Salah satu kelebihan (atau kekurangan?) WordPress sebagai platform blog yang paling populer adalah banyaknya dukungan dari ribuan plugin yang menambah fungsionalitas blog kita, menjadi lebih dari sekedar blog. Fitur default WordPress sendiri tidaklah selengkap WordPress.com, sehingga boleh dibilang kalau blog bermesin WordPress sangat bergantung pada dukungan plugin-plugin yang dibuat oleh pihak ketiga. Ada beberapa jenis plugin yang banyak blogger menganggapnya sebagai jenis plugin wajib untuk setiap blog WordPress ↓ Klik disini untuk membaca selengkapnya..

Health and Happiness by Tatiana Cardeal

Kemarin hari saya sempat menerbitkan himbauan agar rekan – rekan jangan mengunjungi bloggingly dulu karena seseorang melakukan menginjeksi Iframe yang mengarah kepada situs berbahaya pada bloggingly. Nah, dengan di publikasikannya tulisan ini, himbauan tersebut saya cabut. Sekarang, SILAHKAN KUNJUNGI BLOGGINGLY! Bloggingly sudah terbebas dari iFrame injection yang meresahkan!

Oya, banyak terima kasih sekali kepada teman – teman yang mengingatkan, khususnya kepada Ihwanul Iman sang kepala suku Bandung Blog Village dan Ilman Akbar dari AyoNgeblog yang sedemikian care nya pada bloggingly. Saya termasuk orang yang percaya bahwa setiap perbuatan selalu menimbulkan akibat, dan perbuatan baik pasti menimbulkan akibat yang baik pula. Semoga Tuhan segera membalas perbuatan baik kalian dengan balasan yang JAUH LEBIH BESAR

Cara Membersihkan iFrame Injection

Siapa tahu ada yang terkena masalah sama seperti saya, ini dia cara menanganinya:

iframe adalah elemen HTML yang tugasnya meng-embed dokumen HTML di dalam dokumen HTML. Dalam kasus iFrame injection pada bloggingly, sepertinya pelaku menyelipkan script iFrame di bloggingly agar ketika seseorang mengunjungi bloggingly, secara otomatis halaman bloggingly mengembed dokumen HTML si penyisip yang entah berfungsi melakukan apa.

Cara menangani iframe injection ini mudah : Hapus saja script yang bertugas memanggil dokumen iFrame.

Masalahnya adalah : file mana yang disisipi script iFrame ini?

yang paling sederhana adalah file index.php theme yang sedang digunakan. Coba cek. Saya mengecek file index.php theme yang sedang aktif via DESIGN > THEME EDITOR dan ternyata memang benar file index.php theme yang sedang aktif disisipi. Biasanya ada di bagian paling bawah file, berupa tag php yang melakukan echo :


<?php echo"">


Setelah dihapus lalu di save file, coba cek kembali halaman front end blog. Jika script iFrame-nya masih ada, berarti ada satu file lagi yang diinject script iFrame : index.php yang berada di direktori public_html.

Untuk menangani hal ini, buka software FTP client anda, lalu login ke server anda. Masuk ke direktori public_html lalu pilih edit file.

File index.php akan terbuka dengan code editor default PC anda. Bandingkan dengan file index.php wordpress versi sama yang benar ( Download di wordpress.org ) . Hapus script yang berbeda, lalu close editor code dan upload lagi file index.php tersebut ke direktori public_html server anda.

That’s it.

Enjoy!

Pemberitahuan untuk pengunjung bloggingly : JANGAN kunjungi bloggingly dulu. Seseorang menginject Bloggingly dengan iFrame dan hingga saat ini masalah iFrame ini belum terselesaikan karena saya hari ini saya ada urusan ke luar kota ( Bekasi ).

Maka dari itu, untuk anda pengunjung setia Bloggingly, harap maklum. Kami tidak ingin komputer anda terinfeksi oleh serangan seseorang yang kurang kerjaan.

BTW,untuk anda yang mengetahui cara menangani masalah ini, bisa membantu bloggingly dengan mengirimkan email ke fikrirasyid at gmail dot com. Beberapa poin untuk dipertimbangkan :

1. iFrame ini dari situs internetcountercheck.com
2. Saya sudah mengecek file theme, dan scriptnya tidak diselipkan disitu
3. Kira – kira script iFrame nya di selipkan dimana y?

Terima kasih untuk anda yang embantu bloggingly. Amal baik selalu terbalaskan kan?

