Celah Keamanan WordPress di File TimThumb

Celah Keamanan WordPress

Menggunakan WordPress self hosting memang cukup mengasyikkan. WordPress adalah platform yang paling banyak digunakan oleh webmaster seluruh dunia setelah CMS lain. Sewaktu-waktu pihak developer WordPress melakukan upgrade versi baik upgrade minor maupun upgrade mayor. Proses upgrade ini dilakukan untuk menutup beberapa celah yang ditemukan di root wordpress. Saran saya jika telah mendapat notifikasi versi terbaru WordPress, segera lakukan update untuk menghindari hal-hal yang tidak diinginkan seperti rawan penyusup masuk, deface, dsb.

Celah Keamanan WordPress di File TimThumb

Celah keamanan wordpress tidak hanya terletak di core wordpressnya, namun file-file lain juga bisa dimanfaatkan oleh para hacker untuk dijadikan pintu masuk. Salah satunya adalah file timthimb.php atau thumb.php. Beberapa theme menggunakan file ini untuk menampilkan gambar berupa thumbnail-thumbnail yang akan ditampilkan baik di home, page, post, sidebar maupun di footer.

Ada beberapa laporan rekan saya yang blognya telah di deface oleh hacker yang masuk melalui file timthumb.php. Bulan kemarin saya juga mendapatkan notifikasi dari penyedia hosting tempat ngehost web kantor saya, ada beberapa file yang rawan sebagai jalan masuk hacker, file tersebut tak lain adalah timthumb.php.

Cara Mengatasiƒβ€š Celah Keamanan WordPress di File TimThumb

Untuk mengatasi temuan tersebut, kita tidak perlu bersusah-susah mencari filenya. Ada sebuah plugin khusus yang fungsinya melakukan upgrade file timthumb.php dan thumb.php ini, sekaligus secara realtime memberi notifikasi jika suatu saat file tersebut telah diupdate ke versi terbaru.

Plugin tersebut bernama TimThumb Vurnerability Scanner.

Silahkan instal dan aktifkan plugin tersebut. Jika sudah aktif, halaman setting plugin ini terdapat di bagian Tools – TimThumb Scanner.

Celah Keamanan WordPress di File TimThumb

Celah Keamanan WordPress di File TimThumb

Pilih tombol scan, maka proses scanning file timthumb.php dan thumb.php dilakukan. Setelah ditemukan maka akan ada laporan apakah file tersebut Up to Date atau Out of Date. Jika Out of Date, centanglah kemudian pilih tombol Upgrade Selected Files. File timthumb atau thumb Anda telah tergantikan dengan versi terbaru, sehingga terhindar dari hacker.

Semoga artikel Celah Keamanan WordPress di File TimThumb ini bermanfaat.

48 thoughts on “Celah Keamanan WordPress di File TimThumb

    • Kalau deface sudah pasti file indexnya mas, tapi untuk mengedit file itu kan mereka masuk melalui celah yang ada, salah satunya file timthumb itu…
      Blog ini saat baru 3 bulan ngeblog kena deface juga, masih belajar wordpress soalnya… Jadi waktunya update blm saya update lama…

    • Celah keamanan pasti ada mas, makanya wordpress sering update corenya setiap saat ada penemuan celah.. Versi 3.3.2 sudah versi terbaru jadi celah keamanan terbaru sudah tertutup…

    • Untuk theme baru mayoritas sudah tak ada mas…
      Namun theme lama yang masih di share kan banyak banget mas… Terkadang selera orang terhadap theme beda2, kalau pilihan mereka pada tampilan theme yg masih ada file thimthumbnya, bisa pakai opsi diatas atau segera hapus ganti script lain saja…

    • Tapi sudah beres kan mas? Dulu juga pernah habis kena deface, gantian masuk ke servernya.. client2 yg lain otomatis juga kena masalah serupa.. Kasihan tuh adminnya..
      Habis itu ga dipindah mas?

  1. Saya masih pakai timbthumb yang selalu update, tapi penggunaannya ga jadi satu sama theme. Hanya untuk kasus tertentu saja yang melibatkan gambar dari luar. Jadi ga setiap gambar pake timthumb. Selain itu, penggunaannya dengan modus URL, bukan file path. Selain itu beberapa fungsi sudah saya rename dan modifikasi. :)

    Alhamdulillah aman.

  2. Waktu itu saya sempat ganti-ganti tema dan tidak sengaja menunjukkan bahwa saya menggunakan thimbthumb. Kebetulan keamanan database saya juga sedang saya buka lebar semua. Kemudian seorang komentator memperingatkan bahwa dia bisa saja sewaktu-waktu meretas blog saya. Besoknya langsung saya optimalkan lagi securitynya, untung dia cuma memperingatkan tidak langsung beraksi :)

    • Bener mas, banyak cara kok sebenernya. cuma di tulisan saya diatas hanya khusus buat yg pake file thimthumb.php agar tidak masuk lewat situ…

  3. ternyata enak banget ya pake plugin ini, cukup cek, kalau ada masalah tinggal benerin sekali klik, biasanya theme yg pembuat nya males update atau theme bajakan yg timthumb nya kedaluarsa, hehe

    • Nah itulah kemudahan yang diberikan oleh plugin ini mas.. Setiap saat dia akan ngasih notifikasi jika sudah terjadi update versi file thimthumb ini..

  4. gue lebih suka upgrade manual daripada pake plugin, atau kalo mau bantuan plugin ini bisa langsung didelete setelah dipake πŸ˜€

    • Nah bener banget mas, persis saya juga seperti itu kemarin pas ada isu upgrade versi saya aktifkan plugin tersebut terus dihapus lagi. Untuk blog lainnya cuma saya copy paste saja..

  5. Blog saya beberapa kali kena hack mas, pertama di deface yang kedua diganti esernam, password dan email admin. Nah sampai sekarang saya belum tau dia masuk darimana.

    Cara ceknya gmn ya mas? tapi saya coba menghapus beberapa plugin yang menurut saya jadi jalan masuk. semoga benar plugin itu..

    Sekarang saya lagi tes, dia bisa masuk lagi apa gak…

    • Plugin apa itu mas? ada plugin wp security scan utk nyecan celah keamanan wordpress. Ada jg antivirus klo ga slah utk scan kseluruhan direktori di hosting trmsuk malware.

    • Tiap muncul kasus baru pasti segera diupdate mas, tapi kita kan tidak bisa sewaktu2 mengikuti info updatenya… plugin ini membantu memberikan notifikasi..

    • Mungkin di cek dulu semua yang mengarah kesitu di dalam cpanel hosting.. namun jika memang tidak menemukan kontak penyedia hostingnya siapa tahu pihak hostingnya yang nyisipin…

Leave a Reply

Your email address will not be published. Required fields are marked *

Jawab Dulu: