Wajar saja jika pengguna wordpress khusunya yang self hosted (Hosting sendiri) menjadi manja dengan aksesoris blog yang costumisasinya begitu mudah, semua sudah tersedia dalam direktori plugin wordpress. Memang benar, dan inilah salah satu keistimewaan ngeblog berdaya wordpress self hosted.
Tapi, dibalik semua kebebasan tersebut, siapa menyangka bahwa kemungkinan ini bisa menjadi jendela bagi virus-virus berbahaya untuk beraksi dan melaksanakan program jahatnya yang akibatnya bisa fatal dan merusak blog yang sangatt kita sayangi.
Pada awal memang gejalanya belum kelihatan, namun pada keesokan harinya satu persatu program jahat dalam sebuah plugin berbahaya tersebut aktif dan bekerja untuk menguasai seluruh sistem web yang berakhir pada penyebaran virus, malware hingga pencurian data-data penting.
Pribadi, saya sendiri sempat kejebak dengan beberapa plugin berbahaya ini. Awalnya saya tidak curiga, maklum saya belum pernah mendengar isu tentang bahayanya beberapa plugin yang seharusnya tidak boleh dipasang di blog wordpress ini. 1 bulan baru ketahuan, saya diperingati oleh pihak hosting bahkan website saya sempat dikunci untuk sementara karna dideteksi adanya kegiatan spamming. Ternyata Plugin yang saya instal mengandung malware, mereka bekeruja tanpa sepengetahuan saya. Diam-diam website saya dijadikan sebagai tempat menyebarkan virus dan informasi tidak benar.
Makanya pada kesempatan ini, saya mau sedikit berbagi tips memilih plugin, agar kita semua lebih berhati-hati lagi guna mencegah hala-hal yang buruk menggangu sistem di blog (wordpress) kita.
Berikut adalah beberapa plugin yang dilarang dan tidak dianjurkan diinstal pada website wordpress (saya kumpulkan dari forum dan pengalaman teman2 yang pernah mengalami masalah pada plugin ini) :
PLUGIN WORDPRESS YANG BURUK
WordPress DX-Contribute Plugin 1.1.0 – XSS
Post-views plugin 2.6.1. – XSS
WP e-Commerce 1.1.1 – XSS
WordPress WooCommerce Predictive Search Plugin 1.0.6. – XSS
Video Lead Form 0.5 – XSS
Pretty Link Lite Plugin 1.6.0 – XSS
WP125 plugin 1.4.5. XSS
Ultimate TinyMCE plugin 3.6. – XSS
Wysija Newsletters Plugin 2.1.7. – XSS
WordPress Carousel Slideshow 3.10 – XSS
BuddyStream plugin 2.6.2 – XSS
NextGEN Gallery 1.9.7 – XSS
Amazon Associate plugin 2.0 – XSS
Hitasoft FLV Player Plugin 1.1 SQL Injection
AJAX Post Search Plugin 1.1 – SQL Injection
Advanced Custom Fields Plugin 3.5.2. – Arbitrary file inclusion
vTiger CRM Lead Capture 1.1.0. – unspecified errors
WP-Filebase Plugin 0.2.9.24. – unspecified errors
Catat bahwa ini hanyalah sebagian plugin berbahaya saja, mungkin masih banyak lagi lainnya yang memiliki celah keamanan dan mengandung virus atau malware. Anda dapat menemukannya dalam thread2 dikomunitas forum (Saya Rekomendasikan tanya langsung kepada teman2 di Forum Wordpress Indonesia Yang resmi).
Tips Aman Menginstal Plugin untuk Blog Wordpress
Maka untuk mencegah hal buruk diatas, sebaiknya sebelum menginstal plugin anda harus mempertimbangkan beberapa tips berikut;
Pilih hanya plugin plugin wordpress yang memiliki statistik telah didownload lebih dari 10,000 kali. Jangan jadi kelinci percobaan suatu plugin, pastikan telah banyak yang download plugin tersebut yang berarti cukup aman.
Kunjungi dan Cek Website Author plugin yang dimaksud
Cek komentar yang ada di situs pemilik plugin tersebut. Hindari plugin plugin wordpress yang situs pembuatnya berisi komentar negatif.
Cek komentar yang ada di situs pemilik plugin tersebut. Hindari plugin plugin wordpress yang situs pembuatnya berisi komentar negatif.
Lihat reputasi (Rating/bintang Pengguna) plugin.
Pilih plugin plugin wordpress yang dibuat oleh orang yang memiliki reputasi yang baik atau telah beberapa kali membuat plugin yang tidak berbahaya. Meskipun ini bukan jaminan, namun setidaknya kredibilitas pembuat plugin bisa menjadi salah satu tolak ukur.
Jika perlu, Scan plugin dengan menggunakan antivirus.
Untuk melakukan scan terhadap suatu plugin sebaiknya download terlebih dahulu plugin plugin wordpress tersebut ke komputer kita sebelum diinstall agar bisa langsung di scan. Sebagian besar server di hosting tidak memiliki anti virus, jadi sebaiknya kita tetap mengandalkan anti virus yang ada di komputer kita. Salah dua antivirus yang cukup handal adalah “AVG Free Edition” dan “Avast Free Edition” yang mendeteksi adanya backdoor pada suatu file PHP.
