Baru-baru ini ada satu blog sukanmalaya.my (bukan blog ini) digodam.ย Nak taknak kena minta tolong Eizil cek apa-apa yang patut. Mintak tolong cari punca blog tersebut dihack. Agak leceh bila blog dihack, tapi macam seronok sebab macam-macam perkara baru boleh belajar ๐ Bila cuba cari di Google mengenai topik berkaitan, ada. Jadi, mesti ianya berpunca daripada theme atau plugin yang digunakan. Kalau salah guna theme, atau salah guna plugin, memang keselamatan blog jadi taruhan.
Lepas bro Eizil cek, sah! Memang betul tekaan saya, ianya berpunca daripada satu fail pada tema yang digunakan (exploit pada fail timthumb). Malangnya, ia bukan daripada tema (theme) yang digunakan di blog sukanmalaya.my, sebaliknya blog lain dalam hosting yang sama ๐
- Blog digodam akibat menggunakan plugin yang mempunyai ancaman keselamatan (exploit)
- Patch 2 Vulnerabilities Pada WordPressย
2 Pengajaran Yang Dapat Diambil
1. Jangan letak banyak blog dalam satu shared hosting
Ya, kalau terlalu banyak blog dalam satu hosting, risiko nak kena hack lagi tinggi. Kalau nak letak banyak blog dalam hosting yang sama:
- Pastikan pemilik blog lain tu selalu ambil berat mengenai keselamatan blog sendiri. Dalam kes ni, pemilik blog lain tak nak update theme, tak pasal-pasal pulak blog lain yang kena hack. Kan naya tu.
- Kalau nak letak lebih daripada satu blog kepunyaan sendiri dalam hosting yang sama rasanya takde masalah sangat, sebab kita akan sentiasa monitor blog sendiri. Mungkin risiko nak digodam tu rendah sikit.
Ni adalah keputusan lepas scan guna plugin TimThumb Vulnerability Scanner. Sampai 4 themes yang vulnerable. Y U NO Update your theme?
2. Buang theme yang tidak digunakan
Berdasarkan pengalaman saya lepas guna (cuba) pelbagai theme (percuma dan berbayar), bukan semua theme yang mempunyai notifikasi jika terdapat kemaskini baru pada theme tersebut. Ada di antaranya yang tidak diberikan sokongan (support). Jadi, misalnya ada exploit baru yang ditemui, memang pengguna akan bermasalah. Kena patch/fix sendiri lah jawabnya. Bukan semua orang pandai, ye tak?
Jangan terkejut ya, bukan tema percuma je yang mempunyai masalah tidak mempunyai fungsi notifikasi di dashboard apabila terdapat kemaskini terbaru untuk tema tersebut. Ada juga tema berbayar yang tiada notifikasi. Jadi bila ada update terbaru, pengguna tak dapat notifikasi. Kena pandai-pandai sendiri cek kat laman web pembangun theme.
azrijohan
banyak blog dalam satu hosting, fuuuu wootmedia ;D
Affan Ruslan
Tak, kitorang dah asingkan. Satu blog takleh sama dgn blog yg lain, demi keselamatan ๐
Izwan
baru tau boleh masuk dari blog2 lain dalam 1 hosting.. kira pakej 5 add on domain misalnya tu pn risiko la kena hack.. kalau guna childtheme, bila update theme tak berubah pape kan? aku tak update2 lagi 20-11 tu..
Affan Ruslan
Child theme rasanya secure sikit, sbb bukan semua fungsi ada dlm child theme. Child theme just inherit fungsi2 penting dari parent theme, sbb tu child theme selalunya takde update ๐
syahrilhafiz
setuju!! kalau tak jadi macam theme lama aku TwentyTen, dah edit semua dalam parent sampai2 update, aku replace balik..tup2 esok blank homapage..haha
anif
Wah susah juga macam ni..
Affan Ruslan
Hehe tapi benda2 camni cam seronok, byk benda baru belajar.
