Sekuriti WordPress: 2 Pengajaran Daripada Blog Di Hack

Baru-baru ini ada satu blog sukanmalaya.my (bukan blog ini) digodam. Nak taknak kena minta tolong Eizil cek apa-apa yang patut. Mintak tolong cari punca blog tersebut dihack. Agak leceh bila blog dihack, tapi macam seronok sebab macam-macam perkara baru boleh belajar :lol: Bila cuba cari di Google mengenai topik berkaitan, ada. Jadi, mesti ianya berpunca daripada theme atau plugin yang digunakan. Kalau salah guna theme, atau salah guna plugin, memang keselamatan blog jadi taruhan.

SukanMalaya

Lepas bro Eizil cek, sah! Memang betul tekaan saya, ianya berpunca daripada satu fail pada tema yang digunakan (exploit pada fail timthumb). Malangnya, ia bukan daripada tema (theme) yang digunakan di blog sukanmalaya.my, sebaliknya blog lain dalam hosting yang sama :(

  1. Blog digodam akibat menggunakan plugin yang mempunyai ancaman keselamatan (exploit)
  2. Patch 2 Vulnerabilities Pada WordPress 

 

2 Pengajaran Yang Dapat Diambil

1. Jangan letak banyak blog dalam satu shared hosting

Ya, kalau terlalu banyak blog dalam satu hosting, risiko nak kena hack lagi tinggi. Kalau nak letak banyak blog dalam hosting yang sama:

  • Pastikan pemilik blog lain tu selalu ambil berat mengenai keselamatan blog sendiri. Dalam kes ni, pemilik blog lain tak nak update theme, tak pasal-pasal pulak blog lain yang kena hack. Kan naya tu.
  • Kalau nak letak lebih daripada satu blog kepunyaan sendiri dalam hosting yang sama rasanya takde masalah sangat, sebab kita akan sentiasa monitor blog sendiri. Mungkin risiko nak digodam tu rendah sikit.

TimThumb Vuln

Ni adalah keputusan lepas scan guna plugin TimThumb Vulnerability Scanner. Sampai 4 themes yang vulnerable. Y U NO Update your theme?

2. Buang theme yang tidak digunakan

Berdasarkan pengalaman saya lepas guna (cuba) pelbagai theme (percuma dan berbayar), bukan semua theme yang mempunyai notifikasi jika terdapat kemaskini baru pada theme tersebut. Ada di antaranya yang tidak diberikan sokongan (support). Jadi, misalnya ada exploit baru yang ditemui, memang pengguna akan bermasalah. Kena patch/fix sendiri lah jawabnya. Bukan semua orang pandai, ye tak?

Jangan terkejut ya, bukan tema percuma je yang mempunyai masalah tidak mempunyai fungsi notifikasi di dashboard apabila terdapat kemaskini terbaru untuk tema tersebut. Ada juga tema berbayar yang tiada notifikasi. Jadi bila ada update terbaru, pengguna tak dapat notifikasi. Kena pandai-pandai sendiri cek kat laman web pembangun theme.

Komen & Pandangan

  1. baru tau boleh masuk dari blog2 lain dalam 1 hosting.. kira pakej 5 add on domain misalnya tu pn risiko la kena hack.. kalau guna childtheme, bila update theme tak berubah pape kan? aku tak update2 lagi 20-11 tu..

    • Child theme rasanya secure sikit, sbb bukan semua fungsi ada dlm child theme. Child theme just inherit fungsi2 penting dari parent theme, sbb tu child theme selalunya takde update :D

  2. abam apang abam apang… jaga2 maa… bila2 masa aku leh backdoor site hang :P
    tuh lah, aku dah cakap time ader blogger picisan buat give-away dan bagi theme wordpress percuma, sila tolong sangatlah hati2 dengan function.php sebab dlm tuh barangkali ada simple backdoor instruction atau at least ada dean edward packer javascript….

    jap, aku nk check theme aku.. oh selamat, theme aligned takder timthumb…. say no to timthumb… woha !

  3. baru tau banyak blog dalam satu hosting pun berisiko untuk kena hack kalau salah satunya senang ditembusi hacker. kena pindah blog cepat-cepat nampaknya

    • Hehe. Kalau semua blog tu bro yg jaga, patutnya takde masalah sgt. Kalau owner lain2, tu yg masalah. Kadang2 kita ambil berat pasal keselamatan blog, orang lain pulak tak ambil berat. Last2, kita yg jadi mangsa.

    • Kalau attack camni, tak kira femes atau tak. Sbb hacker akan pakai script atau bot untuk automate process, mana2 vuln yg diorang jumpa, diorang akan serang je.

  4. 2x dah kena hack..entah apa puncanya sampai fivio terpaksa buat server baru..nice sharing bro..mungkin benda nie kita terlepas pandang..

  5. slm…akak tak berape nk faham..kalo kiter cuba nk bc satu blog ni, then dier kuar mcm yg kat pic atas ‘warning: something’s not right here…bla3′…so itu mknernya blog yg kiter msuk tuh kne hack?..mcm tuh ka?..

    • Yup bos. Kadang2 blog A kena defaced, tapi puncanya dari blog lain. Puas cari script kat blog A, last2 blog lain yg jadi masalah. Memang tension la haha

  6. yg paling penting, elakkan pakai theme framework yg pelik2… lebih2 lagi kalau theme yg nulled.. bahaya tu… injected code ngan framework pelik2 buat newbie mcm aku pening lalat kalau kena hacked… muehehe…

  7. Kalau nak cerita pasal hack menghack ni memang menggerunkan, buatlah securiti mcm mana pun diaprang tahu nak pecahkan… adat dunia ada hitam ada putih… tawakkal kpd Allah, apa2 pun semua dengan izin Dia

  8. susah jugak kan lau jadi macam ni.. lau kena kt diri sendiri, tak tau la macam mana….

    tapi yg selalu buat, lau rasa tak nak guna theme tu, mmg buang je, tinggal yg default dan 1-2 yang rasa cantik.. bukan sebab pe, tak nak penuhkan ruang dlm simpanan tu.. haha

    tima kasih utk peringtan ni

  9. Kalau bab yg share hosting tu, aku mmg tk dapat buat pe2, maklumlah…kongsi2 ni…hehehe

    Tp, aku ikut nasihat bro, deletekan mana2 themes yg tak digunakan…

    Terimakasih bro =)

Tinggalkan pendapat atau komen