Sebenarnya saya kurang rajin menulis bab ini kerana beberapa teman² telah pun mengulas mengenainya beberapa hari lalu apabila masalah ini mula dikesan. Tetapi memandangkan komuniti rakan blogger saya tidak berada di dalam satu ‘circle’ dengan mereka, saya rasa ingin berkongsi info ini untuk kebaikan bersama.
Tambahan lagi bila saya meninjau beberapa blog rakan² lain yang masih ternampak kebocoran tahap keselamatan pada sub-direktory WordPress mereka dimana Wp-Includes tidak mempunyai file index.php. Fail index.php berfungsi untuk menyembunyikan fail-fail lain dalam sesuatu direktori.
Menurut pemilik blog komputer bawah tanah , untuk melihat structure wp-includes anda, saya hanya perlu http://www.kujie2.com/wp-includes. Maka terbogellah segala isi perut dalam Wp-Includes anda.
contoh beberapa blog teman² yang boleh dibogelkan! hahahaha…
Hasil dari perbincangan tengah malam, rakan² blogger saya seperti @Eizil @MrKayMy , mereka mencadangkan satu langkah memasang fail index.php dalam /wp-includes/ untuk menghalang directory listing.
Affanrusalan dalam entri perkongsiannya memberi tips untuk menghalang masalah ini.
- Bukak satu notepad kosong, save as index.php dan upload ke dalam hosting. Chmod: 644
- Salin dan tampal kot dibawah ,namakankan fail.htaccess dan patch-kan file ke dalam root wordpress.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
# BEGIN WordPress
Sekiranya anda mempunyai masalah , silalah rujuk kepada mereka untuk bertanya. Jangan risau mereka tak garang macam saya..hihi
- Security Patch Vol #5 – Cegah dulu baru carik penawar.
- Patch: 2 vulnerabilities pada WordPress
Saya tak pandai nak terangkan, cuma berkongsi dengan kawan² lain. Blog saya pun orang lain yang tolong betulkan.
Kalau nak tengok wp-includes saya, klik sini
WordPress Version terkini dah update rasanya benda ni?
Wah web saya sepertinya belum diamankan juga, trims akan langsunng deh saya setting pada file .htaccess
Sukses selalu;;
saya punya ok jep..even takde index.php tu..hehe
saya dah berjaya buat ,ikut step by step dari blog affan
salam kak jie…
dah lama juge perasan bnde ni tp x berapa alert sgt …
nk buat ni pun masih xkonfiden lg .. insyaallah akan dicoba pelan2 … thanx akk 😉
nice da baca kat blog affan hari tu. 😉
ada sesiapa boleh terangkan x?huhu
haha ye la naked! opps… tapi sy nyer blog tak dpt bogel.. kene ade something baru leh bogelkan..
tapi akan buat spt tertulis di atas…
p/s: kak jie… dari hari tu nak baca tak smpat2 malam ni sy pulun baca jugak2…
nak try bogelkan jugak la camni..sementara ada masa nak godeh 😯
perhhh..mamat tak pandai..
fuh ni kitab tinggi dah ni dlm berblogging. saya xmahir dlm .php semua bagai ni. rugi dulu2 xberguru dgn Eizil, study dh 1 town yg sama dh. huhu
hehehe. sebab saya tak buat pun benda tu. tapi buat pun tak rugi rasanya 😀
dah minta tolong di netkl , mula2 nk buat terketar2 je rasa tak yakin .. last2 minta netkl buatkan
hahaha… kak jie tak yah pikir2
ade bodyguard yang fikirkan..hihi 😆
blogspot tak berkaitan.
harak maklong 😆
saya musykil dengan masalah ni. 😆
saya terlebih fikir kot haha
ha ah.. btol btol.. tyka pon orang buatkan.. sbb buat tros error.. he he
kalau baca x habis, conform tak faham =)
yang ni boleh apply un 🙂 tuk blogspot jugak ke?
