Menghindari Serangan Injeksi di Blog Wordpress
Salah satu faktor kelemahan Wordpress, seperti yang saya singgung pada workshop “Winning The SEO War With Wordpress” di Surabaya minggu lalu, adalah rentan menjadi target hacker. Dan salah satu tren ulah hacker terhadap blog-blog Wordpress saat ini adalah melakukan injeksi atau penyusupan kode. Memang ini bukan sepenuhnya kesalahan Wordpress karena mereka lebih memanfaatkan lubang keamanan pada server hosting ketimbang yang ada pada Wordpress. Tidak sedikit web hosting terkemuka yang sempat menjadi korban, termasuk JaguarPC, Dreamhost, dan Servage.
Seperti apa sih kode yang disusupkan? Apakah bersifat merusak (virus / malware) ? Ternyata tidak. Kode yang disusupkan biasanya justru berupa redirect atau frame ke situs affiliasi. Mungkin ini termasuk salah satu tehnik black hat dalam mencari uang di internet, hehehe.
Blog-blog saya sendiri sudah seringkali menjadi korban, terutama yang disimpan di tiga hosting yang saya sebutkan di atas. Dulu, jika hal tersebut terjadi, saya memilih untuk mengambil jalan pintas — memindahkan blog yang terkena injeksi ke hosting lain.
Kalau di hosting pindahan terkena injeksi lagi? Ya pindah lagi.
Namun ternyata ada cara yang lebih simpel dan lebih memecahkan masalah daripada jurus nomaden di atas. Yaitu dengan mengubah atribut file-file Wordpress yang sering terkena injeksi menjadi 444 (r–r–r–) atau read-only. Setelah diubah atributnya, biasanya serangan injeksi akan berhenti.
File-file apa saja yang perlu diimunisasi?
- Pada root direktori blog: index.php, wp-config.php, wp-setting.php.
- Seluruh file themes yang kita gunakan pada direktori wp-content/themes
Selamat mencoba :)
