraf dengan wp-includes, rujuk gambar ni http://sadpanda.us/images/579627-JCK1IDI.jpg
andyhowtt
ok so yang cmod wp-includes tadi tukar lah balik kan
Affan Ruslan
Ye, tukar ke 755 balik
puanbee
tak pandainya , mcm susah je
andyhowtt
thanks rasanya dah ok kot 🙂
Luthfi
tadak mood nak buat semua ni.. nanti wa buat..
bahaya gak menda ni..
Azuan
Emm, adakah sebab benda ni blog aku kene serang malware minggu lepas.. dia ada letak code malware dlm file wp includes yg file js.
syahrilhafiz
aku punya ok kan? an an an 😀
anif
Mungkin ini antara sebab blog Saya masih di blogger 😀 hehe..
Aku Seorang Blogger
aku dah penah buat benda ni…tp lupa plak cam mana nak test dia…hehe
Azah
ada masa nanti ak buat, thanks for the “reminder”, 😀
Azah
ak dh buat cara masokis, n baru je masukkan index file ke dapam folder wp-includes
😀
tehr
aku tak reti benda2 macam ni
mungkin aku kena belajar lain kali
gnesop.com
agaknya bila sop boleh pakai wordpress 🙂
Shahrulsite
thanks for this tuts…kena buat nih
Affan Ruslan
no prob, ni pun kongsi ilmu dari org lain ni.
moga sama2 dapat manfaat ye 🙂
aimannajmy
erkhh serius aku tak paham, pa jadah fungsi wp-includes, tak penah langsung aku kaji..kena baca byk kali, adui lampi sungguh
Affan Ruslan
aku pun taktau funsi wp-includes haha.
apa2pun, harap boleh patch kalau belum patch
syafiq
Haha aku langsung tak tahu apa sebab tak tengok pun blog, sat g nak kene bukak ftp check fail.
Affan Ruslan
hang nye blog takde masalah ni kut. haritu aku dah try, ok je.
tapi kalau problem lain memang aku taktau haha
Hamdi
thanks untuk info security wordpress nih!
akubiomed
Saya terkejut ada beberapa sahabat blogger boleh access directory mereka. Ini bermakna sekuriti mereka lemah bila-bila sahaja boleh akses. Sikap tidak ambil tahu dan tidak kisah akan memerangkap diri.
Terima kasih berkongsi makluma berguna ini. Bertindak sebelum terlambat
Affan Ruslan
Sama2. ye, saya pun dapat tau dari orang lain.
Takpe, benda2 camni kena kongsi ilmu dan sama2 belajar, moga masing2 dapat manfaat
Syazwan
thanks bro 😀
MuJE
sesungguhnya aku sangat malas nak buat cara masokis tu.. kalau satu blog maybe tahap rajin tu tinggi lagi tapi kalau dah beberapa blog memang terus down.. haha
Affan Ruslan
Mula2 aku pentest, ingatkan satu file je. Bila test blog orang, berbelas2 gak, terus jadi malas hehe.
Apa2 pun sebagai alternatif, boleh guna cara bro Eizil
onizuka
Thanks bro cara patch ini lagi senang dan mudah
Affan Ruslan
Thanks. Kalau ada cara lain, mungkin boleh kongsi2 ye, saya masih baru belajar 😀
Izwan
waaa.. baru buat satu… yg letak index.php tak buat lagi.. baru pas habes program last weekend.. thanks for this info… 😉
Fariq
mekaish atas info ni.. nak kena buat ni… tapi harap tak de mslh la lepas buat.. hohoho..
Fariq
ok berjaya dah.. lepas check,, die direct ke error 404 nye page… 😀 thnx again..
Datin Tyka
adeh 1 benda tak faham..
blur..
anybody can help
Affan Ruslan
yes , saya blh tlg.
tlg email ye.
Mister Computer
Patch: 2 vulnerabilities pada WordPress http://twrt.me/fi6hs via @affanruslan
azura
sya baca kat sini pegi lak kat blog kak jie…pegi blog bro azman last patah balik kat sini…last jadik jugak…keterangan dia macam pelik last digabungkan baru faham…thanks
SYʌZWʌN SʌRʌWʌK
Patch: 2 vulnerabilities pada WordPress http://twrt.me/n7z7a via @affanruslan
akmalhilmi
Patch: 2 vulnerabilities pada WordPress http://twrt.me/d7ydo via @affanruslan
fiq ♕
Patch: 2 vulnerabilities pada WordPress http://twrt.me/9pknx via @affanruslan
Affan
Patch: 2 vulnerabilities pada WordPress http://twrt.me/9pknx via @affanruslan
Naqib Mohamad
Patch: 2 vulnerabilities pada WordPress http://twrt.me/g21d9 via @affanruslan
jackie koh
Patch: 2 vulnerabilities pada WordPress http://twrt.me/ib0kp via @affanruslan
MrNamie
Patch: 2 vulnerabilities pada WordPress http://twrt.me/d2g3z via @affanruslan
syahrilhafiz
Patch: 2 vulnerabilities pada WordPress http://twrt.me/m3ea6 via @affanruslan
hafizmd
thanks bro affan berkongsi tips ni.
