Celah Keamanan WordPress di File TimThumb

Celah Keamanan WordPress

Menggunakan WordPress self hosting memang cukup mengasyikkan. WordPress adalah platform yang paling banyak digunakan oleh webmaster seluruh dunia setelah CMS lain. Sewaktu-waktu pihak developer WordPress melakukan upgrade versi baik upgrade minor maupun upgrade mayor. Proses upgrade ini dilakukan untuk menutup beberapa celah yang ditemukan di root wordpress. Saran saya jika telah mendapat notifikasi versi terbaru WordPress, segera lakukan update untuk menghindari hal-hal yang tidak diinginkan seperti rawan penyusup masuk, deface, dsb.

Celah Keamanan WordPress di File TimThumb

Celah keamanan wordpress tidak hanya terletak di core wordpressnya, namun file-file lain juga bisa dimanfaatkan oleh para hacker untuk dijadikan pintu masuk. Salah satunya adalah file timthimb.php atau thumb.php. Beberapa theme menggunakan file ini untuk menampilkan gambar berupa thumbnail-thumbnail yang akan ditampilkan baik di home, page, post, sidebar maupun di footer.

Ada beberapa laporan rekan saya yang blognya telah di deface oleh hacker yang masuk melalui file timthumb.php. Bulan kemarin saya juga mendapatkan notifikasi dari penyedia hosting tempat ngehost web kantor saya, ada beberapa file yang rawan sebagai jalan masuk hacker, file tersebut tak lain adalah timthumb.php.

Cara Mengatasiƒâ€š Celah Keamanan WordPress di File TimThumb

Untuk mengatasi temuan tersebut, kita tidak perlu bersusah-susah mencari filenya. Ada sebuah plugin khusus yang fungsinya melakukan upgrade file timthumb.php dan thumb.php ini, sekaligus secara realtime memberi notifikasi jika suatu saat file tersebut telah diupdate ke versi terbaru.

Plugin tersebut bernama TimThumb Vurnerability Scanner.

Silahkan instal dan aktifkan plugin tersebut. Jika sudah aktif, halaman setting plugin ini terdapat di bagian Tools – TimThumb Scanner.

Celah Keamanan WordPress di File TimThumb
Celah Keamanan WordPress di File TimThumb

Pilih tombol scan, maka proses scanning file timthumb.php dan thumb.php dilakukan. Setelah ditemukan maka akan ada laporan apakah file tersebut Up to Date atau Out of Date. Jika Out of Date, centanglah kemudian pilih tombol Upgrade Selected Files. File timthumb atau thumb Anda telah tergantikan dengan versi terbaru, sehingga terhindar dari hacker.

Semoga artikel Celah Keamanan WordPress di File TimThumb ini bermanfaat.

48 comments

  1. Rusa Reply

    Huwaaa makasih banget pencerahannya, Rusa sebagai blogger WP self hosting merasa tercerahkan banget e 😀

  2. nanang chairudin Reply

    iya mas aku juga pernah 2 kali kena deface tapi waktu itu yang kena file index.php nya
    wordpress emang agak rentan ya mas
    kalau blog ini pernah ke hack belm mas ?

    • dHaNy Post authorReply

      Kalau deface sudah pasti file indexnya mas, tapi untuk mengedit file itu kan mereka masuk melalui celah yang ada, salah satunya file timthumb itu…
      Blog ini saat baru 3 bulan ngeblog kena deface juga, masih belajar wordpress soalnya… Jadi waktunya update blm saya update lama…

    • dHaNy Post authorReply

      Celah keamanan pasti ada mas, makanya wordpress sering update corenya setiap saat ada penemuan celah.. Versi 3.3.2 sudah versi terbaru jadi celah keamanan terbaru sudah tertutup…

  3. Leo Ari Wibowo Reply

    Yang jadi pertanyaan, memang masih ada theme yang menggunakan timthumb mas? karena setahu saya masalah kebocoran keamanan WP yang berasal dari timthumb sudah lama diketahui.

    • dHaNy Post authorReply

      Untuk theme baru mayoritas sudah tak ada mas…
      Namun theme lama yang masih di share kan banyak banget mas… Terkadang selera orang terhadap theme beda2, kalau pilihan mereka pada tampilan theme yg masih ada file thimthumbnya, bisa pakai opsi diatas atau segera hapus ganti script lain saja…

  4. Twicius Reply

    untung blog saya gk pake timthumb, makasih infonya gan, berguna sekali, jadi harus lebih waspada milih plugin, 😀

    • dHaNy Reply

      Tapi sudah beres kan mas? Dulu juga pernah habis kena deface, gantian masuk ke servernya.. client2 yg lain otomatis juga kena masalah serupa.. Kasihan tuh adminnya..
      Habis itu ga dipindah mas?

