Baru-baru ini ada satu blog sukanmalaya.my (bukan blog ini) digodam. Nak taknak kena minta tolong Eizil cek apa-apa yang patut. Mintak tolong cari punca blog tersebut dihack. Agak leceh bila blog dihack, tapi macam seronok sebab macam-macam perkara baru boleh belajar 
Bila cuba cari di Google mengenai topik berkaitan, ada. Jadi, mesti ianya berpunca daripada theme atau plugin yang digunakan. Kalau salah guna theme, atau salah guna plugin, memang keselamatan blog jadi taruhan.
Lepas bro Eizil cek, sah! Memang betul tekaan saya, ianya berpunca daripada satu fail pada tema yang digunakan (exploit pada fail timthumb). Malangnya, ia bukan daripada tema (theme) yang digunakan di blog sukanmalaya.my, sebaliknya blog lain dalam hosting yang sama 
- Blog digodam akibat menggunakan plugin yang mempunyai ancaman keselamatan (exploit)
- Patch 2 Vulnerabilities Pada WordPress
2 Pengajaran Yang Dapat Diambil
1. Jangan letak banyak blog dalam satu shared hosting
Ya, kalau terlalu banyak blog dalam satu hosting, risiko nak kena hack lagi tinggi. Kalau nak letak banyak blog dalam hosting yang sama:
- Pastikan pemilik blog lain tu selalu ambil berat mengenai keselamatan blog sendiri. Dalam kes ni, pemilik blog lain tak nak update theme, tak pasal-pasal pulak blog lain yang kena hack. Kan naya tu.
- Kalau nak letak lebih daripada satu blog kepunyaan sendiri dalam hosting yang sama rasanya takde masalah sangat, sebab kita akan sentiasa monitor blog sendiri. Mungkin risiko nak digodam tu rendah sikit.
Ni adalah keputusan lepas scan guna plugin TimThumb Vulnerability Scanner. Sampai 4 themes yang vulnerable. Y U NO Update your theme?
2. Buang theme yang tidak digunakan
Berdasarkan pengalaman saya lepas guna (cuba) pelbagai theme (percuma dan berbayar), bukan semua theme yang mempunyai notifikasi jika terdapat kemaskini baru pada theme tersebut. Ada di antaranya yang tidak diberikan sokongan (support). Jadi, misalnya ada exploit baru yang ditemui, memang pengguna akan bermasalah. Kena patch/fix sendiri lah jawabnya. Bukan semua orang pandai, ye tak?
Jangan terkejut ya, bukan tema percuma je yang mempunyai masalah tidak mempunyai fungsi notifikasi di dashboard apabila terdapat kemaskini terbaru untuk tema tersebut. Ada juga tema berbayar yang tiada notifikasi. Jadi bila ada update terbaru, pengguna tak dapat notifikasi. Kena pandai-pandai sendiri cek kat laman web pembangun theme.
banyak blog dalam satu hosting, fuuuu wootmedia ;D
azrijohan recently posted..PIKOM PC Fair 2012 | Tarikh dan Lokasi
Tak, kitorang dah asingkan. Satu blog takleh sama dgn blog yg lain, demi keselamatan
baru tau boleh masuk dari blog2 lain dalam 1 hosting.. kira pakej 5 add on domain misalnya tu pn risiko la kena hack.. kalau guna childtheme, bila update theme tak berubah pape kan? aku tak update2 lagi 20-11 tu..
Izwan recently posted..Kenapa Jual Baucar Buku 1Malaysia
Child theme rasanya secure sikit, sbb bukan semua fungsi ada dlm child theme. Child theme just inherit fungsi2 penting dari parent theme, sbb tu child theme selalunya takde update
setuju!! kalau tak jadi macam theme lama aku TwentyTen, dah edit semua dalam parent sampai2 update, aku replace balik..tup2 esok blank homapage..haha
syahrilhafiz recently posted..Tutorial CyanogenMod 7.2.0 RC5.3 Samsung Galaxy Mini
Wah susah juga macam ni..
anif recently posted..Percutian Berkualiti Meningkatkan Produktiviti
Hehe tapi benda2 camni cam seronok, byk benda baru belajar.
