Sisi Gelap WordPress

Saya mengakui, bahwa engine WordPress yang selama ini saya pergunakan memang benar-benar bagus untuk keperluan blogging saya. Meski secara langsung saya tidak terlalu terpengaruh dengan upgrade WordPress, karena toh saya ngeblog menggunakan Windows Live Writer atau Scribefire, sehingga sebagus apapun dashboard yang sekarang dipergunakan di WordPress 2.5, atau fungsi-fungsi tambahan yang lain, tidak terlalu berguna buat saya.

Akan tetapi, setiap kali WordPress melakukan upgrade, biasanya dalam jangka waktu kurang dari satu pekan, saya juga telah mengupgrade WordPress saya. Bukan karena ingin menikmati fasilitas baru yang disediakan wordpress, tapi lebih kepada faktor keamanan. Umum sudah mengetahui bahwa, upgrade WordPress lebih banyak disebabkan faktor lubang/hole yang ada di versi-versi lama WordPress. Sekali lagi, meski secara tidak langsung, karena boleh dibilang saya sangat jarang login di dashboard WordPress, tapi upgrade ini lebih semata-mata karena faktor keamanan.

Itulah mengapa, masih banyak para blogger “senior” (???) yang setia menggunakan Moveable Type ketimbang menggunakan WordPress, karena begitu banyaknya kekurangan menyangkut masalah keamanan yang ada di WordPress.

Pertanyaannya, bagaimana seorang hacker dapat mengeksploit para blogger yang mempergunakan engine WordPress untuk blognya? Jawaban sederhananya sebenarnya terletak pada kode sumber WordPress itu sendiri, yang secara default, sebagian besar themes akan mengikutkan kode berikut ini

<meta name=”distribution” content=”global” />
<meta name=”robots” content=”follow, all” />
<meta name=”language” content=”en” />
<meta name=”generator” content=”WordPress 2.5″ />

Terlihat di kode sumber yang tercetak tebal, by default WordPress akan menuliskan versi enginenya. Dari sini, para hacker tinggal mencari data-data vulnerability di Internet. Dan dalam waktu sekejap, jangan heran kalau blognya berhasil diHack.

Sisi gelap kedua yang kadang tidak disadari, adalah adanya kode “gelap” di dalam themes yang banyak kita pergunakan. Apalagi banyak sekali theme yang dapat diunduh secara gratisan. Kode gelap ini lazimnya dibuat dalam bentuk invisible, artinya oleh kita tidak dapat terlihat secara langsung, karena biasanya kode-kode HTML tadi akan dibuat dengan warna yang sama dengan warna theme, dan baru akan terlihat kalau kita melihat kode sumbernya (source code). Google, sepengatahuan saya akan melakukan pinalti terhadap website yang memiliki kode-kode invisible seperti ini.

Jadi, silakan menggunakan wordpress dengan bijak, senantiasa update kalau ada kode terbaru, dan jika menggunakan theme gratisan, pastikan kode sumbernya bebas dari kode-kode gelap.

  1. YoHang 07 says:

    PERTAMAAAAAXX!!!! 😀

    Mendingan informasi versi tadi dihapus saja ya mas?

  2. Kalau wordpressnya gratisan kayak aku gimana ?
    Aman apa nggak ?
    yang zelas, aku lagi cuapek kebanjiran SPAM :(

  3. bank_al says:

    sejak kampung kena hek, situs tersebut aku pasangi security yg agak paranoid. Masih bisa kena hek ndak ya?

    Kamu baru menyebutkan versi, tapi belum menjelaskan bagaimana cara nge-hek-nya. Coba dong jelasin gimana cara nge-hek-nya Ndri.

  4. BlogDokter says:

    Kalau mikirin ini jadi ngeri juga.