  5. Harmony Magazine Reply

    Saya masih pakai timbthumb yang selalu update, tapi penggunaannya ga jadi satu sama theme. Hanya untuk kasus tertentu saja yang melibatkan gambar dari luar. Jadi ga setiap gambar pake timthumb. Selain itu, penggunaannya dengan modus URL, bukan file path. Selain itu beberapa fungsi sudah saya rename dan modifikasi. 🙂

    Alhamdulillah aman.

    • dHaNy Post authorReply

      Saya juga menggunakan yg mas maksud di blog lain… lebih menghemat resource daripada disimpen di hosting sendiri…

  6. Reyzha Reply

    Waktu itu saya sempat ganti-ganti tema dan tidak sengaja menunjukkan bahwa saya menggunakan thimbthumb. Kebetulan keamanan database saya juga sedang saya buka lebar semua. Kemudian seorang komentator memperingatkan bahwa dia bisa saja sewaktu-waktu meretas blog saya. Besoknya langsung saya optimalkan lagi securitynya, untung dia cuma memperingatkan tidak langsung beraksi 🙂

    • dHaNy Post authorReply

      Boleh share juga mas, tips untuk menutup celah tersebut. Mungkin ada plugin khusus untuk itu..

    • dHaNy Reply

      Bener mas, banyak cara kok sebenernya. cuma di tulisan saya diatas hanya khusus buat yg pake file thimthumb.php agar tidak masuk lewat situ…

  7. isnuansa Reply

    Langsung dicoba, dan ada satu yang hasilnya Vulnerable satu biji. Langsung deh di-uptodate.

    Makasih, Mas!

    • dHaNy Post authorReply

      Itu tergantung theme yg dpakai ada file thimthumbnya atau ga, cr di folder theme aktif..

  8. NativeHacker Reply

    wah masih bermasalah jga ya TimThumb ini ? kirain udah fix
    wah ini kita dork google juga gk bkalan dapat…udah pada rame nyari target wkwkwk

    • dHaNy Post authorReply

      Kalau ada bug tolong kasih tau ya om.. 😀
      Biasanya file ini sering jadi jalan tol para penyusup om…

  9. Maksum Priangga Reply

    ternyata enak banget ya pake plugin ini, cukup cek, kalau ada masalah tinggal benerin sekali klik, biasanya theme yg pembuat nya males update atau theme bajakan yg timthumb nya kedaluarsa, hehe

    • dHaNy Post authorReply

      Nah itulah kemudahan yang diberikan oleh plugin ini mas.. Setiap saat dia akan ngasih notifikasi jika sudah terjadi update versi file thimthumb ini..

  10. Red Reply

    gue lebih suka upgrade manual daripada pake plugin, atau kalo mau bantuan plugin ini bisa langsung didelete setelah dipake 😀

    • dHaNy Post authorReply

      Nah bener banget mas, persis saya juga seperti itu kemarin pas ada isu upgrade versi saya aktifkan plugin tersebut terus dihapus lagi. Untuk blog lainnya cuma saya copy paste saja..

  11. Dhafian Reply

    Blog saya beberapa kali kena hack mas, pertama di deface yang kedua diganti esernam, password dan email admin. Nah sampai sekarang saya belum tau dia masuk darimana.

    Cara ceknya gmn ya mas? tapi saya coba menghapus beberapa plugin yang menurut saya jadi jalan masuk. semoga benar plugin itu..

    Sekarang saya lagi tes, dia bisa masuk lagi apa gak…

    • dHaNy Post authorReply

      Plugin apa itu mas? ada plugin wp security scan utk nyecan celah keamanan wordpress. Ada jg antivirus klo ga slah utk scan kseluruhan direktori di hosting trmsuk malware.

    • dHaNy Post authorReply

      Tiap muncul kasus baru pasti segera diupdate mas, tapi kita kan tidak bisa sewaktu2 mengikuti info updatenya… plugin ini membantu memberikan notifikasi..

  12. Rully Mujahid Reply

    mau nanya dong mas, di websiteku ada yg naro link ke onlinecasino gitu, gimana ya ngilanginnya, dia ada di pojok kiri halaman, apakah bisa pake timthumb ini?

    • dHaNy Post authorReply

      Mungkin di cek dulu semua yang mengarah kesitu di dalam cpanel hosting.. namun jika memang tidak menemukan kontak penyedia hostingnya siapa tahu pihak hostingnya yang nyisipin…

Leave a Reply

Your email address will not be published. Required fields are marked *