Seseorang Telah Mencoba Menembus Ruang Admin RISOFTE
Hari ini tepatnya Kamis, 26 November 2009 pukul 19:02 WIB, Mesin WordPress yang saya gunakan mengirimkan email otomatis yang berisikan pemberitahuan bahwa ada seseorang yang hendak mereset password ruang admin dari situs ini (www.rismaka.net)
Isi email tersebut adalah sebagai berikut:
Someone has asked to reset the password for the following site and username.
Username: rismaka
To reset your password visit the following address, otherwise just ignore this email and nothing will happen.
http://www.rismaka.net/wp-login.php?action=rp&key=XXXXXXXXXXXXXXX&login=rismaka
Saya berani menyimpulkan bahwa yang melakukan adalah manusia, bukan mesin (BOT), karena di situ jelas dia mencoba menebak bahwa username yang saya pakai adalah “rismaka“, sedangkan BOT kemungkinan besar tidak bisa melakukannya setepat itu.
Siapakah gerangan orang tersebut? Siapapun orangnya ia belum bisa menebak semudah itu username maupun password yang saya pakai, karena semuanya telah saya ganti.
Dari kejadian ini, hendaklah kita semua selaku pemakai WordPress dapat lebih berhati-hati dalam mengamankan setiap celah yang ada untuk menghindari serangan-serangan dari orang yang “mengagumi” kita.
Beberapa tips singkat agar blog terhindar dari serangan:
- Usahakan untuk segera mengupgrade versi WordPress kita dengan versi yang terbaru
- Hapus atau sembunyikan versi WordPress
- Ubah username login
- Pilih password login yang sukar ditebak
- Lindungi direktori (folder) yang ada di direktori wp-content
- Lindungi file wp-config.php
- Batasi jumlah akses login
- Batasi akses direktori wp-admin untuk alamat IP tertentu saja
- Install plugin WP Security Scan
- [Tambahan] Ubah username dan password login secara berkala
Selengkapnya mengenai penjelasan dari tips-tips di atas bisa anda baca di sini. Semoga bermanfaat.
This entry was writen by rismaka, The Admin, A part time blogger, Biochemist, and Energy Consultant in PT. BKA. More profile on Contact.
Hampir saja kejadian yang saya alami terulang lagi diblog ini. Saat ini berbagai upaya dilakukan untuk mengamankan data-data yang ada. Hanya tips no 8 yang agak sulit diterapkan, masalahnya kalau koneksi dengan IP Dinamis, ntar kita sendiri yang nggak bisa masuk. Eniwey, Allhamdillah mas, tidak terjadi apa-apa.
wew asal jangan ampe ke cpanelnya aja ya, kok kurang kerjaan ya tu orang
wah, udah mulai ada yang nyoba menyabotase situs keren inih yah. klo dapet, kira2 dijual laku berapa ya?
Grrr… Ngeledek ya? :evil:
weh…sgtunya yaa??
moga2 gak ada yg usil ma blog ku… apaan sih yg mo diacak-acak..hehehe…paling cuma resep masakan ga pake aturan ala diriq…^^
wah,yang itu yang bahaya, . jangan ampe kbobolan lah,
tambahan. . .kalop ngen aman,mending upgrad ke 2.8.6 security release. . lbh aman. .
udah lewat,sekarang udah ada wordpress 2.9. . . satpamnya luar biasa ketat. . .
wah.. tebakannya bener banget.. sebaiknya username jangan nama weblog kita sendiri :D
ganti dgn yg sulit
smoga saya tidak mengalami kejadian yg sama hehe
mas,, tolong dong kasitau caranya upgrade WordPress.
punyaku 2.8.2 n mo upgrade ke 2.9.1 kok susah banget.
padahal udah pake automatic upgrade ama instant upgrade.
tolong bantuannya via email saya
terima kasih
Mas blog anda bagus sekali..banyk artikelnya yg aku pelajari..terima kasih tambahan ilmunya. Boleh ga mas tukeran link..sebetulnya saya malu minta tukeran link maklumlah aku pendatang baru yang baru belajar ngeblog.
cara menyembunyikan versi WP gimana cih??
Yang pasti bukan sy gan. He
Hahaha, saya pernah kena yang serupa. Pernah di-deface juga akhirnya. Setelah itu, baru tambal sana-sini. Memang ngga ada yang aman 100%.
Sayangnya, beberapa username akun lain kan rata-rata make username default, sesuai nama akun.
Jika anda memiliki IP static, silahkan blok akses ke wp-admin kecuali dari IP anda… kl punya IP dynamic susah juga mas..
Saya pernah mencoba mengakalinya dengan cara, meletakan direktori yang sensitif tersebut di server lain yang di mounting ke server utama.. jadi jika penyerang mencoba mengakses direktori tsb via browser, pesan error akan muncul ( Not Found ) tapi sejauh ini wp sendiri sering mengalami miss, jika hal ini diterapkan…
Kalo di drupal sih asik2 aja mas…