Emm, sebelum ni perasan gak dlm file wp includes tu x de pun index.php.
tp bila try buka mcm link yg http://www.namablog.com/wp-includes/ tu, tak de pulak nampak di bogel kan..
cuma kuar content not found jer.. mcm ne lak kalu gitu?
Kalau tak reti sgt, mintak tlg org yg reti.
Kalau nak sy tlg pun blh
terima kasih kak jie
dah buat yg index.php tuh, bile try balik tap wp-includes tu, keluar page kosong jer, taklah keluar macam yg kak jie punya…kira ok ke tuh?
Baru buat tadi..terima kasih kak jie..terima kasih bro affan ruslan..terima kasih bro eizil..
sekarang dah tak bogel lagi… 😆
hoho…blog teman bocor la plak…ades
hoho..okay then~
blogger blogspot jgn buat2 faham..
hehe
same la.. terima kasih kak jie atas back link.
nampaknye ramai jugak yang kene bogel hari ni eh?
kalau tikar chmode.. nanti ade beberapa fungsi wordpress tak beroperasi dengan lancar
apa yg error ?
hehe salam kakjie 🙂
semakin serius nampak masalah pencerobohan waktu ini 🙂
kakjie boleh letak juga index.html dan index.htm 🙂
penggunaan .htaccess sebolehnya di minima kan untuk mengelakkan impak terutama pada yang menggunakan rewrite condition 🙂
selamat berblog 🙂
salam
Assalam..
Singgah membaca..
dah buat kak jie. tapi tukar chmod je 😉
btol btol tu yg tak reti. try buat td teros smue error .. seram.. tros back smule.. haha..
tula semalam saya baca kat affan ruslan tapi saya tak faham buat apa nak buat…ni kak jie tulis ambik kesedaran jugaklah….
dah try , upload dlm diluar direktori /wp-includes.
Masuk cpanel -Chmod: 644
upload dlm root wordpress blog…
semua ni saya tak tahu nak buat cam mana
a’ah lah kak jie , blog saya dibogelkan .. cam mana ni tk reti apa ni..
dalam fatal error tu…kita boleh tahu username
orang baik2 cuma perlu cari password je 😆
mula-mula buka notepad -save as index.php . buka ftp , upload dlm diluar direktori /wp-includes.
Masuk cpanel -Chmod: 644
yang ke dua – buka notepad – copy paste code – namakan file tu .htaccess dan buka ftp, upload dlm root wordpress blog…
tyka pon masih tak faham lg ni.. cemane nk save.. cemane nk masukkan smue smue ni.. aduyai.. fenin fenin.. dah ade orang cube bogelkan ni sbb tu tahu kes ni.. he he
dah buat kat blog sendiri. memang terbogel. tapi apa kesannya kak? ‘orang baik’ boleh curi dan hack data ke?
salah satu blog tu kak jie dah hantar email kat dia malam tu lagi..mlm yg kita kecoh2 tu
entah dia dapat ke email tatau…sbb email kt blog @namablog
tapi tadi dah hantar email melalui yahoo pula
error fatal tu boleh nampak username 😆
salam.
huhu. saya pun baru buat semalam, lepas tengok tutorial kat azmanishak.net. alhamdulillah menjadi 🙂
mujur terbaca tweet bro krueger tempoh hari.terus cepat2 buat apa yg patut.maklumlah masih baru dengan WP
aik kat wp-includes xde fail index ke… xperasan lak… 🙂
jap g saya check…
eh tak tak… sekarang jugak saya check 😀
oh…ini utk wordpress je ke kakjie? nak tanya….sy xtahu kalau dibogelkan mcm ni apa kesannya pada blog? org lain boleh ceroboh ke? =.=*
terima kasih sbb linkkan pada entry saya 😀
mmg betul, circle blogger tu lain2. saya tulis, org lain baca. azmanishak tulis, mungkin org lain baca.
blog sapa yg jadi mangsa tu hehehe