WordPress & News

Gawat! Lima Plugin WooCommerce Memiliki Celah Kerentanan

Anda pemilik website toko online WordPress yang dibangun dengan WooCommerce? Jika ya, waspadalah! Belum lama ini ditemukan celah kerentanan di lima plugin WooCommerce. Lebih dari 135.000 pengguna terancam!

Apa saja plugin WooCommerce yang memiliki masalah keamanan? Apa dampaknya bagi website yang menggunakan plugin tersebut? Adakah solusinya?

Langsung saja, ini dia informasi selengkapnya!

Celah Kerentanan Hantui 5 Plugin WooCommerce

National Vulnerability Database (NVD) merilis informasi tentang ditemukannya celah keamanan di lima plugin WooCommerce pada tanggal 7 November 2022. 

Informasi ini perlu ditanggapi serius mengingat tingkat kerentanan tinggi yang dimiliki, dan berdampak pada lebih dari 135 ribu pengguna WooCommerce.

Apa saja lima plugin WooCommerce yang terdampak celah kerentanan tersebut?

1. Advanced Order Export for WooCommerce

Versi terdampak: <=3.3.2
Tingkat keparahan: 6,5 dari 10 (Menengah)

Advanced Order Export for WooCommerce adalah plugin yang berguna untuk mengekspor data orderan ke berbagai format file. 

Plugin yang telah diinstall pada 100 ribu website memiliki risiko kerentanan Cross Site Request Forgery (CSRF). Hacker bisa mengelabui pemilik website agar melakukan sesuatu secara tidak sengaja. 

Dalam kasus plugin Advanced Order Export for WooCommerce, upaya tersebut dilakukan ketika mengunduh suatu file.

Mengingat fungsi plugin ini untuk mengekspor detail orderan, maka file yang diincar hacker tentunya data orderan pelanggan yang umumnya berisi informasi pribadi dan sensitif.

2. Advanced Dynamic Pricing for WooCommerce

Versi terdampak: <=4.1.5
Tingkat keparahan: 4,3 dari 10 (Menengah)

Advanced Dynamic Pricing for WooCommerce adalah plugin untuk membantu Anda menetapkan aturan harga dan diskon produk secara mudah. 

Sama seperti plugin sebelumnya, plugin ini juga dihantui kerentanan jenis CSRF. Bedanya, CSRF di sini bisa menyebabkan terjadinya ‘rule type migration’. 

Sebenarnya, belum ada keterangan pasti tentang cara kerja rule type migration. Dampaknya di 20 ribu website yang menggunakan plugin Advanced Dynamic Pricing for WooCommerce juga belum jelas.

Namun, bisa saja kerentanan ini digunakan hacker untuk mengubah informasi harga ataupun diskon produk sesuka hati.

Baca juga: WordPress 6.1

3. Advanced Coupons for WooCommerce Coupons

Versi terdampak: <=4.5
Tingkat keparahan: 4,3 dari 10 (Menengah)

Satu lagi plugin yang dihantui celah kerentanan jenis CSRF, yaitu Advanced Coupons for WooCommerce Coupons. 

Namun, belum ada kejelasan terkait dampak CSRF di plugin dengan 10 ribu instalasi lebih ini. Satu-satunya hal yang bisa diketahui yaitu celah kerentanan plugin Advanced Coupons dapat memberhentikan pemberitahuan melalui teknik AJAX.

Plugin ini sendiri berfungsi untuk menambahkan dan mengelola kupon diskon, gift card, dan sejenisnya.

4. WooCommerce Dropshipping by OPMC

Versi terdampak: <=4.3
Tingkat keparahan: 9,8 dari 10 (Kritis)

Sesuai namanya, WooCommerce Dropshipping by OPMC adalah plugin untuk menambahkan fitur untuk kebutuhan bisnis dropship.

Plugin dengan 3000 instalasi ini menyimpan masalah keamanan jenis SQL Injection  yang memungkinkan hacker untuk mendapat akses administrator. Dengan akses tersebut, hacker bisa bebas menghapus bahkan mengintip informasi pribadi di database website korban. 

Mengingat dampaknya, tak heran kalau celah keamanan ini mendapat label kritis.

Penyebab SQL Injection di WooCommerce Dropshipping ini karena kurangnya sanitasi atau pembersihan data. Tepatnya, di salah satu REST Endpoint yang memanfaatkan pernyataan SQL tertentu.

5. Role Based Pricing for WooCommerce

Versi terdampak: <=1.6.2
Skor keparahan: 8,8 dari 10 (Tinggi)

Role Based Pricing for WooCommerce adalah plugin untuk mengatur harga produk sesuai dengan role pengguna. 

Plugin yang telah diinstall 2000 kali ini tak hanya memiliki satu tapi dua celah kerentanan jenis CSRF.

Masalah CSRF yang pertama memungkinkan pengguna tingkat rendah seperti subscriber mengupload file ke website secara sembarangan. Celah kerentanan ini menghantui Role Based Pricing versi sebelum 1.6.2.

Sementara CSRF yang kedua menyebabkan subscriber bisa mengupload file sekaligus mengeksploitasi website korban menggunakan teknik PHAR deserialization. 

