Apa yang salah jika wordpress dengan pengamanan berlapis masih bisa ditembus dengan mudah, bahkan peretas leluasa mengganti username, password dan menghapus log pada server?

Ini adalah kali kelima blog izulthea.com dihack. Pertama, yang melakukan memperkenalkan diri sebagai Barra Bavaz. Dia ubah header dan tagline blog ini. Lalu dilakukan perbaikan. Selang beberapa hari, Barra Bavaz muncul lagi, kali ini excerpt (read more..) dia ganti menjadi Barra Bavaz Was Here. Saya lakukan perbaikan lagi.

Berikutnya, yang diganti user dan password, masih saya perbaiki lagi.
berikutnya–berikutnya– sama seperti itu.

Dan, di antara ‘berikutnya’ dan ‘berikutnya’, saya laporkan ke pihak hosting, jawabannya sungguh standar sekali. Hmm…

saya, menduga-duga, ini bukan masalah celah atau hole, tapi mungkin saja server sudah dikuasai oleh si penyerang, sehingga dengan sangat mudah, peretas, mengganti-ganti user login, tanpa terhambat oleh parameter login attempt (di mana, salah sekiah kali ipnya akan di banned, dengan brute force) dan pengamaman wordpress seperti plugin All In One WP Security.

Begitu cek log, tak ada bekas sama sekali karena log didisable.

dan benar saja adanya, ternyata peretas melakukan hacking massal dalam satu ip server!
ini buktinya (http://www.hack-db.com/ip_49.50.8.64.html) blog izulthea.com pada hari tulisan ini diketik berada dihalaman dua.

Dalam keadaan seperti ini, saya tak berdaya samasekali.