WordPress 2.1.1 Vulnerabilities, Masih banyak Korban
Kemarin malem, ada seorang temen yang ngontak aku nanyain tentang blog-nya di-hack orang. Pertama yang muncul di kepala adalah: WordPress ada bug lagi apa yak?
Udah lebih dari setahun sejak Maret 2007 lalu, setahuku lom ada lagi kasus Wordpress kedapetan ada bug. Kalo pada masi inget, itu jamannya versi 2.1.1 ke bawah.
Langsung aja, ga pake lama, acara coding tak delay, kerjaan tak tunda semua, langsung ke tkp buat riset forensik.
Kasusnya, secara tiba-tiba, di blog temenku ini muncul ribuan link di footernya. Saking banyaknya, sampe² memory resources pc yang dialokasikan ke sebuah browser ga ngangkat buat mbuka blognya sampe kelar.
Masi bawa dasar bahwa sejak Maret 2007, hingga hari ini, versi terbaru 2.5.1 di release 4 hari yang lalu, aku lom denger ada Wordpress kedapetan punya bug lagi, aku segera nge-cek versi wordpress di blog tersebut. And guess what? Versi wordpress-nya: versi 2.1.1.
Well, ternyata masalahnya udah ada obatnya sejak setahun lalu, jadi aku ga perlu nge-fix coding apapun.
Apa yang terjadi dengan Wordpress 2.1.1?
Setahun yang lalu, tepatnya 2 Maret 2007, Matt dari Wordpress, kasi pengumuman resmi, bahwa Wordpress versi 2.1.1 berbahaya, dan harus segera di update ke versi 2.1.2.
Penjelasan lengkap dari Matt :
Pagi ini, (pagi tanggal 2 Maret 2007) kami menerima kabar ke security mailing address kami, tentang “unusual dan highly exploitable code” di wordpress. ( Baca: bug yang sangat bahaya banget).
Masalah ini langsung di-investigasi dan ketahuan bahwa file download versi 2.1.1 telah dimodifikasi dari source (coding) aslinya. Website langsung kita tutup, untuk menyelidiki apa yang terjadi.
Ternyata, ada seorang cracker yang mendapat level akses user ke salah satu server wordpress.org, dan gunain akses tersebut buat memodifikasi file download. Kami udah nutup server itu untuk penyelidikan lebih lanjut, tapi buat saat ini, hanya file download 2.1.1 saja yang diutak-atik oleh si cracker. Dia memodifikasi 2 file wordpress (theme.php & feed.php) dan memasukkan code yang memungkinkan eksekusi php jarak jauh (remote php execution).
[ Wordpress Announced Exploited 2.1.1 ]
Saran resmi dari WordPress:
1. Kalo blog kamu ake 2.1.1, segera upgrade, full-overwrite semua file, terutama yg ada di wp-includes.
2. Cek blog temen² kamu, klo ada yang masi pake 2.1.1, kasi kabar, klo bisa bantu mereka buat upgrade.
3. Kalo kamu webhost admin ato network admin, blok akses ke “theme.php” dan “feed.php”, terutama semua query dengan string “ix=” atau “iz=” di dalamnya.
Balik ke Blog temenku.
Oke, itu cerita tentang kejadian setahun yang lalu. Catet: 2 Maret 2007. Kalo pada inget, server download wordpress memang di tutup beberapa hari untuk tujuan investigasi dan forensik.
Tepatnya sebulan kemudian, 3 April 2007, Wordpress kasi pengumuman resmi tentang security update yang di-release khusus 2.0 dan 2.1 beserta cabangnya. Ketika tak cek di link downloadnya, server download udah dibuka lagi oleh wordpress. [ Baca tentang Security Release 2.1 & 2.0 branches. ]
Pengecekan TKP yang tak lakuin cuman sekedarnya saja, karena masalahnya sudah ketahuan, ada di theme.php dan feed.php di folder wp-includes, dan file yang di modifikasi oleh si cracker adalah footer.php di wp-content/themes/, yang file aslinya cuman 738bytes (di explorer kebaca 1kb), jadi 2.1MB!
Seperti kebiasaan cracker smp hari ini, biasanya mereka masi tetep nge-cek dan scan site-site buat target mereka. Rupanya, site temenku ini udah dijadiin target tetap, karena dia bilang kejadian kayak gini pernah kejadian. Jadi walopun footer yang di-alterasi di-remove alterasinya, cracker bisa kapan aja modif lagi.
Quick fixnya adalah:
1. Upgrade ke versi di atasnya atau di versi terbaru, seperti saran wordpress.
2. Replace file di wp-includes & file footer.php
Pilihan temenku jatuh ke pilihan 2, karena dia takut kalo plugin-plugin yang udah dia install di blognya ikutan ngilang.
Fixing Steps:
1. Aku download versi 2.1.1 lagi, yang udah dinyatakan bersih (3 April 2007 yang lalu) dari alterasi si cracker.
2. Masuk ke cpanel, nge-remove satu folder wp-includes se-isinya, nge-replace dengan wp-includes versi bersih 2.1.1, yang baru aja tak download.
3. Remove & replace file footer.php.
4. Kelar.
Walopun fixing ini berhasil, aku pribadi tetep menyarankan opsi Upgrade.
Kenapa masi ada Korban buat bug yang udah Sangat lama?
Jawabannya sebenernya sangat simple, karena yang masi pada pake versi yang “terinveksi” ga pada upgrade smp hari ini. Jadi sebenernya mereka sasaran empuk yang nunggu minta disantap kapan aja oleh cracker.
Bukan cracker-nya yang jago, bisa nge-hack blog kamu, bukan!
Blog kamunya kok yang ada bolong-nya. Jadi, Sapa aja yang tahu remote eksekusi php, dan dapet blog versi 2.1.1, bisa modifikasi dengan gampang blog kamu.
So, kalo kamu masi pake versi 2.1.1, remove dan replace folder wp-includes dengan versi bersih 2.1.1 dari wordpress, and..
Most recommended: Segera upgrade!
May 1st, 2008 at 2:19 pm
Post yang sangat bermanfaat. Thanks.
May 8th, 2008 at 10:56 am
untung dah upgrade, kemaren2 sempat kena hack juga…