Ada beberapa worm yang bekerja dengan cepat di sistem WordPress yang belum di-patch. Sebagaimana worm biasa, ia sangat cerdas. Meregister sebagai user, menggunakan celah keamanan pada struktur permalink, membuat dirinya sendiri sebagai admin, lalu menggunakan javascript untuk menyembunyikan dirinya sebagai user dari halaman user (ketika secara manual kita akses), selanjutnya ia memasukkan spam dan mallware ke dalam postingan2 lama di blog kita.

Jadi, kita tidak akan pernah menyangka ada akun dalam blog kita karena dia (mallware) selalu menyembunyikan diri. Pemilihan pemasangan spam dan mallware di postingan lawas tentu bukan tanpa alasan. Hal ini bertujuan untuk membuat keberadaan mallware ini semakin tersembunyi dan tidak terjangkau. Postingan berpenyakit akan terjangkau oleh mereka yang menuju ke blog Anda melalui jejak-jejak pencarian Google (postingan terbaru biasanya dikunjungi ketika blogwalking). Jadi, jangan bilang tanggung, selalu update sistem WordPress Anda.

Penjelasan lebih lengkap bisa Anda baca di sini

Pas abis nyatronin forum yang ngomongin soal WP di Kaskus.us

Saya baru nemu satu hal, ternyata sudah ada script yang dibuat untuk menjebol wp-login.php, dengan teknik brute force. Untuk penjelasan mengenai brute force, dapat dilihat dalam kutipan berikut (ambil dari wikipedia):

a method of defeating a cryptographic scheme by trying a large number of possibilities; for example, exhaustively working through all possible keys in order to decrypt a message.

Kita gak bakal bahas hal tersebut di atas, karena itu bahasa dewa internet security (hacker). Secara umum, script yang menggunakan teknik brute force akan mencoba semua kemungkinan password yang digunakan oleh user untuk login di WordPress.

Sarap banget, sampe saat ini belum nemu solusi yang pas selain buat password login yang kuat. Untuk pengen lebih detail baca lagi, bisa kunjungin ini:

• http://en.wikipedia.org/wiki/Brute_force_attack
• http://www.lifedork.com/wordpress-wp-loginphp-brute-force-password…..