Celah di Wordpress


Status
Not open for further replies.

jones

Poster 2.0
@jones tolong perumpamaannya pakai yg enak dibaca sdikit, karna kita semua disini bukan anak jalanan. Thanks!
yah... anggap saja tai tikus lah, baru kepikiran itu untuk membuat perumpamaan, emang apa yg enak buat di umpamakan? hmm.. saya kepikiran itu karena dulu waktu saya kerja di kantoran saya ingat pernah memintta OB agar jgn nyemprot2 ruangan dengan spray dan parfum untuk menghilangkan bau tai tikus yg di sela2 rak, saya minta di bersihin tai nya terus tikus nya ditangkep,

Btw tai nga harus identik dengan anak jalanan bro... ntar ada anak jalanan yg komplain lg... :24::24: yah udah sorri kalau anda merasa nga nyaman, stay cool aja..:cool:

@ jaapns saya cenderung merekomendasikan block dengan .htaccess
anda tinggal masukkan nama folder yg nga boleh dikunjungi langsung, kalau buat file, kalau banyak anda tinggal masukin extention nya, mis *.php
lebih simple dan sekali upload. beres deh
 

mastereon

New Member
... saya cenderung merekomendasikan block dengan .htaccess
anda tinggal masukkan nama folder yg nga boleh dikunjungi langsung, kalau buat file, kalau banyak anda tinggal masukin extention nya, mis *.php
lebih simple dan sekali upload. beres deh
Setuju bro, lebih enak dan aman dengan .htaccess, soalnya cukup nambahin di file .htaccess aja, ga perlu 1 persatu file... Klu punya byk web wp, tinggal copas aja isi .htaccess tsb ke web wp yg laen... ^_^
 

cakep

Beginner 1.0
Di forum tetangga sedang ramai dibahas tentang celah di Wordpress, yang dapat dimanfaatkan hacker untuk menghack Wordpress dan cPanel. Berikut sedikit rangkumannya, semoga bermanfaat.
Hanya dengan mengakses
http://domain_anda.com/wp-includes/wp-db.php
atau
http://domain_anda.com/dir_wp_anda/wp-includes/wp-db.php
maka akan muncul :
Fatal error: Call to undefined function wp_die() in /home/domain_utama/public_html/add_on.com/wp-includes/wp-db.php on line 1039

dari sini bisa terbaca struktur webnya, apakah domain utama atau add on.

Jadi intinya, bug tersebut terletak pada file wp-db.php (worpress-database)
Dan hampir semuanya ada pada line 1039

Solusinya :
<?php
error_reporting(0); <------ tambahkan pada file wp-db.php
/**
* WordPress DB Class

Dengan patch tersebut akan membuat blank ketika file tersebut di akses.

Maaf masih newbie, apa bahayanya jika struktur web tsb di ketahui public ?
Memang saya terbiasa menggunakan cara PHPBB dalam kodingan saya dengan maksud biar file tsb tak dapat diakses sendirian melainkan harus di include di file yg akan di include saya kasih spt ini :
Code:
if (!defined('IN_PHPBB'))
{
	exit;
}
Yang memanggil/meng-include aku kasih sperti ini :
Code:
define('IN_PHPBB', true);
Kalau pakai wordpress, saya memang belum menerapkan hal tsb. Utk itu tolong dong di kasih tahu bahaya jika struktur web tsb di ketahui public ?
 
Status
Not open for further replies.

Top