Assalamualaikum..
Beberapa Celah Keamanan CMS WordPress – Banyak diantara pengguna CMS WordPress blm menyadari Beberapa Celah Keamanan CMS WordPress ini.Setelah kemarin malam melakukan migrasi rumah dari blog lama yang di banned google saya mendapatkan inbox facebook mengenai Beberapa Celah Keamanan CMS WordPress.
Beberapa Celah Keamanan CMS WordPress ini banyak yang belum mengetahuinya.Namun,tidak sedikit pula yang mengetahui Beberapa Celah Keamanan CMS WordPress yang diantaranya terdapat pada celah wp-content/themes/nama-themes yang saya juga belum mengecek kembali apakah sudah di patch atau belum oleh pihak WordPress sendiri.
Kali ini saya akan membagikan ilmu yang diteliti oleh teman – teman Exploit-ID yang termasuk adalah teman saya Jos_Alie_Joe.Beliau menuturkan ada 3 kelemahan atau celah pada CMS ini yang diantaranya adalah :
- wp-admin
- wp-content
- wp-includes
Mari kita lihat beberapa celah keamaan dari CMS ini yang Notabene saya juga menggunakannya kok.Ini adalah Bug atau celah pertama dari CMS ini : http://jacket-cyber.com/wp-admin/includes/admin.php kita bisa melihat untuk yang belum dipatch atau ditambal akan terjadi error,seperti apa errornya ??
Warning: require_once(ABSPATHwp-admin/includes/bookmark.php) [function.require-once]: failed to open stream: No such file or directory in /home/xxxxx/public_html/wp-admin/includes/admin.php on line 10
Fatal error: require_once() [function.require]: Failed opening required ‘ABSPATHwp-admin/includes/bookmark.php’ (include_path=’.:/usr/lib/php:/usr/local/lib/php’) in /home/xxxxx/public_html/wp-admin/includes/admin.php on line 10
Itu adalah kelemahan dari admin.php kita,nah kalo sudah bisa menyerang harus bisa bertahan bukan ?? cara pencegahannya adalah kita buka file admin.php dan kita tambahkan code ini setelah tanda <? :
ini_set(“display_errors”, 0); error_reporting(0);
itu adalah celah pertama yang berada pada CMS ini.Uppss..Jangan terlalu bahagia,diatas saya menyebutkan Beberapa Celah Keamanan CMS WordPress Berarti ada lebih dari 1 celah dan saya akan memberikan 1 celah lagi pada CMS ini.
Celah kedua terletak pada http://jacket-cyber.com/wp-includes/rss.php Sama seperti tadi jika belum ditambal akan ada error seperti diatas,dan cara menambalnya pun sama dengan diatas. Jadi,untuk teman – teman Pengguna wordpress silahkan menambal celah tersebut ya.
Sekian mengenai tutorial security sederhana yang terilhami dari teman saya jos_alie_joe founder http://exploit-id.com semoga menambahkan ilmu dalam dunia security blogging ya.sekian tutorial sederhana mengenai Beberapa Celah Keamanan CMS WordPress.
Makasih sob,,
Belum bisa praktekin,, Masih Bisanya cuman BP :0
langsung segera ditambal,,
thenkz infony mas bro :)
silahkan di praktekan..kang rhecizen.. :D
@yead : dirimu kan BP sejati..hihihihh..
makasih infonya Mas.. apa semua file perlu dicoba ni.. jgn2 masih ada lagi yg kyk gitu…
iseng2 nyoba yang di ../wp-admin/includes/dashboard.php
ternyata juga keluar error reportingnya..
oiy salam kenal..
@Cahyo : Salam kenal mas..Masih banyak file2 yang error di versi 3.1.4 ini..tidak seperti pndahulunya..
iya Mas, ternyata emg perlu di cek di beberapa tempat… lumayan banyak juga.. wah, pegel ni copas codeNya…
saya baru mw cari file yang kira2 paling banyak dipanggil/di-include
kalo ada, y cukup ditaruh di situ n g usah di copas ke semua file…
Punyaku aja blm semuanya ditambel.ixixixix..
selamat menambal..nanti malam saya bergerak kok..
:D
oke, Mas… ntar kalo ada info2 lagi… share ya..thx
Pastinya mas..
akan saya share semua yang saya tau kok..
:D
ia mas.. ini yg harus diperhatikan setiap pengguna wp..
saya dl juga pernah menuliskannya
mantab mas tomi..
silahkan digabungkan biar menjadi lebih mantabh lagi.. :D