Pagi ini ketika saya sedang blogwalking, saya menemukan hal yang sangat mengganggu. Saya mengunjungi salah satu blog dan secara tidak sengaja saya menemukan bahwa blog tersebut telah disusupi oleh malware berupa exploit. Saya tidak akan menyebutkan blog mana dan bagaimana saya menemukan exploit tersebut, karena sampai siang ini (27 Juli 2016) program tersebut masih aktif.
Program ini bisa mengakses file yang ada di server korban. Saya sendiri leluasa untuk membuka folder dan file. Selain itu, saya juga bisa membuat user baru untuk masuk ke dalam admin melalui program ini. Beberapa menu yang saya temui di sana pun lumayan kejam, seperti Mass Deface dan Mass Delete. Beberapa orang mungkin sudah tidak asing dengan tampilan seperti ini.
Segera, saya menghubungi sang owner untuk memberitahu bahwa blognya sedang diganggu oleh orang yang tidak bertanggungjawab. Email saya direspon cepat dan segera dilaporkan ke pihak webhosting untuk meminta bantuan. Ternyata blognya sudah pernah di-hack sebelumnya dan somehow masih ada jejak di sana. Semoga cepat teratasi ya!
Hacker abal-abal macam ini memang kerap mengincar situs WordPress yang minim security. Memang menurut beberapa situs, WordPress cenderung memiliki celah keamanan yang bisa dimanfaatkan oleh orang-orang tidak bertanggungjawab dengan tujuan tidak baik.
Di blog yang saya kunjungi, hacker abal-abal tersebut menggunakan program exploit yang didapat dari salah satu situs di Indonesia. Kesimpulan saya, seseorang sedang melakukan testing program tersebut dan menerapkan “ilmu” yang baru dia dapat. Intinya, this person is hacker wannabe.
Karena seorang hacker sejati tidak merusak system, tapi justru membangun system. Mereka menguji, dan memperbaiki. Seperti beberapa waktu lalu, seorang hacker bernama Herdian Nugraha menemukan celah keamanan di 3 situs jual beli online di Indonesia (Tokopedia, Bukalapak dan Sribu.com) dan melaporkan celah tersebut ke pengelola situs (sumber: kompas.com) yang segera disambut dengan respon positif.
Pihak pengelola situs segera menutup celah keamanan tersebut dan memberikan reward kepada Herdian Nugraha atas informasi yang diberikan. Ini lah hacker sebenarnya. Seseorang yang cuma baru membaca dan menggunakan program orang lain dengan tujuan merusak bukanlah hacker! Bahkan belum pantas disebut dengan Cracker!
Anyway, hal seperti ini memang sangat mengganggu. Saya sendiri pernah mengalami waktu itu sekitar tahun 2013 ketika seseorang menyerang salah satu blog saya. Sejak saat itulah saya meningkatkan keamanan untuk setiap blog WordPress yang saya miliki. Hampir saja waktu itu saya kehilangan blog sekaligus isi-isinya karena ulah orang tidak bertanggungjawab.
Lalu, bagaimana mengamankan situs berbasis WordPress?
Pengalaman seperti tadi pagi seperti mengingatkan saya untuk selalu melakukan hal-hal preventive sebelum hal yang buruk terjadi. Mengutip dari wpsites.net, ada 3 hal utama yang menyebabkan sebuah blog berbasis WordPress rentan terhadap serangan. 3 hal tersebut adalah sebagai berikut.
- Plugin, Theme dan WordPress engine yang tidak update. Selalu update ketiga elemen tersebut ketika sudah tersedia. Di dalam update tersebut, biasanya dimasukkan juga patch dan security update yang telah diketahui sehingga meminimalisir serangan.
- User dan password yang lemah. Jangan sekali-kali menggunakan user “admin” sebagai nama user. Di WordPress yang terbaru, mereka sudah mengupdate option ini. Solusi lain juga bisa menginstall plugin keamanan, seperti Limit Login Attemps yang akan me-lock ip ketika salah memasukkan username dan password. Kebanyakan WP installer di cPanel sudah menggunakan option ini ketika menginstall WordPress untuk pertama kali
- Database injection. Seperti yang kita ketahui, WordPress menggunakan MySQL database sebagai fondasinya. Jika seorang hacker mampu masuk ke dalam database, dia bisa melakukan apa saja yang dia mau.
Lakukan tindakan preventive
Selain 3 hal tersebut di atas, ada baiknya kita amankan blog WordPress kita dengan melakukan tindakan preventive untuk menghindari hal-hal yang tidak diinginkan. Ada satu hal preventive yang selalu saya lakukan sejak menerima serangan di tahun 2013 lalu, selain setup-setup kecil yang membantu mengamankan blog saya.
Rajin melakukan backup! Jangan anggap remeh backup. Sebelum saya mengalami serangan, saya tidak pernah menyentuh yang namanya backup. Setelah mengalami serangan, saya sadar bahwa saya bisa kehilangan blog saya kapan saja. Tapi tidak ketika saya mempunyai backup!
Saya selalu melakukan full backup paling tidak 1 bulan sekali dan database backup setiap 1 minggu sekali dan saya download untuk disimpan di local computer. Sehingga misalkan blog saya kena hack, saya masih mempunyai backup yang masih bisa diandalkan.
Bagaimana dengan kamu? Apakah blog berbasis WordPress kamu sudah aman? Jika belum, segera amankan blog WordPress kamu, sebelum terlambat!
eemm.. saya belum coba cari di google sih bagaimana cara cek apakah blog WP sedang di senggol atau tidak. Tapi saya pribadi sudah coba mengamankan blog dengan SSL, iThemes security dan CloudFlare, sudah cukup amankah itu?
Sudah aman mas. Blog saya bahkan ngga pake iThemes security, karena terlalu berat dan makan memory.
Pakai dan ngga pakai plugin itu sama aja.
Udah pakai jetpack?
itu untuk WP, bagaimana untuk blogspot ? apa bisa di hack juga? mengingat amat sangat minim pengetahuan saya tentang keamanan data data di blog.
Kalo blogspot saya kurang tahu karena tidak pernah pakai.
Tapi menurut saya, data di sana akan aman karena menggunakan server Google?
Artikel ini pun lebih banyak untuk WP self-hosted.