  5. yusdi says:

    wah gitu ya…
    saya juga mulai menggunakan ScribeFire, namun masih bingung dalam menggunakan tag more (koq adanya post splitter, apa sama?) kl pake post splitter yg muncul malah garis seperti tag …mungkin pak andri bersedia menjelaskan hal tsb…

    regards,
    Yusdi

  6. @Yoga: iya, mending info generatornya dihapus aja

    @Pakdhe Rovick: kalau wordpress gratisan selalu terupdate pakdhe, jadi jangan terlalu khawatir. Cuma kalau SPAM, dia masih ngandalin akismet aja, jadi mau ndak mau ya harus “sedikit” berteman dengan SPAM

    @bank_al: ya itu tadi bank, cari di meta generator, cari exploit di internet, banyak kok sumbernya. abis itu, silakan hack dengan lubang-lubang yang ada

    @imcw/blogdokter: ya iya sih, tapi as long as we keep updated, insya Allah sih aman-aman saja

    @yusdi: wah saya kalau mau kasih more senengnya malah manual 😀 tinggal ketik tag more itu …

  7. yusdi says:

    oh iya pak,,di blog bapak kalau latest post itu ditampilkan secara penuh (bukan resume), tapi setelah ada post baru, posting yg lama menjadi resume,,

    itu buatnya manual atau otomatis pak? kl otomatis caranya gimana ya pak? hehehe 😀

  8. olangbiaca says:

    Aslkm……wah..gawat juga ya mas, padahal sy barusan pindah dari blogger ke WP. emangnya mana yg lebih aman mas ?

  9. Andri Setiawan says:

    @yusdi: dibuat otomatis dong 😛 logikanya seperti ini, WP akan menampilkan semua post, diubah di script theme, untuk menampilkan full post di post pertama, dan excerpt post di post berikutnya … lakukan dalam loop

    @olangbiaca: insya Allah kalau WPnya gratisan aman kok 😀 karena pasti terupdate, yang perlu hati2 kalau kita hosting blog sendiri

  10. yusdi says:

    wah kl itu dioprek codingnya ya pak??

    hiks hiks,saya pake yg gratisan…. :(

  11. poer says:

    nah ini baru namanya blogger = hacker, ya ga ndri ~_^

  12. @poer: lha memang jelas, saya memang blogger yang sama dengan hacker 😛 lha gimana lagi, dapet jatah ngajar ethical hacking je … mo ndak mau semua jurus yang pernah kupake jaman dulu kukeluarkan ….ha..ha… 😀

  13. husni says:

    Jurus seribu bayangan juga pak? 😀

  14. Mas Andri,

    Terima kasih atas informasinya.

    Sebagai orang yang awam di dunia blog, saya jadi penasaran dengan tulisan mas Andri ini. Saya sudah menggunakan WP sejak mala. Saya merasa nyaman menggunakan blog engine ini karena kemudahannya. Maklumlah, saya tidak paham PHP, MySQL dan CSS. Yang sedikit saya tahu hanyalah menggunakan WP saja.

    Kalau tidak keberatan, bisakah mas Andri memberikan contoh kode gelap WP themes yang ada pernah mas Andri lihat? Selama ini saya sering download WP themes dari berbagai sumber tanpa pernah mengerti apakah themes itu punya kode gelap atau tidak.

    Thanks

    Pujiono
    JalanSutera.com

  15. ngomong-ngomong, di blog Anda sendiri kok “meta-name-generator”-nya justru tidak dihapus? saya juga melihat baris kode “meta-name-generator” itu ditulis dua kali. hmmmm… mungkin karena Anda sudah yakin blog Anda ini sudah diproteksi dengan sempurna, ya? Blog orang yang sudah paham masalah security memang beda dengan blog orang awam seperti punya saya.

  16. bamz says:

    wah Jurusnya diKeluarin juga di matakuliah etical hacking ya mas..hehehe

    I Love Gratisan…walau sPam BERjUBEl..hIkz

  17. Rosyidi says:

    Ya, memang kita perlu sedikit pengetahuan untuk otak atik sana sini agar wp lebih hebat.

  18. pakai yg gratisan ajah,,,hikhikhik

Leave a Reply

Your email address will not be published.

Switch to our mobile site