Menyisipkan Plugins Ke Blog Wodpress Orang

[shidhi]

selamat malam dwh,
saya ingin bertanya bagaimana cara orang bisa menyisipkan plugin ke blog wodpress milik orang lain.
tadi malam saya kaget ketika mengakses situs blog saya langsung ke redirect ke halaman iklan dan iklan itu bukan milik saya.
dan saya cek dari winSCP saya lihat ada tanggal folder yg baru di perbaharui, dan saya buka ternyata memang di folder plugin ada folder dan file baru dan ternyata plugin itu yang menyebabkan redirect, dan setelah saya hapus masalah selesai...

tapi sampai sekarang saya masih belum tau darimana orang itu bisa memasukkan file plugin itu..
saya menggunakan vps dan dalam vps itu hanya ada 1 situs tersebut dengan detail
os centos 7
menggunakan openlitepeed tanpa control panel dan lscache aktif
menggunakan WordPress 5.5.3 dengan thema Iconic One versi gratis
plugin yg di install dan aktiv hanya Classic Editor dan Yoast SEO

saya sudah cek log login ssh beberapa hari terakhir dan tidak ada log login lain yg success kecuali ip saya sendiri. untuk passwod wp sendiri saya sudah menggunakan user kombinasi huruf dan angka begitu juga dengan passwod begitu, jadi rasanya agak sulit kalau login ke dasbord wp karena nebak2 user+pass..

mungkin temen2 di dwh ada yg tau atau bisa kasih saran mungkin apa yang harus saya periksa untuk mencari tau dimana letak celahnya..
terimakasih sebelumnya..

 

[WheeHosT]

Halo Tuan,

Sekedar berbagi, kalau dari pengalaman pribadi yang paling sering di temukan, karna versi Wordpress yang tidak di update, menggunakan plugin atau tema yang tidak resmi, pengaturan permission file atau direktori yang tidak sesuai dan file xmlrpc.php di wordpress tidak di nonaktifkan.


Salam,

Whee

 

[shidhi]

Halo Tuan,

Sekedar berbagi, kalau dari pengalaman pribadi yang paling sering di temukan, karna versi Wordpress yang tidak di update, menggunakan plugin atau tema yang tidak resmi, pengaturan permission file atau direktori yang tidak sesuai dan file xmlrpc.php di wordpress tidak di nonaktifkan.


Salam,

Whee

ok om terimakasih untuk masukan dan ilmunya barusan saya langsung buka google soal xmlrpc.php dan mungkin benar saya harus menonaktifkannya,, kalau soal thema, plugin di kasus saya ini resmi om walaupun versi gratis

 

[pluto01]

Dan mungkin pastikan juga akses FTPnya tidak aktif

jadi rasanya agak sulit kalau login ke dasbord wp karena nebak2 user+pass..

Bisa saja sudah jauh-jauh hari mereka mencobanya dan baru kali ini berhasil

Dan bisa jadi juga terinstall tanpa disadari yang sebetulnya kita melakukannya sendiri

 

[shidhi]

Dan mungkin pastikan juga akses FTPnya tidak aktif

ftp yg di maksud termasuk SFTP tidak om? soalnya kalau ftp memang tidak terinstall tapi kalau sftp ya bisa pake login root..

Bisa saja sudah jauh-jauh hari mereka mencobanya dan baru kali ini berhasil

mungkin juga om, dan sekarang di folder dasbord nya saya tambahin autentikasi menggunakan Realm di menu context OLS tapi malah jadi ada peringatan performace di
site health status WP nya "Your site could not complete a loopback request" itu pengaruhnya besar tidak om karna saya juga gak begitu ngerti fungsinya loopback buat apa.

 

[pluto01]

Saya belum pernah alami tapi jika melihat dari pesannya "Your site could not complete a loopback request"
Tidak bisa melakukan http request ke servernya melalui cURL

 

[shidhi]

Saya belum pernah alami tapi jika melihat dari pesannya "Your site could not complete a loopback request"
Tidak bisa melakukan http request ke servernya melalui cURL

ok terimakasih om, saya coba googling tentang loopback

 

[mas.satriyo]

mungkin temen2 di dwh ada yg tau atau bisa kasih saran mungkin apa yang harus saya periksa untuk mencari tau dimana letak celahnya..

cek instalasi wordpress, usahakan selalu pakai yg terbaru
cek plugin dan themes, barangkali pernah pakai nulled, atau ada yg sudah lama tidak diupdate
cek permission dan ownership direktori-file
cek rules htaccess
jika tidak dipakai, baiknya xmlrpc dimatikan saja
pastikan username dan password tidak mudah ditebak

 

[shidhi]

cek plugin dan themes, barangkali pernah pakai nulled, atau ada yg sudah lama tidak diupdate

terimakasih om sarannya,.. memang thema lumayan lama belum saya update terahir update bulan juni kemarin,, thema kadang males mau update soalnya ada beberapa yg sudah saya rubah jadi tiap update harus edit lagi karena saya tidak pake child thema.. tapi rencana malam ini saya update karena liat Changelog di versi atasnya ada Security update.

 

[mas.satriyo]

soalnya ada beberapa yg sudah saya rubah jadi tiap update harus edit lagi karena saya tidak pake child thema..

iya, memang baiknya kalau mau custom di child theme
jadi core-nya tetap rutin update