WordPress Security: Secure File Permissions Matter

Apr 15, 2010

Hari ini, sore ini tepatnya, saya dikagetkan oleh sebuah berita di portal berita nasional yang kredibilitasnya seharusnya tidak diragukan. Situs ini saat diluncurkan oleh Presiden SBY pada tahun 2008 dan disebut sebagai portal berita Indonesia. Namun, saya kecewa setengah hidup saat membaca berita mengenai celah keamanan di blog berbasis WordPress.

Berita tersebut saya rasa terlalu mengada-ada dan seperti apa yang ditulis Matt Mullenweg, seorang founding developer WordPress… because they have so many inaccuracies you become stupider by reading them.’ :lol:

Di tengah jalan saat membaca berita tersebut, seperti biasa, saya meyakini bahwa mereka pasti mendapatkan dari situs berita yang lain dan berbahasa Inggris. Dan benar saja, situs asalnya adalah situs berita yang saya yakini kredibilitasnya. Dan yang saya temukan mengejutkan. Versi yang dibuat oleh portal berita Indonesia tersebut tidak sepenuhnya benar dan ‘terlalu mengada-ada’ sehingga membuat anda become stupider by reading them. Haha.

Sebenarnya yang menjadi pokok bahasan adalah bahwa Sucuri, lab keamanan, yang menerima laporan mengenai ratusan blog yang dihost di Network Solutions – sebuah shared server – tidak dapat diakses karena terjadinya perubahan pada database.

Sebenarnya, kejadian tersebut bukan karena lemahnya security WordPress. Melainkan karena kelalaian manusia sendiri. Kejadian ini kemudian diketahui bahwa kelalaian tersebut terjadi pada tidak jelinya user dalam memberikan file permission di file wp-config.php yang berisi user, password dan nama database. Sucuri akhirnya menyarankan seluruh pengguna untuk mengganti password dan mengubah file permission file tersebut sehingga tidak rentan terhadap serangan.

Matt sendiri dalam blog development Wordpress menyebutkan bahwa secure file permissions matter dengan mengatakan ‘A properly configured web server will not allow users to access the files of another user, regardless of file permissions.’

Jadi, bagi pengguna WordPress silakan cek kembali file permission wp-config.php. Paling tidak ganti dengan 644. Karena jika diubah menjadi 640, maka tidak akan dapat dibaca oleh wp-load.php.

Tetap menjadi blogger yang bebas berekspresi. Jika menemukan berita berbahasa Indonesia, silakan cek dahulu kebenarannya. sm/41014/wp.