Plugin Plugin WordPress Berbahaya dan Tips Memilih Plugin WordPress

Posted on by · Leave a comment

Plugin-plugin berbahaya di wordpress maksudnya adalah  plugin-plugin wordpress yang berisi virus, worm, Trojan, atau backdoor, dll yang berpotensi merusak, mencuri data, membebani server, maupun membuat blog kita dibenci oleh google. Layanan wordpress yang merupakan  opensource dan memberikan keleluasaan untuk pihak ketiga dalam mengembangkan plugin selain memberikan dampak positif, juga banyak dimanfaatkan oleh pihak lain untuk hal-hal negatif.

Plugin-plugin berbahaya di wordpress tersebut tidak semuanya bisa difilter dengan baik oleh wordpress dan wordpress sendiri menyatakan tidak bertanggungjawab terhadap semua plugin yang ada. Karenanya hal ini dikembalikan kepada pengguna wordpress untuk  berhati-hati dalam memilih dan melakukan instalasi plugin. Berikut adalah  tips-tips dalam memilih plugin yang aman:

1. Hindari plugin-plugin berbahaya berikut.

Plugin-plugin wordpress berbahaya berikut diperoleh dari  http://www.milw0rm.com/ yang berisi informasi potensi celah keamanan suatu software dan aplikasi. Pilih menu Search  dan masukkan kata wordpress  maka akan muncul  plugin-plugin wordpress dan potensi bahayanya berikut:

  1. WordPress 2.8.1 (url) Remote Cross Site Scripting Exploit
  2. WordPress Plugin My Category Order <= 2.8 SQL Injection Vulnerability
  3. WordPress Privileges Unchecked in admin.php and Multiple Information
  4. WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability
  5. WordPress Plugin DM Albums 1.9.2 Remote File Disclosure Vulnerability
  6. WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln
  7. WordPress Plugin Photoracer 1.0 (id) SQL Injection
  8. WordPress Plugin Lytebox (wp-lytebox) Local File Inclusion
  9. WordPress Plugin fMoblog 2.1 (id) SQL Injection
  10. WordPress MU < 2.7 ˜HOST HTTP Header XSS Vulnerability
  11. WordPress plugin WP-Forum 1.7.8 Remote SQL Injection Vulnerability
  12. WordPress Plugin Page Flip Image Gallery <= 0.2.2 Remote FD Vuln
  13. WordPress Plugin e-Commerce <= 3.4 Arbitrary File Upload Exploit
  14. WordPress Media Holder (mediaHolder.php id) SQL Injection Vuln
  15. WordPress Plugin st_newsletter (stnl_iframe.php) SQL Injection Vuln
  16. WordPress 2.6.1 (SQL Column Truncation) Admin Takeover Exploit
  17. WordPress 2.6.1 SQL Column Truncation Vulnerability
  18. WordPress Plugin Download Manager 0.2 Arbitrary File Upload Exploit
  19. WordPress Plugin Spreadsheet <= 0.6 SQL Injection Vulnerability
  20. WordPress Plugin Download (dl_id) SQL Injection Vulnerability
  21. WordPress Plugin Sniplets 1.1.2 (RFI/XSS/RCE) Multiple Vulnerabilities
  22. WordPress Photo album Remote SQL Injection Vulnerability
  23. WordPress Plugin Simple Forum 1.10-1.11 SQL Injection Vulnerability
  24. WordPress Plugin Simple Forum 2.0-2.1 SQL Injection Vulnerability
  25. WordPress MU < 1.3.2 active_plugins option Code Execution Exploit
  26. WordPress Plugin st_newsletter Remote SQL Injection Vulnerability
  27. WordPress Plugin Wordspew Remote SQL Injection Vulnerability
  28. WordPress Plugin dmsguestbook 1.7.0 Multiple Remote Vulnerabilities
  29. WordPress Plugin WassUp 1.4.3 (spy.php to_date) SQL Injection Exploit
  30. WordPress Plugin Adserve 0.2 adclick.php SQL Injection Exploit
  31. WordPress plugin fGallery 2.4.1 fimrss.php SQL Injection Vulnerability
  32. WordPress Plugin WP-Cal 0.3 editevent.php SQL Injection Vulnerability
  33. WordPress plugin WP-Forum 1.7.4 Remote SQL Injection Vulnerability
  34. WordPress Plugin Wp-FileManager 1.2 Remote Upload Vulnerability
  35. WordPress <= 2.3.1 Charset Remote SQL Injection Vulnerability
  36. WordPress Plugin PictPress <= 0.91 Remote File Disclosure Vulnerability
  37. WordPress Plugin BackUpWordPress <= 0.4.2b RFI Vulnerability
  38. WordPress Multiple Versions Pwnpress Exploitation Tookit (0.2pub)
  39. WordPress 2.2 (wp-app.php) Arbitrary File Upload Exploit   Ã‚  Ã‚  Ã‚   21107 R
  40. WordPress 2.2 (xmlrpc.php) Remote SQL Injection Exploit
  41. WordPress 2.1.3 admin-ajax.php SQL Injection Blind Fishing Exploit
  42. WordPress plugin myflash <= 1.00 (wppath) RFI Vulnerability
  43. WordPress plugin wordTube <= 1.43 (wpPATH) RFI Vulnerability
  44. WordPress plugin wp-Table <= 1.43 (inc_dir) RFI Vulnerability
  45. WordPress Plugin myGallery <= 1.4b4 Remote File Inclusion Vulnerability
  46. WordPress 2.1.2 (xmlrpc) Remote SQL Injection Exploit
  47. WordPress <= 2.0.6 wp-trackback.php Remote SQL Injection Exploit
  48. WordPress 2.0.5 Trackback UTF-7 Remote SQL Injection Exploit
  49. Enigma 2 WordPress Bridge (boarddir) Remote File Include
  50. WordPress <= 2.0.2 (cache) Remote Shell Injection Exploit
  51. WordPress <= 1.5.1.3 Remote Code Execution eXploit (metasploit)
  52. WordPress <= 1.5.1.3 Remote Code Execution 0-Day Exploit
  53. WordPress <= 1.5.1.2 xmlrpc Interface SQL Injection Exploit
  54. WordPress <= 1.5.1.1 SQL Injection Exploit
  55. WordPress <= 1.5.1.1 œadd new admin  SQL Injection Exploit
  56. WordPress Blog HTTP Splitting Vulnerability

