Celah Keamanan WordPress
Menggunakan WordPress self hosting memang cukup mengasyikkan. WordPress adalah platform yang paling banyak digunakan oleh webmaster seluruh dunia setelah CMS lain. Sewaktu-waktu pihak developer WordPress melakukan upgrade versi baik upgrade minor maupun upgrade mayor. Proses upgrade ini dilakukan untuk menutup beberapa celah yang ditemukan di root wordpress. Saran saya jika telah mendapat notifikasi versi terbaru WordPress, segera lakukan update untuk menghindari hal-hal yang tidak diinginkan seperti rawan penyusup masuk, deface, dsb.
Celah Keamanan WordPress di File TimThumb
Celah keamanan wordpress tidak hanya terletak di core wordpressnya, namun file-file lain juga bisa dimanfaatkan oleh para hacker untuk dijadikan pintu masuk. Salah satunya adalah file timthimb.php atau thumb.php. Beberapa theme menggunakan file ini untuk menampilkan gambar berupa thumbnail-thumbnail yang akan ditampilkan baik di home, page, post, sidebar maupun di footer.
Ada beberapa laporan rekan saya yang blognya telah di deface oleh hacker yang masuk melalui file timthumb.php. Bulan kemarin saya juga mendapatkan notifikasi dari penyedia hosting tempat ngehost web kantor saya, ada beberapa file yang rawan sebagai jalan masuk hacker, file tersebut tak lain adalah timthumb.php.
Cara Mengatasiâ Celah Keamanan WordPress di File TimThumb
Untuk mengatasi temuan tersebut, kita tidak perlu bersusah-susah mencari filenya. Ada sebuah plugin khusus yang fungsinya melakukan upgrade file timthumb.php dan thumb.php ini, sekaligus secara realtime memberi notifikasi jika suatu saat file tersebut telah diupdate ke versi terbaru.
Plugin tersebut bernama TimThumb Vurnerability Scanner.
Silahkan instal dan aktifkan plugin tersebut. Jika sudah aktif, halaman setting plugin ini terdapat di bagian Tools – TimThumb Scanner.

Pilih tombol scan, maka proses scanning file timthumb.php dan thumb.php dilakukan. Setelah ditemukan maka akan ada laporan apakah file tersebut Up to Date atau Out of Date. Jika Out of Date, centanglah kemudian pilih tombol Upgrade Selected Files. File timthumb atau thumb Anda telah tergantikan dengan versi terbaru, sehingga terhindar dari hacker.
Huwaaa makasih banget pencerahannya, Rusa sebagai blogger WP self hosting merasa tercerahkan banget e 😀
Rusa pakai file itu?
Saya ndak pakai thumb di blog – karena gambarnya dari luar semua :).
Gambar dari luar bisa untuk di thumb kok mas, blog saya yg lain juga demikian..
laporan sql inject attack paling banyak juga dengan berbau bau timthumb itu…
Bener mas, lebih baik diganti aja dg acuan dr codexnya wordpress..
iya mas aku juga pernah 2 kali kena deface tapi waktu itu yang kena file index.php nya
wordpress emang agak rentan ya mas
kalau blog ini pernah ke hack belm mas ?
Kalau deface sudah pasti file indexnya mas, tapi untuk mengedit file itu kan mereka masuk melalui celah yang ada, salah satunya file timthumb itu…
Blog ini saat baru 3 bulan ngeblog kena deface juga, masih belajar wordpress soalnya… Jadi waktunya update blm saya update lama…
saya udah upgrade ke versi 3.2.2, apa celah keamanannya masih ada bro ?
Celah keamanan pasti ada mas, makanya wordpress sering update corenya setiap saat ada penemuan celah.. Versi 3.3.2 sudah versi terbaru jadi celah keamanan terbaru sudah tertutup…
Yang jadi pertanyaan, memang masih ada theme yang menggunakan timthumb mas? karena setahu saya masalah kebocoran keamanan WP yang berasal dari timthumb sudah lama diketahui.
Untuk theme baru mayoritas sudah tak ada mas…
Namun theme lama yang masih di share kan banyak banget mas… Terkadang selera orang terhadap theme beda2, kalau pilihan mereka pada tampilan theme yg masih ada file thimthumbnya, bisa pakai opsi diatas atau segera hapus ganti script lain saja…
untung blog saya gk pake timthumb, makasih infonya gan, berguna sekali, jadi harus lebih waspada milih plugin, 😀
wah, terimakasih sekali tips yang sangat bermanfaat 🙂
Beberapa waktu lalu saya juga kena deface sama hacker, Mas. Katanya sih servernya yang banyak celahnya..
Tapi sudah beres kan mas? Dulu juga pernah habis kena deface, gantian masuk ke servernya.. client2 yg lain otomatis juga kena masalah serupa.. Kasihan tuh adminnya..
