Desember 2014 ini bukan hanya perusahaan sekelas Sony Pictures yang terkena serangan hacker , namun sebuah blog penyedia layanan security, Sucuri, juga melepas pernyataan mengejutkan yang mengancam para pengguna wordpress, serangan malware dengan code 'Soaksoak' menghajar lebih dari 100ribu situs dan menyebabkan lebih dari 11ribu ribu situs terblok oleh Google.
Dari analisa awal, sepertinya ada korelasi antara serangan ini dengan celah keamanan yang ditemukan pada salah satu plugin wordpress terpopuler, RevSlider (Revolution Slider), namun belum ada pernyataan resmi tentang ini.
Apakah situs anda terkena serangan ini ?
Ada 2 cara untuk melihat apakah situs anda terkena serangan ini:
1. Melihat file wp-includes/template-loader.php dan lihat apakah script melakukan load pada 'swfobject':
<?php
function FuncQueueObject()
{
wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');
2. Lakukan cek manual melalui SiteCheck Scanner gratis yang diberikan oleh sucuri
Tindakan keamanan situs
(updated) Inilah statistik pada 5 Juli 2021:
Sumber: https://patchstack.com/website-hacking-statistics/
Gambar diatas adalah percobaan hack secara dengan metoda bruteforce, dan daftar tersebut masih sangat panjang (bahkan belum terlihat tanggal hari ini - 15 desember 2015)
Fakta: Percobaan hacking terjadi hampir setiap hari
Faktanya aktivitas hacking tidak akan pernah habis, untuk para hacker aktivitas penetrasi terkadang dilakukan seperti kegiatan bermain teka-teki, sebuah aktivitas yang menantang. Bila anda adalah blogger atau pribadi tanpa keahlian hal teknis, jujur kami katakan ini akan menjadi mimpi buruk anda.
Baca juga: Web cepat itu penting !
Kami, sebagai salah satu web developer di Indonesia, tak terkecuali, bahkan dalam bulan ini (Desember 2014) 2 klien kami mengalami serangan serius yang melumpuhkan situs hingga 1 hari. Namun dengan persiapan yang cukup, dampak kerusakan bisa diminimalkan.
Inilah langkah-langkah dasar pengaman yang kami anjurkan:
1. Pastikan WordPress anda dalam versi terbaru
2. Lakukan backup berkala
3. Update plugin anda (namun pastikan bisa berjalan dengan versi wordpress terbaru)
4. Jangan pernah gunakan plugin komersil yang telah dibajak. Anda tidak pernah tau apakah kode dalam plugin tersebut telah diselipkan kode jahat atau tidak
5. Proteksi wp-admin dengan otentikasi .htaccess
6. Pastikan File Permission anda benar , kami gunakan folder dengan CHMOD 755 untuk folder, dan CHMOD 644 untuk script PHP
7. Jika anda gunakan VPS, jangan gunakan user 'root' untuk aktivitas harian anda.
8. Jangan gunakan user 'admin' ,'administrator' pada website anda
9. Gunakan kombinasi password yang susah ditebak
Referensi Berita: Sucuri Blog
Tips keamanan & wordpress: WordPress Doc, wpcop
Jika anda membutuhkan bantuan dalam mengoptimasi website dan memproteksi situs wordpress anda, hubungi kami di info@doxadigital.com
