KafeGue.com

Daftar Celah Keamanan WordPress yang Perlu Ditutupi

Pada 23 June 2011 → 4116 kali dilihat

Hingga versi 3.1.3 (saat tulisan ini saya publish), CMS WordPress masih banyak sekali mengandung ‘bug’/celah keamanan yang muncul lewat eksploitasi via URL. Saya tidak tahu apakah ini karena kelalaian pihak pengembangnya atau memang disengaja.

Dari hasil riset kecil-kecilan saya selama beberapa jam, saya akhirnya menemukan cukup banyak celah keamanan WordPress. Umumnya terletak pada direktori rootnya. Ada juga yang terletak pada direktori induk/utama.

CMS WordPress sendiri terdiri atas 3 direktori utama, yaitu:

1. wp-admin
2. wp-content
3. wp-includes

Pada masing-masing direktori mengandung cukup banyak file. Bahkan masih ada direktori lagi di dalam masing-masing direktori utama tersebut. Mirip dengan struktur hierarki folder di komputer kita. Direktori bisa diartikan sebagai folder kalau kita kaitkan dengan komputer. Nah, kita tentu sudah tahu, bahwa dalam folder pun bisa kita buat folder lagi. Folder mengandung folder. Tentunya selain mengandung file.

Lalu, apa saja celah keamanan CMS WordPress pada direktorinya, terutama jika dieksploitasi via URL?

Berikut ini daftar lengkap celah keamanan WordPress yang bisa memunculkan ‘bug’ berupa pesan error. Lengkap dengan cara mengamankannya.

1. namadomain/wp-settings.php

   Tips pengamanan:

   1. Login ke kontrol panel hosting Anda (namadomain/cpanel).

   2. Masuk ke folder utama WordPress.
      Kalau menggunakan cPanel, masuk ke public_html > wp-settings.php
      Kalau menggunakan Spanel, masuk ke direktori sites > namadomainsitus > www > wp-settings.php

   3. Tambahkan/sisipkan kode penghilang pesan error berupa:

      error_reporting(0);

      Tepatnya di bawah kode pembuka PHP yang berupa <?php (lihat gambar berikut agar lebih jelas).

      

      Jadi, kodenya kita sisipkan di baris kedua (di bawah kode <?php). Caranya, cukup buat baris baru (dengan menekan enter) di bawah kode pembuka file wp-settings.php tersebut.

   4. Klik tombol simpan atau save untuk menyimpan settingan baru tersebut.

   Silakan cek pada link http://kafegue.com/wp-settings.php untuk melihat hasil pengamanan dengan cara di atas.

2. namadomain/wp-admin/namafile

   Berikut ini daftar nama file pada direktori wp-admin ini yang bisa memunculkan pesan error ketika dieksploitasi via URL:

   admin-functions.php
   menu.php
   menu-header.php
   options-head.php
   upgrade-functions.php
   

   Contoh celah keamanannya misalnya berupa http://namadomain.com/wp-admin/menu.php

   Tips pengamanan:

   Sama dengan pengamanan pada celah pertama di atas, yaitu dengan menambahkan/menyisipkan kode penghilang pesan error berupa error_reporting(0); di baris kedua pada masing-masing file. Misalnya jika di file menu.php akan seperti ini.

   

   Lakukan hal yang sama pada file-file lain yang terkandung di dalam direktori wp-admin (seperti pada list di atas). Lokasi direktorinya yaitu: public_html > wp-admin > nama file (jika menggunakan cPanel). Sedangkan kalau menggunakan Spanel, masuk ke direktori sites > namadomain > www > wp-admin.

   Contoh hasil pengamanan dengan cara ini yaitu pada link http://kafegue.com/wp-admin/menu.php

3. namadomain/wp-admin/includes/ dan namadomain/wp-admin/includes/namafile

   Direktori ini lumayan banyak mengandung ‘bug’ atau celah keamanan jika dieksploitasi lebih lanjut sampai ke bagian file-filenya. Dengan pola URL seperti di atas, maka pesan error yang menampilkan username akun hosting bisa terlihat/muncul.

   Contoh saja misalnya pada URL http://namadomain/wp-admin/includes/admin.php

   Berikut ini daftar file root pada direktori wp-admin/includes yang mengandung bug berupa pesan error ketika kita ekploitasi via URL:

   admin.php
   class-ftp-pure.php
   class-ftp-sockets.php
   class-ftp.php
   class-wp-filesystem-direct.php
   class-wp-filesystem-ftpext.php
   class-wp-filesystem-ftpsockets.php
   class-wp-filesystem-ssh2.php
   comment.php
   continents-cities.php
   file.php
   media.php
   misc.php
   plugin-install.php
   plugin.php
   template.php
   theme-install.php
   update.php
   upgrade.php
   user.php
   

   Bagaimana cara mengamankannya?