Habis itu ga dipindah mas?
waaah. saya sudah install plugin ini semoga bisa membantu karena beberapa hari yang lalu saya terkena hack 🙁
Saya masih pakai timbthumb yang selalu update, tapi penggunaannya ga jadi satu sama theme. Hanya untuk kasus tertentu saja yang melibatkan gambar dari luar. Jadi ga setiap gambar pake timthumb. Selain itu, penggunaannya dengan modus URL, bukan file path. Selain itu beberapa fungsi sudah saya rename dan modifikasi. 🙂
Alhamdulillah aman.
Saya juga menggunakan yg mas maksud di blog lain… lebih menghemat resource daripada disimpen di hosting sendiri…
alhamdulilah blog saya ngak ada file timthumb nya mas. jadi saya rasa aman 😀
Waktu itu saya sempat ganti-ganti tema dan tidak sengaja menunjukkan bahwa saya menggunakan thimbthumb. Kebetulan keamanan database saya juga sedang saya buka lebar semua. Kemudian seorang komentator memperingatkan bahwa dia bisa saja sewaktu-waktu meretas blog saya. Besoknya langsung saya optimalkan lagi securitynya, untung dia cuma memperingatkan tidak langsung beraksi 🙂
Boleh share juga mas, tips untuk menutup celah tersebut. Mungkin ada plugin khusus untuk itu..
Makasih infonya, btw apa sih gunanya “thumb.php” mas ?
file thumb.php digunakan untuk menampilkan image featured tiap post….
tanpa plugin jg bs kok mas danny.optimasi file .htaccess aja 😀
Bener mas, banyak cara kok sebenernya. cuma di tulisan saya diatas hanya khusus buat yg pake file thimthumb.php agar tidak masuk lewat situ…
Saya jarang bahkan tidak menggunakan image featured sekarang.
gak pakai thumb nih.. berarti aman gitu ya mas dani? hehe.
Langsung dicoba, dan ada satu yang hasilnya Vulnerable satu biji. Langsung deh di-uptodate.
Makasih, Mas!
file thumthumb itu di file manager cpanel itu di bagian apa ya?
Itu tergantung theme yg dpakai ada file thimthumbnya atau ga, cr di folder theme aktif..
Thimthumb kalau di wordpress ya di folder theme yang aktif mas..
wah masih bermasalah jga ya TimThumb ini ? kirain udah fix
wah ini kita dork google juga gk bkalan dapat…udah pada rame nyari target wkwkwk
Kalau ada bug tolong kasih tau ya om.. 😀
Biasanya file ini sering jadi jalan tol para penyusup om…
Untungnya theme yg saya gunakan tidak menggunakan fitur thumbnail heee …..
ternyata enak banget ya pake plugin ini, cukup cek, kalau ada masalah tinggal benerin sekali klik, biasanya theme yg pembuat nya males update atau theme bajakan yg timthumb nya kedaluarsa, hehe
Nah itulah kemudahan yang diberikan oleh plugin ini mas.. Setiap saat dia akan ngasih notifikasi jika sudah terjadi update versi file thimthumb ini..
gue lebih suka upgrade manual daripada pake plugin, atau kalo mau bantuan plugin ini bisa langsung didelete setelah dipake 😀
Nah bener banget mas, persis saya juga seperti itu kemarin pas ada isu upgrade versi saya aktifkan plugin tersebut terus dihapus lagi. Untuk blog lainnya cuma saya copy paste saja..
Blog saya beberapa kali kena hack mas, pertama di deface yang kedua diganti esernam, password dan email admin. Nah sampai sekarang saya belum tau dia masuk darimana.
Cara ceknya gmn ya mas? tapi saya coba menghapus beberapa plugin yang menurut saya jadi jalan masuk. semoga benar plugin itu..
Sekarang saya lagi tes, dia bisa masuk lagi apa gak…
Plugin apa itu mas? ada plugin wp security scan utk nyecan celah keamanan wordpress. Ada jg antivirus klo ga slah utk scan kseluruhan direktori di hosting trmsuk malware.
Betul, tapi sekarng ada versi update barunya, klaimnya sih, aman
Tiap muncul kasus baru pasti segera diupdate mas, tapi kita kan tidak bisa sewaktu2 mengikuti info updatenya… plugin ini membantu memberikan notifikasi..
Wow sangat membantu informasinya agar ga kecolongan. Terima kasih gan infonya 🙂
mau nanya dong mas, di websiteku ada yg naro link ke onlinecasino gitu, gimana ya ngilanginnya, dia ada di pojok kiri halaman, apakah bisa pake timthumb ini?
Mungkin di cek dulu semua yang mengarah kesitu di dalam cpanel hosting.. namun jika memang tidak menemukan kontak penyedia hostingnya siapa tahu pihak hostingnya yang nyisipin…
nais info gan, jadi gak kecolongan lagi gan 😀
Tips nya boleh juga bro, biar ga kena hack. Lebih baik sedia payung sebelum hujan, hee…