Ketika WordPress dkk Dibobol

Judul tulisan di blog itu "Insiden Keamanan". Penting, sebab penulisnya adalah Matt Mullenweg, pendiri WordPress, dan ditulis di blog resmi WordPress. Singkatnya, server Automattic.com, yang menyimpan data sejumlah layanan seperti WordPress, dibobol dan Mullenweg memutuskan untuk jujur kepada publik.

Di blog itu, kata Mullenweg, pembobolan ke sejumlah server Automattic terjadi pada Rabu (13/4). Menurut dia, pembobolan itu berkategori "low-level (root) break-in". Artinya, ada potensi apa pun yang ada di server itu diakses oleh si pembobol.

Bagi pengguna WordPress, ini tentu bukan hal menggembirakan. Selain WordPress, server-server Automattic juga menyimpan kode-kode dan data partner seperti Akismet, Gravatar, dan lain-lain.

Automattic sudah mempelajari bagaimana pembobolan itu dilakukan, dan sejauh apa informasi yang terekspos ke si pembobol. Dan, "Kami sudah mengamankan jalan masuk yang dipakai si pengakses," kata Mullenweg.

Mullenweg menambahkan, pihaknya menganggap source code mereka sudah terekspos dan disalin. "Banyak kode kami yang Open Source, namun ada beberapa bagian sensitif pada kode kami dan partner kami," kata dia. Namun, berdasar pemeriksaan menyeluruh dan audit sistem, informasi yang terpapar ke pembobol ternyata hanyalah terbatas.

Berdasar itu, Mullenweg tak punya saran khusus kepada pengguna, selain kembali mengingatkan langkah-langkah keamanan mendasar: gunakan password yang kuat, gunakan password berbeda untuk situs berbeda, dan bila ada password sama telah digunakan di situs lain, gantilah password itu dengan yang lebih aman.

"Kami sudah mengambil langkah preventif agar insiden serupa tidak terjadi lagi," kata Mullenweg.

Keterbukaan Mullenweg itu disambut baik oleh pengguna. Di halaman komentar, sejumlah masukan positif ditulis, yang intinya tetap merasa percaya dengan WordPress karena mereka terbuka.

Yang jadi pertanyaan: apakah pembobolan ini hanya bisa berpengaruh pada blog di WordPress.com saja, atau juga ke WordPress yang disimpan di server lain, seperti misalnya blog-blog pribadi? Kata Matt Mullenweg, "Pembobolan ini menyangkut juga situs WordPress.org, tapi tidak kepada perangkat lunak WordPress yang Anda simpan di tempat lain."

Ada juga pengguna yang bertanya tentang nasib password Twitter yang terhubung dengan akun WordPressnya. "Kami tak menyimpan password Twitter Anda, jadi tak perlu khawatir," kata Mullenweg.

Nah, bagi pengguna WordPress.com, segeralah ganti password Anda dengan yang lebih kuat.