   Ada cukup membuat sebuah file .htacces pada direktori wp-admin/includes. Caranya:

   1. Login ke kontrol panel hosting WordPress Anda.

   2. Masuk ke direktori public_html > wp-admin > includes.
      Jika menggunakan Spanel, masuk ke sites > namadomain > www > wp-admin > includes.

   3. Buat sebuah file baru pada lokasi wp-admin > includes tersebut dengan nama .htaccess (dalam format txt). Anda bisa membuatnya dengan menu buat file baru atau dengan jalan upload file txt yang nantinya di-rename dengan nama ‘.htaccess’.
   4. Isilah file .htaccess tersebut dengan kode berikut ini:

      # PHP error handling for production servers
      php_flag display_startup_errors off
      php_flag display_errors off
      php_flag html_errors off
      php_flag log_errors on
      php_flag ignore_repeated_errors off
      php_flag ignore_repeated_source off
      php_flag report_memleaks on
      php_flag track_errors on
      php_value docref_root 0
      php_value docref_ext 0
      # [see footnote 3] # php_value error_reporting 999999999
      php_value error_reporting -1
      php_value log_errors_max_len 0
      

   5. Lalu klik tombol save atau simpan.

   Kode di atas berguna untuk menampilkan pesan error secara umum saja (tanpa memunculkan lokasi/letak error yang mengandung username akun hosting).

   Efek dari penambahan file .htaccess dengan script di atas bisa Anda lihat pada link berikut ini:

   http://kafegue.com/wp-admin/includes/

   http://kafegue.com/wp-admin/includes/admin.php

4. namadomain/wp-content/themes/namatheme

   Celah keamanan di lokasi ini sudah saya bahas tuntas di postingan tentang cara menutupi celah keamanan wordpress pada direktori wp/content/theme/namathemes. Silakan simak jika Anda belum membacanya.

5. namadomain/wp-includes dan namadomain/wp-includes/namafile

   Berikut ini daftar file di direktori wp-includes yang bisa memunculkan pesan error ketika dieskploitasi via URL:

   * canonical.php
   * class-feed.php
   * class.wp-scripts.php
   * class.wp-styles.php
   * comment-template.php
   * default-embeds.php
   * default-filters.php
   * default-widgets.php
   * feed-atom-comments.php
   * feed-atom.php
   * feed-rdf.php
   * feed-rss.php
   * feed-rss2-comments.php
   * feed-rss2.php
   * general-template.php
   * kses.php
   * media.php
   * post.php
   * registration-functions.php
   * rss-functions.php
   * rss.php
   * script-loader.php
   * shortcodes.php
   * taxonomy.php
   * template-loader.php
   * theme.php
   * update.php
   * vars.php
   * wp-db.php
   * user.php
   

   Tips pengamanan:

   1. Login ke kontrol panel hosting Anda.
   2. Masuk ke direkrori public_html > wp-includes (cPanel). Namun kalau menggunakan Spanel, masuk ke sites > namadomain > www > wp-includes
   3. Buat file .htaccess dengan isi

      <ifmodule mod_rewrite.c>
      RewriteEngine On
      RewriteBase /
      RewriteRule .*\.php$ http://namadomainsitusanda [L]
      

      Gunanya untuk mengalihkan ke halaman depan situs Anda jika ada yang mengakses domain situs kita melalui pola URL kelima ini. Jadi, pesan error yang bisa menampilkan username akun hosting tidak akan ditampilkan karena akan langsung dialihkan ke halaman utama situs kita.

      Jadi, coba ganti http//domainsitusanda dengan URL halaman depan situs Anda. Misalnya kalau situs ini, maka kode .htaccess baris terakhirnya menjadi:

      RewriteRule .*\.php$ http://kafegue.com [L]

      Contoh hasil penyisipan file .htaccess tersebut:

      http://kafegue.com/wp-includes

      http://kafegue.com/wp-includes/rss.php

Selamat mencoba.

Bagi Anda yang tak mau terlalu peduli dengan masalah keamanan situs WordPress Anda, silakan abaikan saja tulisan ini. Termasuk jika Anda sudah merasa cukup aman, walaupun username akun hosting Anda diketahui.

Jika ada solusi atau cara pengamanan lain yang menurut Anda lebih baik, silakan sharingkan di kolom komentar.

Sudah ada 113 komentar untuk posting di atas. Mau menambahkan?

lompat ke kotak komentar ⇑