Masi pada pake wordpress versi 2.6.1? Ati-ati lho.. Ditemuin 2 vulnerability yg dilabelin bahaya, karena attacker bisa nge-reset password dari user laen. Serem bener khan? Stefan Esser yg punya suspekt.org, beberap waktu lalu kasi warning ke developer wordpress tentang bahaya dari SQL Column Truncation dan kelemahan mt_rand().
Dengan bantuannya, team wordpress beresin masalah ini trus nge-release Wordpress 2.6.2, 8 September 2008 lalu. Yup, agak telad emang aku nulis ini. Tapi khan mendingan telad daripada ga tau sama sekali? Apalagi taunya setelah dapet masalah.. Enggak banget deh.
Kudu Upgrade Gak seh?
Kalo kamu buka registrasi di blog kamu, kamu sangat harus upgrade. Karena, dengan dibukanya registrasi, di Wordpress 2.6.1 dan sebelumnya, jadi memungkinkan buat ngutak-atik sebuah username, yg bakalan memungkinkan ter-resetnya password user laen ke password yang di-generate secara random. Walopun password generate-an baru ini ga bakalan tampak buat attacker, masalah ini tetep masalah yang mengganggu banget. Selanjutnya, serangan di bagian ini dibarengin oleh kelemahan di nomor random yg dihasilkan oleh mt_rand(), yang bakalan bisa digunain buat mengira-ngira, password random yg akan di generate.
Stefan Esser udah nge-release detail lengkap tentang konsep attack ini dua-duanya, di SQL Column Truncation dan kelemahan mt_rand(). Serangan ini emang sangat sulit dilaksanain dan sangat sulit berhasil, tapi karena ini sangat mungkin dilakukan, dan emang sangat mungkin berhasil, upgrade ke versi 2.6.2 juga sangat di rekomendasikan.
Banyak blogger dan system admin yg mbuka registrasi di site ato blog mereka, sementara pada nutup fitur registrasi ini, sampe mereka bisa melakukan upgrade ke 2.6.2. Pilihan bijak. Serius.
Versi 2.6.2 : Bugs, Fixes dan Security Patches
Ada banyak bug yang ditemuin di versi 2.6.1 dan 2.6. Versi 2.6.2 ini emang direlease buat nge-jawab masalah ini, dan udah memiliki semua fix dan patch buat masalah security di versi 2.6.1 dan 2.6. Klo kamu termasuk orang yg tertarik masalah security dan dan bug, bisa kamu tengok ke halaman ini, yg berisi semua bug dan fix-nya.
Buruan pada upgrade gih. Yang udah pada upgrade, selamat bernafas lega yak..
[ English Version → ]
→ 
September 26th, 2008
8:40 am
Wordpress 2.6.1 Dangerous Vulnerabilities, Upgrade to 2.6.2 NOW! | Djarot Studio said :
[...] Indonesian version [...]
September 28th, 2008
3:45 am
wox said :
wah untung gak buka registrasi… weleh bahaya bener…
September 28th, 2008
5:07 am
djarot said :
Yup. klo emang ngga buka registrasi, masi aman kok. Walopun juga semua orang tetep bisa, ngelakuin serangan ini mas. Karena semua orang juga dah tau bahwa tempat login semua site dgn engine wordpress ada di /wp-admin/.
Klo sempat nonton ke site Stefan Esser, dan baca gmn penjelasan detail konsep serangan SQL Column Truncation di kombinasikan dengan kelemahan mt_rand(), dia bahkan kasi contoh dengan username admin. Dengan catatan, di blog tsb, ada user laen selain admin. klo ngga ada, yo tetep aman.
Masi pake 2.5.1 yak?
October 14th, 2008
3:58 pm
akusnadie said :
ah… leganya untung sayah gag pake wordpress
btw.. mas jarot, sekarang blognya dwi bahasa yah?
salam
October 14th, 2008
5:27 pm
djarot said :
Lho, ngga pake wordpress kok bangga, ehm… Ntar klo dah jalan bbrp bulan tp ga ada visitor baru kerasa deh ruginya.
Blog pake coding sendiri keren. Cuman ajah, yg nyumbang nulis buat program opensource kyk wordpress, joomla, drupal, dll, weitss.. jangan ditanya sangarnya!
Bukti dikit, mumpung iseng-nya lagi kumat mas..
di site mas: biologi-staincrb.web.id/blog, tak ambil contoh satu postingan dgn judul “Test Blog”.
1. Coba di liat di Title = IPA Biologi STAIN Cirebon-biologi-staincrb.web.id.
2. Meta Description = elearning IPA Biologi STAIN Cirebon at biologi-staincrb.web.id
3. Meta keyword = biologi stain cirebon, elearning gratis, …
Semua sama di semua page, kek gitu itu. Ama search engine udah pasti didetect duplicate title, description, and keyword.
Di 3 point itu ajah wis, SEO onpage nya dah ga dapet, hayo0o..Ga perlu tak bahas function yg bersifat core yak. Akibat yg pasti, visibility ke search engine udah bisa ditebak, hampir nggak ada.
Masukan aja lho..
Rencananya klo pas lg pengin nulis english (narik relevansi query keyword english), tak bikin versi indonesia-nya mas. Yg jelas dah tak mulai. Ga tau ntar kelanjutan-e gmn.
Thanks berat mas, dah mampir lagi
October 14th, 2008
7:43 pm
akusnadie said :
anu mas… sayah cuma ngikutin tutorialnya mas djarot mengenai optimasi onpage itu, kan disuruh nulis kayak gitu.., atau sayahnya yah yang salah nangkep
btw.. terimakasih yah mas dah maen ke web sayah
salam
October 14th, 2008
7:49 pm
akusnadie said :
mas djarot sayah juga pake CMS drupal kok,,
sayah ga ngerti koding mas
, sedih juga web sayah belum ke index sama google
dah submit kemana mana sih.. tapi hasilnya tetap begitu.. duh..
*ups.. kok jadi curhat nih sayah**
October 31st, 2008
8:53 am
hariman said :
Aku pake WP 2.6 lagi belajar pake WP kayaknya mesti upgrade dulu biar aman
October 31st, 2008
8:56 am
djarot said :
yo-i, pilihan bijak. NgomongĀ² 2.6.3 jg dah keluar kok.
Thanks dah mampir mas.