Anda pemilik website toko online WordPress yang dibangun dengan WooCommerce? Jika ya, waspadalah! Belum lama ini ditemukan celah kerentanan di lima plugin WooCommerce. Lebih dari 135.000 pengguna terancam!
Apa saja plugin WooCommerce yang memiliki masalah keamanan? Apa dampaknya bagi website yang menggunakan plugin tersebut? Adakah solusinya?
Langsung saja, ini dia informasi selengkapnya!
Celah Kerentanan Hantui 5 Plugin WooCommerce
National Vulnerability Database (NVD) merilis informasi tentang ditemukannya celah keamanan di lima plugin WooCommerce pada tanggal 7 November 2022.
Informasi ini perlu ditanggapi serius mengingat tingkat kerentanan tinggi yang dimiliki, dan berdampak pada lebih dari 135 ribu pengguna WooCommerce.
Apa saja lima plugin WooCommerce yang terdampak celah kerentanan tersebut?
1. Advanced Order Export for WooCommerce
Versi terdampak: <=3.3.2
Tingkat keparahan: 6,5 dari 10 (Menengah)
Advanced Order Export for WooCommerce adalah plugin yang berguna untuk mengekspor data orderan ke berbagai format file.
Plugin yang telah diinstall pada 100 ribu website memiliki risiko kerentanan Cross Site Request Forgery (CSRF). Hacker bisa mengelabui pemilik website agar melakukan sesuatu secara tidak sengaja.
Dalam kasus plugin Advanced Order Export for WooCommerce, upaya tersebut dilakukan ketika mengunduh suatu file.
Mengingat fungsi plugin ini untuk mengekspor detail orderan, maka file yang diincar hacker tentunya data orderan pelanggan yang umumnya berisi informasi pribadi dan sensitif.
2. Advanced Dynamic Pricing for WooCommerce
Versi terdampak: <=4.1.5
Tingkat keparahan: 4,3 dari 10 (Menengah)
Advanced Dynamic Pricing for WooCommerce adalah plugin untuk membantu Anda menetapkan aturan harga dan diskon produk secara mudah.
Sama seperti plugin sebelumnya, plugin ini juga dihantui kerentanan jenis CSRF. Bedanya, CSRF di sini bisa menyebabkan terjadinya ‘rule type migration’.
Sebenarnya, belum ada keterangan pasti tentang cara kerja rule type migration. Dampaknya di 20 ribu website yang menggunakan plugin Advanced Dynamic Pricing for WooCommerce juga belum jelas.
Namun, bisa saja kerentanan ini digunakan hacker untuk mengubah informasi harga ataupun diskon produk sesuka hati.
Baca juga: WordPress 6.1
3. Advanced Coupons for WooCommerce Coupons
Versi terdampak: <=4.5
Tingkat keparahan: 4,3 dari 10 (Menengah)
Satu lagi plugin yang dihantui celah kerentanan jenis CSRF, yaitu Advanced Coupons for WooCommerce Coupons.
Namun, belum ada kejelasan terkait dampak CSRF di plugin dengan 10 ribu instalasi lebih ini. Satu-satunya hal yang bisa diketahui yaitu celah kerentanan plugin Advanced Coupons dapat memberhentikan pemberitahuan melalui teknik AJAX.
Plugin ini sendiri berfungsi untuk menambahkan dan mengelola kupon diskon, gift card, dan sejenisnya.
4. WooCommerce Dropshipping by OPMC
Versi terdampak: <=4.3
Tingkat keparahan: 9,8 dari 10 (Kritis)
Sesuai namanya, WooCommerce Dropshipping by OPMC adalah plugin untuk menambahkan fitur untuk kebutuhan bisnis dropship.
Plugin dengan 3000 instalasi ini menyimpan masalah keamanan jenis SQL Injection yang memungkinkan hacker untuk mendapat akses administrator. Dengan akses tersebut, hacker bisa bebas menghapus bahkan mengintip informasi pribadi di database website korban.
Mengingat dampaknya, tak heran kalau celah keamanan ini mendapat label kritis.
Penyebab SQL Injection di WooCommerce Dropshipping ini karena kurangnya sanitasi atau pembersihan data. Tepatnya, di salah satu REST Endpoint yang memanfaatkan pernyataan SQL tertentu.