1. dh buat yg index.php tu, kalau jadi, bila kite taip /wp-includes tu, mmg page kosong jer yg akan keluarkan?
2. yg pasal fatal error tuh pulak, apakah perlu jugak kita buat kalau tiada apa2 masalah waktu kita update wp?
terima kasih bro 😀
Affan Ruslan
salam bro.
1. Ye, nanti page blank je.
2. Tu bukan masalah bila update. Tapi error tu mungkin akan ada LEPAS kita update. Saya dah try test kat blog bro, ada kuar fatal error tu. Jadi harap dapat patch. Tq
Kujie
kalau boleh, page includes tu jgn biar kosong..isilah search form ke
recent post ke, archieves atau tags – mcm eizil buat kt blog kak jie
hafizmd
terima kasih kak jie, tgah cari cara tak nak biar kosong…main2 try jer ni…hehe
thanks kak jie 😀
wandisini
macam mana tak nak biarkan kosong? boleh tunjuk ajar ku..
hafizmd
salam,
ok, yg no 1 dah settle..tp still kosong jer..hehe
no 2, dalam proses, main try n error jer ni..kang nanti bro tolong tgk camne,dah ok belum…thanks yer 😀
p/s – macam mana nak try test nk tgk error tu yer?
Affan Ruslan
Salam.
1. Ye, lepas letak index.php, hafizmohd.com/wp-includes/ akan jadi kosong je
2. Yang satu lg pn rasanya dah. Tadi sy try cek takde kuar error. Dah ok dah tu kot
hafizmd
terima kasih byk2 bro affan…
jasamu dikenang 😀
P/s – terima kasih sbb sudi berkongsi tips…terbaik!
Jai
Owh, blur aku.. Selalu kalau rosak aku minta bantuan pihak histing je.. Nampaknya aku kena belajar sendiri nih..he3
muse
assalam…rasanya blog gua pun ada prob ni nanti nak tryler buat…tq for sharing
Beaty
ala pasal ni beaty x tau lah..hurmm bingung sangat. Beaty sal wp-includes tu..tapi pasal sekuriti beaty x tau pula
madammondoq
i dah try cara eizil tu.. berjaya.. thanks a lot!!
Affan Ruslan
Thanks to bro Eizil! 😀
wazy
boleh dicuba ni
terima kasih bro
Crystal Lynn Fiorito
Bic Coupon + Free Pens Today! http://twrt.me/69iae via @nanddwithnikki
cotalika
wahh mantap sob..
tapi ane dah jarang mane wp nih, ndak ada modal sih.. hehe
reezluv
baru je jumpa entri ini..tengkiu so much2..:D
EARNIC
i try chmod 644 file wp-includes kot FTP tu..then bila try akses domain.com/wp-includes jadi Error 404.. ok tak gitu tuan?
Affan Ruslan
bukan 644 🙂
“Directories should have permissions of 755. NEVER 777
All files should have permissions of 644.”
Affan
@caenz @fzmy patch blog je, tutup wp-includes http://t.co/ZOZj8NDU tutor http://t.co/hzGJFzsF
Aizan Fahri
eit eit.. username ftp tuh kalau tersebar pun bukan a big deal sangat kan kan kan, sbb kita boleh predict. Nama domain contohnya ‘blogakulahweh.net’, most hosting provider dia amik 8 atau enam huruf depan tuuu.
Tapi tapi, nak bruteforce sori la, sebab mostly FTP ada bruteforce protection.
Error tuh pulak, dia timbul dalam dua cara. Pertama, memang tak boleh bukak terus dan ada error sahaja kerana dia menggunakan tag require()
manakala kalau pakai tag include(), error masih ada tapi page masih available.. ^^
M'Rie R'Nie
err yg cara eizil tu kan code dia kena paste b4 # BEGIN WordPress ke ? and lagi 1, cam ner nak check benda2 tu semua?