Tapi bro guna blogspot, takyah risau sgt
salam..
macam-macam hal juga ye..
kalau di hack memang
pengalaman menakutkan
saya belum pernah kena
cuba membayangkan..
zulkbo recently posted..Di Bandar Leka Sekejap Pun Kereta Disambar Penyamun
humm kadang2 bagus juga hack ni sebab dapat belajar kelemahan tapi agak sakit dan susah jugak la
Leceh kalau blog byk dalam satu hosting. Nak kena cari mana punca
macam cakap dengan diri sendiri pulak :p
ps. baru perasan. dah cantik logo atas tu. (nampak bena lama tak masuk)
syafiq_lomotech recently posted..Buah Sebelum Berkembang
Haha.
Logo tu lama dah aku tukar, lepas ko suroh dulu
susah juga, kalau disebabkan oleh lain. Mungkin mereka yang berhajat untuk menjadi reseller kena tahu perkara sebegini…:)
Tuan Tanah recently posted..Pemberian BR1M adalah Pemberian Parti ? Setujukah
Reseller lain sikir bro, acc seperate. So cpanel boleh separate gak rasanya
abam apang abam apang… jaga2 maa… bila2 masa aku leh backdoor site hang
tuh lah, aku dah cakap time ader blogger picisan buat give-away dan bagi theme wordpress percuma, sila tolong sangatlah hati2 dengan function.php sebab dlm tuh barangkali ada simple backdoor instruction atau at least ada dean edward packer javascript….
jap, aku nk check theme aku.. oh selamat, theme aligned takder timthumb…. say no to timthumb… woha !
Aizan Fahri recently posted..Komen-Komen Sekalian Bertaraf Spam – Marah !
theme kau bkn pakai timthumb.php ke? ha³ ke versi ko selamat?
Eichikatsu recently posted..Shcool vs School
version 2.8.5 iaitu latest version…
Aizan Fahri recently posted..Aizan’s Reaction : Jom Masuk Universiti ? Eh ?!
patutla relax je
Hehe. Selalunya kalau blogger pro yg anjurkan giveaway, die akan bg acc sekali. Contohnya, aku menang theme themify, solostream, themefuse, elegentthemes, semua dapat acc. Memang sepatutnya dapat acc sekali
erm erm erm… Genesis dengan Thesis ader tak ? Kalau ada nak nak nak ~
Aizan Fahri recently posted..Sharing Is Kissing ! Notification-Centric Desktop
Owh macam tu rupanya…saya guna 1 jer.
azman recently posted..Kita tidak pernah bersyukur
Ada juga terbaca mengenai timthumb mudah dikena hack.
Itu kalau guna versi lama je. Kalau dah pakai latest version, sepatutnya tak yah risau dah
Assalam…
Menyeramkan dengar kisah ni…
Saya lagi la tak tau apa2..
iza recently posted..Manfaat Berkongsi.
Takpe, akak guna blogspot kan, tak perlu risau
yup, its happen to me long time ago=(
takut gak..cuba untuk elakkan
Wan Gerrard recently posted..Happy Birthday Jamie Carragher
baru tau banyak blog dalam satu hosting pun berisiko untuk kena hack kalau salah satunya senang ditembusi hacker. kena pindah blog cepat-cepat nampaknya
Hehe. Kalau semua blog tu bro yg jaga, patutnya takde masalah sgt. Kalau owner lain2, tu yg masalah. Kadang2 kita ambil berat pasal keselamatan blog, orang lain pulak tak ambil berat. Last2, kita yg jadi mangsa.
huhu..kena lebih berhati-hati lepas nih..
titan recently posted..Lelaki kacak patut minum jus Monavie.
timthumb memang problem.
shraqs recently posted..Network Solutions – Domain Kupon Kod Januari $4.95
Kalau dah update sepatutnya takde problem. hehe
harap2 x kena la..:) klu blog yg glamour selalu kena tu…
Kalau attack camni, tak kira femes atau tak. Sbb hacker akan pakai script atau bot untuk automate process, mana2 vuln yg diorang jumpa, diorang akan serang je.
2x dah kena hack..entah apa puncanya sampai fivio terpaksa buat server baru..nice sharing bro..mungkin benda nie kita terlepas pandang..
arrizz recently posted..Komik – still over 9000
Haah dulu aku penah tgk blog ko kena hack.
Agaknya hacker dapat access kat root lah tu, letak backdoor.
waa aku tak tau lak sal tue bro..apapon fivio dah settle-kan..harap tak berlaku lagi benda2 camni..
arrizz recently posted..Lagi kes hina Sarawak dan Sabah di Twitter
masih banyak lagi kena belajar..
hehe
ohcikgu recently posted..Khas untuk peminat Manchester United – Jangan kecewa lama sangat..
Apa² pn kena hati² la lps ni bro!