2. Pilih plugin yang telah didownload lebih dari 10,000 kali.

Pilih hanya  plugin plugin wordpress yang memiliki statistik telah didownload lebih dari 10,000 kali. Jangan jadi kelinci percobaan suatu plugin, pastikan telah banyak yang download plugin tersebut yang berarti cukup aman.

3. Kunjungi situs pembuat plugin wordpress tersebut.

Cek komentar yang ada di situs pemilik plugin tersebut. Hindari  plugin plugin wordpress yang situs pembuatnya berisi komentar negatif.

4. Lihat reputasi pembuat plugin.

Pilih  plugin plugin wordpress yang dibuat oleh orang yang memiliki reputasi yang baik atau telah beberapa kali membuat plugin yang tidak berbahaya. Meskipun ini bukan jaminan, namun setidaknya kredibilitas pembuat plugin bisa menjadi salah satu tolak ukur.

5. Scan plugin dengan menggunakan antivirus.

Untuk melakukan scan terhadap suatu plugin   sebaiknya download terlebih dahulu  plugin plugin wordpresstersebut ke komputer kita sebelum diinstall agar bisa langsung di scan. Sebagian besar server di hosting tidak memiliki anti virus, jadi sebaiknya kita tetap mengandalkan anti virus yang ada di komputer kita. Salah dua antivirus yang cukup handal adalah “AVG Free Edition† dan “Avast Free Edition† yang mendeteksi adanya backdoor pada suatu file PHP.

Kesimpulan:

Plugin plugin wordpress adalah ciptaan pihak ketiga yang tidak dijamin oleh wordpress sendiri. Salah satu kasus cukup besar yaitu ketika program wordpress yang dihack. Blog security pernah melakukan interview langsung pada pencipta wordpress Matt Mullenweg di “WordPress hosted systems was hacked†.Plugin-plugin wordpress berbahaya di atas hanyalah sebagian kecil dari  plugin plugin wordpress yang sebagian besar adalah plugin yang baik dan membantu dalam negblog di wordpress. Karenanya kita sebagai pengguna yang harus tetap berhati-hati dan cerdas dalam memilih plugin.(ref.  bloggerpemula.info)

 

Artikel Yang Mungkin Berkaitan :

Share this Article: Jika Menurut Sobat Blogger Artikel ini bermanfaat. Silakan bagikan ke Jejaring Social menekan button social share yang terdapat di bawah ini, Terimakasih!

Disclaimer: Eksternal Link dialihkan ke adf.ly. Setelah di klik Tunggu selama 5 Detik sampai di sudut kanan atas browser Anda muncul button SKIP, Klik SKIP untuk Melanjutkan.


LANGGANAN GRATIS VIA EMAIL
Jika anda suka dengan artikel di blog ini. Silahkan berlangganan GRATIS via EMAIL. Isi alamat email anda di bawah ini!!
       


.

About

@Founder PatasGSM Forum. Blogging Just Inspiration for Sharing as a newbie. Follow Me : Twitter | Facebook | Google+

Kata Kunci Menuju Artikel ini: