Blogger Pemula Info

Plugin Plugin WordPress Berbahaya dan Tips Memilih Plugin WordPress

Ditulis Pada | August 8, 2009 | 24 Comments

Hi Welcome, Terima kasih sudah berkunjung ke blog ini. Jika anda merasa tulisan di blog ini bermanfaat, silahkan subscribe untuk mendapatkan informasi setiap ada tulisan baru di blog ini. Terima Kasih dan Salam, Blogger Pemula

Plugin-plugin berbahaya di wordpress maksudnya adalah plugin-plugin wordpress yang berisi virus, worm, Trojan, atau backdoor, dll yang berpotensi merusak, mencuri data, membebani server, maupun membuat blog kita dibenci oleh google. Layanan wordpress yang merupakan opensource dan memberikan keleluasaan untuk pihak ketiga dalam mengembangkan plugin selain memberikan dampak positif, juga banyak dimanfaatkan oleh pihak lain untuk hal-hal negatif.

Plugin-plugin berbahaya di wordpress tersebut tidak semuanya bisa difilter dengan baik oleh wordpress dan wordpress sendiri menyatakan tidak bertanggungjawab terhadap semua plugin yang ada. Karenanya hal ini dikembalikan kepada pengguna wordpress untuk berhati-hati dalam memilih dan melakukan instalasi plugin. Berikut adalah tips-tips dalam memilih plugin yang aman:

1. Hindari plugin-plugin berbahaya berikut.

Plugin-plugin wordpress berbahaya berikut diperoleh dari http://www.milw0rm.com/ yang berisi informasi potensi celah keamanan suatu software dan aplikasi. Pilih menu “Search” dan masukkan kata “wordpress” maka akan muncul plugin-plugin wordpress dan potensi bahayanya berikut:

1. WordPress 2.8.1 (url) Remote Cross Site Scripting Exploit
2. WordPress Plugin My Category Order <= 2.8 SQL Injection Vulnerability
3. WordPress Privileges Unchecked in admin.php and Multiple Information
4. WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability
5. WordPress Plugin DM Albums 1.9.2 Remote File Disclosure Vulnerability
6. WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln
7. WordPress Plugin Photoracer 1.0 (id) SQL Injection
8. WordPress Plugin Lytebox (wp-lytebox) Local File Inclusion
9. WordPress Plugin fMoblog 2.1 (id) SQL Injection
10. WordPress MU < 2.7 ‘HOST’ HTTP Header XSS Vulnerability
11. WordPress plugin WP-Forum 1.7.8 Remote SQL Injection Vulnerability
12. WordPress Plugin Page Flip Image Gallery <= 0.2.2 Remote FD Vuln
13. WordPress Plugin e-Commerce <= 3.4 Arbitrary File Upload Exploit
14. WordPress Media Holder (mediaHolder.php id) SQL Injection Vuln
15. WordPress Plugin st_newsletter (stnl_iframe.php) SQL Injection Vuln
16. WordPress 2.6.1 (SQL Column Truncation) Admin Takeover Exploit
17. WordPress 2.6.1 SQL Column Truncation Vulnerability
18. WordPress Plugin Download Manager 0.2 Arbitrary File Upload Exploit
19. WordPress Plugin Spreadsheet <= 0.6 SQL Injection Vulnerability
20. WordPress Plugin Download (dl_id) SQL Injection Vulnerability
21. WordPress Plugin Sniplets 1.1.2 (RFI/XSS/RCE) Multiple Vulnerabilities
22. WordPress Photo album Remote SQL Injection Vulnerability
23. WordPress Plugin Simple Forum 1.10-1.11 SQL Injection Vulnerability
24. WordPress Plugin Simple Forum 2.0-2.1 SQL Injection Vulnerability
25. WordPress MU < 1.3.2 active_plugins option Code Execution Exploit
26. WordPress Plugin st_newsletter Remote SQL Injection Vulnerability
27. WordPress Plugin Wordspew Remote SQL Injection Vulnerability
28. WordPress Plugin dmsguestbook 1.7.0 Multiple Remote Vulnerabilities
29. WordPress Plugin WassUp 1.4.3 (spy.php to_date) SQL Injection Exploit
30. WordPress Plugin Adserve 0.2 adclick.php SQL Injection Exploit
31. WordPress plugin fGallery 2.4.1 fimrss.php SQL Injection Vulnerability
32. WordPress Plugin WP-Cal 0.3 editevent.php SQL Injection Vulnerability
33. WordPress plugin WP-Forum 1.7.4 Remote SQL Injection Vulnerability
34. WordPress Plugin Wp-FileManager 1.2 Remote Upload Vulnerability
35. WordPress <= 2.3.1 Charset Remote SQL Injection Vulnerability
36. WordPress Plugin PictPress <= 0.91 Remote File Disclosure Vulnerability
37. WordPress Plugin BackUpWordPress <= 0.4.2b RFI Vulnerability
38. WordPress Multiple Versions Pwnpress Exploitation Tookit (0.2pub)
39. WordPress 2.2 (wp-app.php) Arbitrary File Upload Exploit      21107 R
40. WordPress 2.2 (xmlrpc.php) Remote SQL Injection Exploit
41. WordPress 2.1.3 admin-ajax.php SQL Injection Blind Fishing Exploit
42. WordPress plugin myflash <= 1.00 (wppath) RFI Vulnerability
43. WordPress plugin wordTube <= 1.43 (wpPATH) RFI Vulnerability
44. WordPress plugin wp-Table <= 1.43 (inc_dir) RFI Vulnerability
45. WordPress Plugin myGallery <= 1.4b4 Remote File Inclusion Vulnerability
46. WordPress 2.1.2 (xmlrpc) Remote SQL Injection Exploit
47. WordPress <= 2.0.6 wp-trackback.php Remote SQL Injection Exploit
48. WordPress 2.0.5 Trackback UTF-7 Remote SQL Injection Exploit
49. Enigma 2 WordPress Bridge (boarddir) Remote File Include
50. WordPress <= 2.0.2 (cache) Remote Shell Injection Exploit
51. WordPress <= 1.5.1.3 Remote Code Execution eXploit (metasploit)
52. WordPress <= 1.5.1.3 Remote Code Execution 0-Day Exploit
53. WordPress <= 1.5.1.2 xmlrpc Interface SQL Injection Exploit
54. WordPress <= 1.5.1.1 SQL Injection Exploit
55. WordPress <= 1.5.1.1 “add new admin” SQL Injection Exploit
56. WordPress Blog HTTP Splitting Vulnerability

2. Pilih plugin yang telah didownload lebih dari 10,000 kali.

Pilih hanya plugin plugin wordpress yang memiliki statistik telah didownload lebih dari 10,000 kali. Jangan jadi kelinci percobaan suatu plugin, pastikan telah banyak yang download plugin tersebut yang berarti cukup aman.

3. Kunjungi situs pembuat plugin wordpress tersebut.

Cek komentar yang ada di situs pemilik plugin tersebut. Hindari plugin plugin wordpress yang situs pembuatnya berisi komentar negatif.

4. Lihat reputasi pembuat plugin.

Pilih plugin plugin wordpress yang dibuat oleh orang yang memiliki reputasi yang baik atau telah beberapa kali membuat plugin yang tidak berbahaya. Meskipun ini bukan jaminan, namun setidaknya kredibilitas pembuat plugin bisa menjadi salah satu tolak ukur.

5. Scan plugin dengan menggunakan antivirus.

Untuk melakukan scan terhadap suatu plugin  sebaiknya download terlebih dahulu plugin plugin wordpress tersebut ke komputer kita sebelum diinstall agar bisa langsung di scan. Sebagian besar server di hosting tidak memiliki anti virus, jadi sebaiknya kita tetap mengandalkan anti virus yang ada di komputer kita. Salah dua antivirus yang cukup handal adalah “AVG Free Edition” dan “Avast Free Edition” yang mendeteksi adanya backdoor pada suatu file PHP.

Kesimpulan:

Plugin plugin wordpress adalah ciptaan pihak ketiga yang tidak dijamin oleh wordpress sendiri. Salah satu kasus cukup besar yaitu ketika program wordpress yang dihack. Blog security pernah melakukan interview langsung pada pencipta wordpress Matt Mullenweg di “WordPress hosted systems was hacked”. Plugin-plugin wordpress berbahaya di atas hanyalah sebagian kecil dari plugin plugin wordpress yang sebagian besar adalah plugin yang baik dan membantu dalam negblog di wordpress. Karenanya kita sebagai pengguna yang harus tetap berhati-hati dan cerdas dalam memilih plugin.

make money blogging @ Plugin Plugin WordPress Berbahaya dan Tips Memilih Plugin WordPress

Tags: memilih plugin, plugin, plugin berbahaya, Plugin WordPress, tips memilih

Popularity: 3% [?]

Artikel lain tentang:

pengertian instalasi, membuat komputer server, cara membuat pc server

Suka dengan tulisan di atas? Dapatkan TIPS-TIPS make money blogging gratis lainnya dengan memasukkan email anda disini:

Komentar-komentar

24 Comments to Read