Sekali lagi, tolong JANGAN kunjungi dulu bloggingly hingga pemberitahuan sebelumnya.

Enjoy!

Selang 47 hari setelah versi 2.6.2 dirilis, versi 2.6.3. dirilis. Hmm, sempat heran juga, karena selama ini yang di beritakan di blog developermentnya wordpress.org selalu tentang versi 2.7, eh tiba – tiba versi 2.6.3. nya muncul.

seperti biasa, rilisan .1 dan .2 dari versi wordpress tidak merombak besar – besaran tampilan wordpress, namun menutup celah – celah yang ada. pada versi 2.6.3 ini celah yang ditutup adalah vulnerability pada library snoopy. Well, kami juga tidak terlalu mengerti celah macam apa itu. sudah lama tidak ngutak – ngatik PHP sih. namun berdasarkan apa yang kami baca di rilis resminya, kami rasa ini masalah fetching feed di dashboard. kalau anda membuka dashboard wp-admin anda, pada bagian bawah ada box Other Wordpress News kan?kami rasa yang itu. Hmm, karena kami juga tidak begitu yakin, ada yang mau mengoreksi?

Well, jika anda kurang berkenan untuk mendownload keseluruhan filenya, cukup download 2 file yang di updatenya saja : class-snoopy.php dan version.php, lalu anda upload ke direktori wp-includes anda.

Enjoy!

WordPress

15 Agustus kemarin, versi 2.6.1 baru saja di rilis. Belum genap sebulan, 8 September sudah rilis versi 2.6.2 – nya. Well, cekatan sekali automattic guys ini menambal bug – bug pada engine wordpress. . Oke, di satu sisi, hal ini membuktikan dedikasi Automattic untuk menjadikan wordpress blogware yang terbaik dengan menangani bug – bug yang ada dengan cepat. Tapi disisi lain, rasanya agak kagok juga y kalau sedikit – sedikit upgrade engine blog? apalagi terkadang terjadi crash seperti kisah upgrade Om Cosa yang menghilangkan category ini. Hmm..

Ok, versi 2.6.2 ini mem-patch bug SQL Column Truncation dan kelemahan mt_rand(). intinya, jika anda meregistrasikan user lain secara terbuka pada blog wordpress anda, segera upgrade ke 2.6.2. Bug ini memungkinkan user me resetting password user lain. untuk lebih jelasnya, silahkan langsung menyambangi post yang di rilis oleh tim developer wordpress disini. Menurut mereka, serangan2 seperti ini relatif sulit dilakukan, tetapi mereka merekomendasikan untuk ” upgrade segera blog anda ke 2.6.2.”

Enjoy!

Berdasarkan post yang kami baca di blog ini, ternyata ada satu celah mendasar yang belum di amankan wordpress secara default. Artinya, pemilik blog lah yang harus mengamankannya sendiri.

Celah keamanan tersebut adalah direktrori plugin di namabloganda/wp-content/plugins/ yang tidak memiliki file index. hal ini menyebabkan alamat namabloganda/wp-content/plugins dapat diakses dan dapat melihat informasi mengenai plugin apa saja yang anda pakai di blog anda.

Karena beberapa plugin memiliki celah keamanan tertentu, jika ada yang berniat kurang baik terhadap blog anda, bisa saja orang tersebut mencari celah keamanan dari plugin yang anda pakai. Selanjutnya? mencuri informasi atau membajak blog bukanlah hal yang tidak mungkin dilakukan.

lalu, bagaimana mengatasinya?

sederhana saja. buat file html bernama index.html, dan upload ke direktori plugin anda.

langkahnya :

• buka aplikasi notepad di desktop anda
• copy-pastekan code berikut :

<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.01 Transitional//EN”
“http://www.w3.org/TR/html4/loose.dtd”>
<html>
<head>
<title></title>
<meta http-equiv=”Content-Type” content=”text/html; charset=iso-8859-1″>
<META HTTP-EQUIV=”Refresh” CONTENT=”3; URL-BLOG-ANDA”>
</head>

<body>
<h1 align=”center”>PESAN-ANDA</h1>
<br/>
</body>
</html>

• save dewngan nama file index.html
• upload dengan software FTP atau cPanel anda ke http://namabloganda/wp-content/plugins/
• selesai!

mudah sekali, untuk sebuah tindakan pengamanan untuk blog anda.

ada baiknya juga, jika direktori themes dan uploads anda juga anda taruh file index.html. Untuk mencegah “penyusup” mengintip “isi” blog anda.