Menghadang Timthumb WordPress Hacking

 

Siapa yang tidak kenal CMS opensource WordPress ?

 

Semua orang pasti mengenal , ada yang cuma sekedar tau , ada juga yang memang sudah memakainya untuk aktivitas blogging seperti ini. Namun sering kali kita di buat jengkeal web/blog yang baru kita buat tiba2 halamannya berubah menjadi halaman Deface , krn berhasil di hacking oleh sang hacker.

Tidak semua hacker itu beraliran destroyer, msh banyak hacker yg baik, yg memberitahu letak hole blog wordpress kita, saya acungi jempol untuk itu.

Namun bagi yang newbie, kok security,bikin blog sendiri aja merasa susahnya minta ampun lho… jadi ga pernah memikirkan yang namanya security web itu sendiri.

Bisa bayangin nggak kita udah punya blog yg punya Page Rank tinggi akhirnya terdeface sia-sia, kita hanya bisa geleng2.

Ok yang kita bahas disini adalah saat ini banyak sekali web/blog teredeface hanya karena masalah di bawah ini :

1. WordPress Bug

2. Plugin Vulnerability

3. Timthumb

Yang kita bahas disini adalah cara mengamankan wordpress kita dari hal-hal sepele di atas. Hole yg berbeda dari yg saya sebutkan di atas tentunya berbeda lagi caranya. Jadi tolong konsentrasi pada point 2 dan 3 ya.

Timthumb ini adalah modul dengan size yg kecil biasanya bawaan dari themes untuk menampilkan thumbnail dalam sebuah web. Kerap kali file timthumb.php/thumb.php ini masih menggunakan versi yang lama, mengalam lama ? iya blogger sering asal download di internet tanpa memperhatikan versi file timthumb yang digunakan.

Gunakan plugin wordpress ini :

http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

Lakukan scanning file timthumb di wordpress anda dan pastikan versinya baru dan fix segera. Dan jgn lupa abis menggunakan plugin ini, anda non aktifkan saja lg plugin tersebut untuk mencegah adanya zer0 day(hole) pada plugin tersebut.

Setelah install plugin di atas, pastikan juga install plugin security yang memiliki konsep .htaccess protection, krn wordpress itu paling bagus melindunginya dengan .htaccess. Plugin di bawah ini bekerja dengan cara create htaccess.

http://wordpress.org/extend/plugins/bulletproof-security/

Plugin tersebut selain untuk mencegah adanya usaha hacking, plugin tersebut apabila digunakan dengan benar juga akan menutup error parse pada wordpress. Misal ada plugin yg sudah vuln, dengan BPS tersebut pesan error nya akan tertutup sehingga tidak terlihat oleh public.

Dan bagi anda pemilik server hosting, yang memiliki VPS / Dedicated Server dengan Cpanel , jangan lupa untuk membubuhkan mod_security rules di bawah ini untuk mencegah adanya attacking lgs ke web klien anda melalui timthumb.

Mod Security Rules :

#Timthumb Security

SecRule SCRIPT_BASENAME “^(tim)?thumb\.php$” “deny,status:412,auditlog,chain”
SecRule ARGS:src “\.php[345]?$”

SecRule REQUEST_FILENAME “/wp-content/themes/.+/cache/[a-f0-9]+\.php[345]?$” “deny,status:412,auditlog”

 Demikian informasi semoga berguna bagi yang menggunakan cms wordpress untuk blogging.

Ingin tau banyak tentang blogging dan web hosting lgs saja mampir ke : www.jaapns.net

2 Responses to “Menghadang Timthumb WordPress Hacking”

  1. info kerja :

    thanks tutorial wordpressnya, membantu banget

  2. Bahzam :

    Terima kasih infonya..

Leave a Reply