Tapi bro guna blogspot, takyah risau sgt ๐
zulkbo
salam..
macam-macam hal juga ye..
kalau di hack memang
pengalaman menakutkan
saya belum pernah kena
cuba membayangkan..
Firdaus
humm kadang2 bagus juga hack ni sebab dapat belajar kelemahan tapi agak sakit dan susah jugak la
Affan Ruslan
Leceh kalau blog byk dalam satu hosting. Nak kena cari mana punca ๐
syafiq_lomotech
macam cakap dengan diri sendiri pulak :p
ps. baru perasan. dah cantik logo atas tu. (nampak bena lama tak masuk)
Affan Ruslan
Haha.
Logo tu lama dah aku tukar, lepas ko suroh dulu ๐
Tuan Tanah
susah juga, kalau disebabkan oleh lain. Mungkin mereka yang berhajat untuk menjadi reseller kena tahu perkara sebegini…:)
Affan Ruslan
Reseller lain sikir bro, acc seperate. So cpanel boleh separate gak rasanya ๐
Aizan Fahri
abam apang abam apang… jaga2 maa… bila2 masa aku leh backdoor site hang ๐
tuh lah, aku dah cakap time ader blogger picisan buat give-away dan bagi theme wordpress percuma, sila tolong sangatlah hati2 dengan function.php sebab dlm tuh barangkali ada simple backdoor instruction atau at least ada dean edward packer javascript….
jap, aku nk check theme aku.. oh selamat, theme aligned takder timthumb…. say no to timthumb… woha !
Eichikatsu
theme kau bkn pakai timthumb.php ke? haยณ ke versi ko selamat? ๐
Aizan Fahri
version 2.8.5 iaitu latest version…
Eichikatsu
patutla relax je ๐
Affan Ruslan
Hehe. Selalunya kalau blogger pro yg anjurkan giveaway, die akan bg acc sekali. Contohnya, aku menang theme themify, solostream, themefuse, elegentthemes, semua dapat acc. Memang sepatutnya dapat acc sekali ๐
Aizan Fahri
erm erm erm… Genesis dengan Thesis ader tak ? Kalau ada nak nak nak ~
azman
Owh macam tu rupanya…saya guna 1 jer.
akubiomed
Ada juga terbaca mengenai timthumb mudah dikena hack.
Affan Ruslan
Itu kalau guna versi lama je. Kalau dah pakai latest version, sepatutnya tak yah risau dah ๐
iza
Assalam…
Menyeramkan dengar kisah ni…
Saya lagi la tak tau apa2..
Affan Ruslan
Takpe, akak guna blogspot kan, tak perlu risau ๐
shifa
yup, its happen to me long time ago=(
Wan Gerrard
takut gak..cuba untuk elakkan
Amirez
baru tau banyak blog dalam satu hosting pun berisiko untuk kena hack kalau salah satunya senang ditembusi hacker. kena pindah blog cepat-cepat nampaknya
Affan Ruslan
Hehe. Kalau semua blog tu bro yg jaga, patutnya takde masalah sgt. Kalau owner lain2, tu yg masalah. Kadang2 kita ambil berat pasal keselamatan blog, orang lain pulak tak ambil berat. Last2, kita yg jadi mangsa.
titan
huhu..kena lebih berhati-hati lepas nih..
shraqs
timthumb memang problem.
Affan Ruslan
Kalau dah update sepatutnya takde problem. hehe
maszuki
harap2 x kena la..:) klu blog yg glamour selalu kena tu…
Affan Ruslan
Kalau attack camni, tak kira femes atau tak. Sbb hacker akan pakai script atau bot untuk automate process, mana2 vuln yg diorang jumpa, diorang akan serang je.
arrizz
2x dah kena hack..entah apa puncanya sampai fivio terpaksa buat server baru..nice sharing bro..mungkin benda nie kita terlepas pandang..
Affan Ruslan
Haah dulu aku penah tgk blog ko kena hack.