Baca Juga: Pengguna WordPress, Waspadai Celah Kerentanan Plugin ShortPixel!
5. Role Based Pricing for WooCommerce
Versi terdampak: <=1.6.2
Skor keparahan: 8,8 dari 10 (Tinggi)
Role Based Pricing for WooCommerce adalah plugin untuk mengatur harga produk sesuai dengan role pengguna.
Plugin yang telah diinstall 2000 kali ini tak hanya memiliki satu tapi dua celah kerentanan jenis CSRF.
Masalah CSRF yang pertama memungkinkan pengguna tingkat rendah seperti subscriber mengupload file ke website secara sembarangan. Celah kerentanan ini menghantui Role Based Pricing versi sebelum 1.6.2.
Sementara CSRF yang kedua menyebabkan subscriber bisa mengupload file sekaligus mengeksploitasi website korban menggunakan teknik PHAR deserialization.
Sampai di sini, Anda sudah mengetahui detail plugin WooCommerce yang dihinggapi masalah keamanan, sekaligus dampaknya bagi website. Lantas, apa solusi manjur untuk isu kerentanan lima plugin WooCommerce di atas?
Baca juga: WordPress 6.0.3
Solusi: Update 5 Plugin WooCommerce ke Versi Terbaru
Tak butuh waktu lama bagi para developer plugin WooCommerce untuk menambal isu kerentanan yang ada. Mereka telah merilis versi terbaru untuk memperbaiki celah keamanan tadi, dengan rincian sebagai berikut:
- Advanced Order Export for WooCommerce – 3.3.3
- Advanced Dynamic Pricing for WooCommerce – 4.1.6
- Advanced Coupons for WooCommerce Coupons – 4.5.0.1
- WooCommerce Dropshipping by OPMC – 4.4
- Role Based Pricing for WooCommerce – 1.6.3
Nah, jika Anda pengguna salah satu atau bahkan semua plugin tersebut, kami mengimbau Anda untuk mengupdate plugin WooCommerce ke versi terbaru.
Untuk mengupdate plugin WooCommerce, caranya sangat mudah, kok. Mulailah dengan mengikuti cara masuk ke dashboard WordPress, kemudian akses menu Updates dari sidebar.
Di halaman plugin, klik tanda centang pada plugin yang ingin diperbarui. Jika sudah, silakan klik tombol Update Plugins dan tunggu prosesnya.
Bagaimana, mudah sekali bukan cara memperbarui plugin WooCommerce ke versi teranyar?
Baca juga: Celah Kerentanan Plugin Shortcodes Ultimate
Hindari Celah Keamanan Plugin dengan Aktifkan Auto Update WordPress!
Lima plugin untuk WooCommerce memiliki ancaman bagi pengguna website karena adanya celah kerentanan berbahaya. Untungnya, masalah tersebut berhasil teratasi berkat update yang dirilis pengembang plugin.
Yang perlu Anda lakukan adalah mengupdate masing-masing plugin tersebut ke versi terbaru. Langkah update plugin sudah kami jelaskan di atas. Meskipun mudah, keharusan melakukannya secara manual bisa membuat Anda terlambat menjaga keamanan website.
Untungnya, sekarang sudah ada solusi praktisnya, yaitu dengan memanfaatkan fitur Auto Update WordPress. Jadi, semua komponen WordPress seperti plugin, tema, dan versi WordPress akan diperbarui secara otomatis.
Fitur ini bisa dinikmati khusus bagi pengguna layanan Niagahoster, misalnya WordPress Hosting.
Caranya mudah. Anda tinggal login ke Member Area Niagahoster lalu akses menu WordPress Management > Website dari sidebar di sisi kiri. Setelah itu, pilih opsi Auto Update dan lakukan konfigurasi seperti di bawah:
Selamat! Kini, website WordPress Anda jadi selangkah lebih aman dengan metode anti ribet.
Namun tentu saja, mengaktifkan pembaruan otomatis hanyalah satu dari sekian banyak cara untuk melindungi website WordPress.
Ingin tahu apa saja hal yang wajib dilakukan agar website WordPress Anda selalu aman? Temukan jawabannya dengan membaca ebook 25 Langkah Ampuh Mengamankan Website WordPress.
Yuk download sekarang juga, gratis loh!