Thanks bro
takut juga bila dengar benda benda mcm ni
Juan recently posted..ServerFreak.com Realiti @ Mitos
Takpe, yg penting pastikan ada backup blog. At least seminggu sekali ke hehe
risau plak teman dibuatnya.. huhu.. anyway, terima kasih krn brkongsi tips..
Apadehal recently posted..Rumah Dihasilkan Dari Wang Kertas Euro
ty for sharing..baru ak tahu
edisikini dot com recently posted..Wanita Lukis Tatoo Ayat Kursi Pada Tubuh
hehe sama2. Aku pun masih belajar lagi ni, tapi seronok
slm…akak tak berape nk faham..kalo kiter cuba nk bc satu blog ni, then dier kuar mcm yg kat pic atas ‘warning: something’s not right here…bla3′…so itu mknernya blog yg kiter msuk tuh kne hack?..mcm tuh ka?..
Kak Nurul recently posted..Jaulah ke KL…
Salam. Tu maksudnya blog tersebut mengandungi malicious link (link dari blog/website yg mengandung malware)
alamak xfaham la..ehe thanks sbb sudi sharing..baru tau mcm tu yg akan trjadi rupanyer..mm
harith recently posted..Bosan Cuti Lama-Lama
Hehe tak yah ambil tahu pun bro. Bro pakai blogspot, jadi tak perlu risau pasal hosting
boleh scan themes aku tak? i’m noob XD
syahrilhafiz recently posted..Tutorial CyanogenMod 7.2.0 RC5.3 Samsung Galaxy Mini
wah info menarik…blog banyak dalam satu hosting…memang susah nak cari mana punca kan….
Yup bos. Kadang2 blog A kena defaced, tapi puncanya dari blog lain. Puas cari script kat blog A, last2 blog lain yg jadi masalah. Memang tension la haha
yg paling penting, elakkan pakai theme framework yg pelik2… lebih2 lagi kalau theme yg nulled.. bahaya tu… injected code ngan framework pelik2 buat newbie mcm aku pening lalat kalau kena hacked… muehehe…
Kalau nak cerita pasal hack menghack ni memang menggerunkan, buatlah securiti mcm mana pun diaprang tahu nak pecahkan… adat dunia ada hitam ada putih… tawakkal kpd Allah, apa2 pun semua dengan izin Dia
must recently posted..Lagi Video Pergaduhan di KFC – Polis Ambil Tindakan Jika Timbulkan Isu Perkauman
baru ja blog sukan saya di http://www.asraffruslan.com di hack…kecewa betul….skg ni dlm usaha mintak backup kembali drp syrkt hosting tu dan hrp2 boleh guna la lepas ni…..
asraff recently posted..Video PB Wanita Kurus, Sihat dan Cantik
Baru cek. Nape tak recover lagi ye. Lambatnya pihak hosting recover. Bro pakai hosting apa ye
Affan Ruslan recently posted..Bantu Saya Untuk Menang Macbook Pro
susah jugak kan lau jadi macam ni.. lau kena kt diri sendiri, tak tau la macam mana….
tapi yg selalu buat, lau rasa tak nak guna theme tu, mmg buang je, tinggal yg default dan 1-2 yang rasa cantik.. bukan sebab pe, tak nak penuhkan ruang dlm simpanan tu.. haha
tima kasih utk peringtan ni
fiezaradzi recently posted..Top Malaysian Blogger Yang Ingin Saya Jadikan BFF
hosting tu sape punya? Kita punya sendri ke, ataupun syarikat penyedia hosting
sabree hussin recently posted..Kenapa Cepat Sangat Kita Jatuhkan Hukuman?
pihak penyedia hosting. kita hanya menumpang, sbb tu tiap2 tahun kena bayar hehe
Affan Ruslan recently posted..Bantu Saya Untuk Menang Macbook Pro
huhuhu… perkara yang menakutkan untuk para2 blogger…
mancai recently posted..Pengenalan asas html
Bukan apa, nanti nak recover tu take time. Berjam2 gak tu haha
Salam, alahai, blog saya baru lepas kena hack ngan SBKILLER CYB3RS3C..
Kalau bab yg share hosting tu, aku mmg tk dapat buat pe2, maklumlah…kongsi2 ni…hehehe
Tp, aku ikut nasihat bro, deletekan mana2 themes yg tak digunakan…
Terimakasih bro =)
hafizmd recently posted..Belanja kahwin. Kenapa sampai membazir?
takutnya kena hack..
Oh! budu recently posted..Aku tak suka Advertlets