Agaknya hacker dapat access kat root lah tu, letak backdoor.
arrizz
waa aku tak tau lak sal tue bro..apapon fivio dah settle-kan..harap tak berlaku lagi benda2 camni..
ohcikgu
masih banyak lagi kena belajar..
hehe
Eichikatsu
Apaยฒ pn kena hatiยฒ la lps ni bro! ๐
Affan Ruslan
Thanks bro ๐
Juan
takut juga bila dengar benda benda mcm ni
Affan Ruslan
Takpe, yg penting pastikan ada backup blog. At least seminggu sekali ke hehe
Apadehal
risau plak teman dibuatnya.. huhu.. anyway, terima kasih krn brkongsi tips..
edisikini dot com
ty for sharing..baru ak tahu
Affan Ruslan
hehe sama2. Aku pun masih belajar lagi ni, tapi seronok ๐
Kak Nurul
slm…akak tak berape nk faham..kalo kiter cuba nk bc satu blog ni, then dier kuar mcm yg kat pic atas ‘warning: something’s not right here…bla3’…so itu mknernya blog yg kiter msuk tuh kne hack?..mcm tuh ka?..
Affan Ruslan
Salam. Tu maksudnya blog tersebut mengandungi malicious link (link dari blog/website yg mengandung malware)
harith
alamak xfaham la..ehe thanks sbb sudi sharing..baru tau mcm tu yg akan trjadi rupanyer..mm ๐
Affan Ruslan
Hehe tak yah ambil tahu pun bro. Bro pakai blogspot, jadi tak perlu risau pasal hosting ๐
syahrilhafiz
boleh scan themes aku tak? i’m noob XD
Norizwan
wah info menarik…blog banyak dalam satu hosting…memang susah nak cari mana punca kan….
Affan Ruslan
Yup bos. Kadang2 blog A kena defaced, tapi puncanya dari blog lain. Puas cari script kat blog A, last2 blog lain yg jadi masalah. Memang tension la haha
lazaac
yg paling penting, elakkan pakai theme framework yg pelik2… lebih2 lagi kalau theme yg nulled.. bahaya tu… injected code ngan framework pelik2 buat newbie mcm aku pening lalat kalau kena hacked… muehehe…
must
Kalau nak cerita pasal hack menghack ni memang menggerunkan, buatlah securiti mcm mana pun diaprang tahu nak pecahkan… adat dunia ada hitam ada putih… tawakkal kpd Allah, apa2 pun semua dengan izin Dia
asraff
baru ja blog sukan saya di http://www.asraffruslan.com di hack…kecewa betul….skg ni dlm usaha mintak backup kembali drp syrkt hosting tu dan hrp2 boleh guna la lepas ni…..
Affan Ruslan
Baru cek. Nape tak recover lagi ye. Lambatnya pihak hosting recover. Bro pakai hosting apa ye
fiezaradzi
susah jugak kan lau jadi macam ni.. lau kena kt diri sendiri, tak tau la macam mana….
tapi yg selalu buat, lau rasa tak nak guna theme tu, mmg buang je, tinggal yg default dan 1-2 yang rasa cantik.. bukan sebab pe, tak nak penuhkan ruang dlm simpanan tu.. haha
tima kasih utk peringtan ni
sabree hussin
hosting tu sape punya? Kita punya sendri ke, ataupun syarikat penyedia hosting
Affan Ruslan
pihak penyedia hosting. kita hanya menumpang, sbb tu tiap2 tahun kena bayar hehe
mancai
huhuhu… perkara yang menakutkan untuk para2 blogger…
Affan Ruslan
Bukan apa, nanti nak recover tu take time. Berjam2 gak tu haha
Jomtonton
Salam, alahai, blog saya baru lepas kena hack ngan SBKILLER CYB3RS3C..
hafizmd
Kalau bab yg share hosting tu, aku mmg tk dapat buat pe2, maklumlah…kongsi2 ni…hehehe
Tp, aku ikut nasihat bro, deletekan mana2 themes yg tak digunakan…
Terimakasih bro =)
Oh! budu
takutnya kena hack..