Vikra Alizanovic Vikra is a digital content writer at Niagahoster. He loves to confide and engage in people on hot topics regarding blogging, lifestyle, WordPress-stuffs, and other IT gimmicks. On his free time, he loves to read and watch One Piece.

Bahaya! Celah Keamanan 3 Plugin XootiX Ancam 84,000 Website Terkena Serangan!

2 min read

Celah Keamanan Plugin XootiX Ancam 84000 Website

Pada bulan November 2021, ahli keamanan WordPress menemukan celah keamanan dari tiga plugin WordPress milik XootiX, yakni Login/Signup Popup, Side Cart WooCommerce, dan Waitlist WooCommerce.

Celah keamanan ini membuat 84,000 website rentan diserang hacker. Jika Anda termasuk pengguna tiga plugin tersebut, Anda perlu waspada.

Nah, di artikel ini, kami akan menjelaskan apa yang terjadi dan solusi yang bisa Anda untuk melindungi website. Yuk, simak!

Masalah Keamanan Pada Tiga Plugin XootiX

XootiX dikenal memiliki plugin ecommerce yang baik. Sayangnya, Wordfence, perusahaan di bidang keamanan WordPress, melaporkan celah keamanan pada tiga plugin XootiX, yaitu:

  • Login/Signup Popup versi 2.2 — plugin popup untuk login dan signup yang terpasang di 20,000 website.
  • Side Cart WooCommerce versi 2.5.1 — plugin fitur keranjang belanja yang digunakan oleh 4,000 website.
  • Waitlist WooCommerce versi 2.0 — plugin wait list toko online yang terpasang pada 60,000 website.

Mengingat banyaknya pengguna, celah keamanan tersebut tentu berdampak besar pada pengguna WordPress.

Wordfence menjelaskan celah keamanan yang ditemukan dapat membuat website rentan terhadap Cross-Site Request Forgery (CSRF), yakni serangan pada PHP yang mengeksploitasi kelemahan website dengan melakukan request tidak sah ke website.

Serangan CSRF bisa terjadi ketika administrator website dibuat melakukan aksi tertentu, misalnya mengklik sebuah link. Kemudian, pihak penyerang dapat mengambil alih akses website secara penuh melalui command atau script yang tersembunyi.

Apa Penyebab dari Masalah Keamanan Ini?

Ketiga plugin dari XootiX tersebut mendukung website yang menggunakan AJAX dengan menerapkan fungsi save_settings yang diinisiasi melalui sebuah tindakan wp_ajax

Yang menjadi masalah, siapapun bisa melakukan request tanpa adanya cek nonce (number once), yaitu proses authentication menggunakan rangkaian angka random yang serupa dengan OTP. Artinya, tidak ada validasi atas keaslian perintah.

Dengan begitu, hacker bisa berupaya membuat request yang akan memicu AJAX dan menjalankan fungsi tertentu. Jika berhasil, pengaturan pada website bisa diubah sesuka hati.

Pada celah keamanan ini, hacker bisa memanfaatkan Arbitrary Options Update. Dengannya, hacker mampu mengubah opsi user_can_register menjadi true, dan mengubah default_role menjadi administrator. Hasilnya, mereka akan mengambil alih kontrol website secara penuh.

Solusi Masalah

Kabar baiknya, XootiX sudah meluncurkan versi terbaru dari ketiga plugin mereka untuk menutup celah keamanan tersebut.

Jadi, kalau Anda menggunakan tiga plugin tersebut, segera lakukan update menjadi:

  • Login/Signup Popup versi 2.3.
  • Waitlist WooCommerce versi 2.5.2
  • Side Cart WooCommerce versi 2.1

Langkah update plugin di atas, sebenarnya sudah cukup menjadi solusi. 

Pun demikian, untuk menghindari risiko keamanan seperti ini, pastikan plugin Anda selalu terbaru. Bagaimana caranya? 

Umumnya, pengguna WordPress bisa klik Enable auto-updates pada plugin yang ingin diperbarui secara otomatis. Langkah ini bisa dilakukan melalui dashboard WordPress.

auto update plugin wordpress

Yang menarik, pengguna layanan Niagahoster punya solusi lebih mudah, yaitu fitur Auto Update WordPress  yang bisa diaktifkan langsung dari Member Area.

Untuk mengaktifkannya, dari halaman Member Area Niagahoster, klik tab Website. Kemudian, klik opsi Auto Update pada tab WordPress Management

auto update member area niagahoster

Pilih opsi Lakukan Update disemua Versi yang Tersedia. Jangan lupa, aktifkan Auto Update WordPress Plugins dan Auto Update WordPress Tema. Setelah itu klik tombol Update

Kini, update untuk tema, plugin, dan core WordPress akan berjalan secara otomatis ketika sudah tersedia. Dengan begitu, website Anda akan lebih aman ketika terjadi masalah celah keamanan pada plugin.

Baca Juga: Celah Keamanan Plugin WordPress WP HTML Mail Ancam 20,000+ Website!

Manfaatkan Auto Update dan Amankan Website Anda Sekarang!

Ancaman terhadap website bisa saja berasal dari plugin WordPress yang Anda gunakan. Itulah kenapa penting untuk memastikan bahwa plugin di website Anda tidak menjadi celah keamanan yang membahayakan website.

Salah satu cara yang paling efektif adalah selalu menggunakan versi plugin dan WordPress terbaru. Anda bisa mengaktifkan fitur update otomatis di dashboard WordPress atau dengan fitur Auto Update di Member Area Niagahoster

Dengan tips di atas, keamanan website WordPress Anda bisa lebih ditingkatkan. 
Pun demikian, ada banyak cara untuk mengamankan website Anda. Tak perlu bingung, kami sudah merangkumnya dalam bentuk ebook yang bisa Anda download secara gratis.

Langkah Mengamankan Website
Vikra Alizanovic Vikra is a digital content writer at Niagahoster. He loves to confide and engage in people on hot topics regarding blogging, lifestyle, WordPress-stuffs, and other IT gimmicks. On his free time, he loves to read and watch One Piece.

Leave a Reply

Your email address will not be published.