Sesuai dengan artikel (kutipan)
” Yesterday a vulnerability was discovered: a specially crafted URL could be requested that would allow an attacker to bypass a security check to verify a user requested a password reset. As a result, the first account without a key in the database (usually the admin account) would have its password reset and a new password would be emailed to the account owner. This doesn’t allow remote access, but it is very annoying.
We fixed this problem last night and have been testing the fixes and looking for other problems since then. Version 2.8.4 which fixes all known problems is now available for download and is highly recommended for all users of WordPress. ”
Yang bisa dicek di http://wordpress.org/development/2009/08/2-8-4-security-release/
Ternyata gunggu.com jadi salah satu korban keisengan beberapa hacker, saya terima notifikasi imel dari seorang mahasiswa tadi pagi jam 6, untung tidak bisa remote access, jadi tidak ada yang signifikan yang dirubah. Semuanya sudah aman sekarang. Oh iya, beberapa waktu yang lalu SNK juga doba dihack namun gagal, masih tertinggal beberapa script php di foldernya SNK, namun sudah saya hapus dan pindahkan folder ke tempat yang lebih tersembunyi.
[update]
Setelah saya nyoba hack sendiri (gampang banget, tinggal ketik direct url beneran pada http://www.XXX.com/wp-login.php?action=rp&key[]=) anak SD juga bisa kayaknya, ternyata masih ada flaw nya dari wordpress, akhirnya saya edit sendiri script nya untuk menghindari hack, berhubung wordpress sudah yang paling baru tapi masih ada kekurangan keamanannya.
Wah ternyata, gara-gara waktu masih banyak dialokasikan buat ngajar weekend, ada yang keluapaan, yaitu adanya file trojan wqwqwqwq. Kayaknya sih dah beres sekarang, gatahu deh, masih kudhu nyiapin bahan rapat besok #-o.
Leave a Reply