Home / Academy / CMS Security

Scanning Kerentanan WordPress & Joomla

Diupdate: 11 Januari 2026 • Kategori: Web Security • Level: Intermediate

Content Management Systems (CMS) seperti WordPress, Joomla, dan Drupal menggerakkan lebih dari 60% website di dunia. Popularitas ini menjadikannya target serangan nomor satu. Kebanyakan peretasan terjadi bukan karena core CMS-nya, melainkan karena plugin pihak ketiga yang usang atau tema bajakan (nulled) yang mengandung backdoor.

1. Mengidentifikasi WordPress

WordPress memiliki struktur folder standar: wp-content, wp-includes, dan wp-admin. Kita bisa menggunakan fakta ini untuk memfilter target.

inurl:wp-content OR inurl:wp-includes

2. Mencari Plugin yang Rentan

Misalkan ada berita baru (Zero Day) bahwa plugin "Contact Form 7" versi lama memiliki celah. Kita bisa mencari situs yang menggunakannya:

inurl:"/wp-content/plugins/contact-form-7/"

Mencari File Upload yang Terekspos:

Beberapa plugin upload file menyimpan file di folder publik tanpa proteksi.

inurl:"wp-content/uploads" "backup"

3. Admin Panel & Login Page

Secara default, halaman login WordPress ada di /wp-login.php. Namun, banyak admin yang menggunakan plugin untuk menyembunyikannya. Dorking bisa membantu menemukan celah lain.

site:target.com inurl:wp-admin

Jika admin lupa memblokir akses ke /wp-admin/admin-ajax.php (yang sering dibutuhkan untuk fungsi frontend), kita bisa memverifikasi bahwa situs tersebut memang menggunakan WP.

Studi Kasus: SQL Injection pada Plugin
Beberapa tahun lalu, plugin "Slider Revolution" memiliki celah fatal. Dork simpel inurl:revslider memungkinkan hacker menemukan ribuan situs rentan dalam hitungan detik. Inilah mengapa update plugin itu wajib.

4. Joomla & Drupal

Jangan lupakan pemain lama. Mereka masih banyak dipakai di situs korporat dan pemerintah.

Joomla Dorks:

Joomla menggunakan URL parameter option=com_xxx.

inurl:"index.php?option=com_users"
inurl:"index.php?option=com_virtuemart" (Toko Online)

Drupal Dorks:

inurl:"/user/login" intext:"Drupal"
inurl:"/node/add" (Mencari halaman posting yang mungkin terbuka untuk publik)

5. Mencari Halaman "Setup" yang Tertinggal

Setelah instalasi CMS, file installer (seperti install.php) harusnya dihapus. Jika tidak, siapa saja bisa menimpanya (Re-install Takeover).

inurl:"/install.php" intitle:"WordPress Installation"
inurl:"/installation/index.php" intitle:"Joomla! Web Installer"

🚀 Analisis Teknologi Web

Ingin tahu plugin apa yang dipakai kompetitor atau target Anda? Gunakan Dork King.

Ke Generator Dork King