4 Plugin WordPress Yang Tidak Aman

4 Plugin WordPress Yang Tidak Aman

Front End Upload Plugin ini memudahkan kita untuk melakukan upload file kedalam hosting tempat dimana web dengan CMS WordPress kita tertanam. Namun disamping memudahkan…

Front End Upload

front-end

Plugin ini memudahkan kita untuk melakukan upload file kedalam hosting tempat dimana web dengan CMS WordPress kita tertanam. Namun disamping memudahkan juga bisa menjadi bencana ketika seseorang (peretas) men-upload shell kedalam hosting kita karena tidak di filter oleh si plugin. Jadi, sang peretas bisa men-upload file php dengan cara begini shellphp.php.jpg. Kemudian sang peretas pun dengan leluasa bisa menjelajah kedalam setiap folder yang ada. Celakanya lagi, jika web kita digunakan untuk hal yang tidak baik, tapi biasanya peretas pemula akan melakukan defacing terhadap web kita.

Link plugin front end upload bisa didapat disini. Untuk lebih jelas tentang bug plugin ini bisa ditemukan disini.

MoodThingy Mood Rating Widget

moodthingy

Input data dari form tidak dibersihkan dengan benar. Dengan menggunakan teknik Blind SQL injection maka plugin ini dalam sekejap bisa menjadi bagi web kesayangan Anda. Sebelum semua itu terjadi silahkan cek kembali plugin yang Anda pakai. Link plugin disini.

WP-Predict

Parameter predictID pada saat di minta oleh post adalah sumber bencana dari plugin ini karena memungkinkan peretas untuk menggunakan Blind SQL Injection. Lengkapnya mengenai penemuan bug pada plugin ini bisa dilihat disini. Kabar baiknya, plugin ini telah dihilangkan dari repo plugin wordpress.

Resume Submissions & Job Postings v2.5.1

submision

Ketika mengirimkan resume, “file attachment” plugin ini tidak membatasi jenis file yang bisa di-upload oleh pengguna.
file hasil upload akan berada di folder berikut: / wp-content/uploads/rsjp/attachments /. Coba bayangkan jika yang diupload adalah shell code, kemudian sang peretas berhasil mengambil alih web Anda hanya dari kesalahan yang diakibatkan dari sebuah plugin.

Kesimpulan

Hati-hati dalam memilih plugin nampaknya memang harus dilakukan, mengingat banyak sekali plugin yang tersedia untuk CMS WordPress. Sebelum Anda memilih untuk menginstall sebuah plugin, ada baiknya periksa terlebih dahulu plugin tersebut. Jika Anda tidak mengerti dengan kode PHP, maka ada baiknya Anda mencari tahu lewat mesin pencari tentang plugin tersebut.

Semoga Web/Blog kita aman dari serangan peretas. Jika ada informasi celah keamanan di www.bisakomputer.com mohon kiranya pembaca memberitahukan ke kami agar segera kami perbaiki lubang keamanan tersebut. Terima kasih semoga bermanfaat.

Tag: , , ,

5 Comments

Leave Comment
  1. Wah menarik sekali ulasannya. Saya nanya ya, mohon di cek juga, di web kami rumah mandiri dot org adakah celah keamanan, cozmasih pakai theme gratis, mungkinkah bisa di crack

  2. zaki says:

    Matur suwon infone dab…

Write Comment

Your email will not be published. The marked label is required.