Sampai di sini, Anda sudah mengetahui detail plugin WooCommerce yang dihinggapi masalah keamanan, sekaligus dampaknya bagi website. Lantas, apa solusi manjur untuk isu kerentanan lima plugin WooCommerce di atas?

Baca juga: WordPress 6.0.3

Solusi: Update 5 Plugin WooCommerce ke Versi Terbaru

Tak butuh waktu lama bagi para developer plugin WooCommerce untuk menambal isu kerentanan yang ada. Mereka telah merilis versi terbaru untuk memperbaiki celah keamanan tadi, dengan rincian sebagai berikut:

  • Advanced Order Export for WooCommerce – 3.3.3
  • Advanced Dynamic Pricing for WooCommerce – 4.1.6
  • Advanced Coupons for WooCommerce Coupons – 4.5.0.1
  • WooCommerce Dropshipping by OPMC – 4.4
  • Role Based Pricing for WooCommerce – 1.6.3

Nah, jika Anda pengguna salah satu atau bahkan semua plugin tersebut, kami mengimbau Anda untuk mengupdate plugin WooCommerce ke versi terbaru

Untuk mengupdate plugin WooCommerce, caranya sangat mudah, kok. Mulailah dengan mengikuti cara masuk ke dashboard WordPress, kemudian akses menu Updates dari sidebar.

Di halaman plugin, klik tanda centang pada plugin yang ingin diperbarui. Jika sudah, silakan klik tombol Update Plugins dan tunggu prosesnya.

Bagaimana, mudah sekali bukan cara memperbarui plugin WooCommerce ke versi teranyar?

Baca juga: Celah Kerentanan Plugin Shortcodes Ultimate

Hindari Celah Keamanan Plugin dengan Aktifkan Auto Update WordPress!

Lima plugin untuk WooCommerce memiliki ancaman bagi pengguna website karena adanya celah kerentanan berbahaya. Untungnya, masalah tersebut berhasil teratasi berkat update yang dirilis pengembang plugin. 

Yang perlu Anda lakukan adalah mengupdate masing-masing plugin tersebut ke versi terbaru. Langkah update plugin sudah kami jelaskan di atas. Meskipun mudah, keharusan melakukannya secara manual bisa membuat Anda terlambat menjaga keamanan website.

Untungnya, sekarang sudah ada solusi praktisnya, yaitu dengan memanfaatkan fitur Auto Update WordPress. Jadi, semua komponen WordPress seperti plugin, tema, dan versi WordPress akan diperbarui secara otomatis.

Fitur ini bisa dinikmati khusus bagi pengguna layanan Niagahoster, misalnya WordPress Hosting.

Caranya mudah. Anda tinggal login ke Member Area Niagahoster lalu akses menu WordPress Management > Website dari sidebar di sisi kiri. Setelah itu, pilih opsi Auto Update dan lakukan konfigurasi seperti di bawah:

Selamat! Kini, website WordPress Anda jadi selangkah lebih aman dengan metode anti ribet.

Namun tentu saja, mengaktifkan pembaruan otomatis hanyalah satu dari sekian banyak cara untuk melindungi website WordPress.

Ingin tahu apa saja hal yang wajib dilakukan agar website WordPress Anda selalu aman? Temukan jawabannya dengan membaca ebook 25 Langkah Ampuh Mengamankan Website WordPress.

Yuk download sekarang juga, gratis loh!

Sumber

Muhammad Ariffudin

also known as Ariffud

Share
Published by
Muhammad Ariffudin

Recent Posts

Cara Install Yarn di Windows, Linux, dan MacOS dengan Mudah

Ingin menggunakan Yarn, tapi tak tahu cara instalnya? Yuk pelajari cara install Yarn di Windows, Linux, dan MacOS lengkap di…

3 hours ago

Pengganti Niaga Forum, Ini Layanan Niagahoster Lain untuk Tetap Up to Date

Ingin tahu sumber referensi resmi dan cara memaksimalkan layanan Niagahoster? Yuk kepoin 3 layanan pengganti Niaga Forum di sini!

7 hours ago

Ingin Membuat Konsumen Anda Terpikat? Tawarkan Value Proposition yang Tepat!

Value proposition adalah kunci untuk memikat target pasar. Sebab, Anda menjelaskan kenapa produk Anda harus dipilih dibandingkan yang lain.  Dengan…

1 day ago

Produk Unggulan Niagahoster sebagai Alternatif Layanan EazyLink

Niagahoster berkomitmen membantu Anda meraih kesuksesan online. Nah, kami punya pemberitahuan terkait layanan EazyLink. Cek infonya di sini!

3 days ago

Apa Itu Reseller? Contoh, Cara Kerja, dan Tips Menjadi Reseller

Ingin berbisnis tapi tak punya modal yang cukup? Atau ingin memiliki usaha sampingan yang fleksibel tapi menjanjikan? Sangat bisa. Anda…

1 week ago

Kenapa Kebanyakan Bisnis Dropship Gagal?

“Alhamdulillah setelah 1 bulan saya ikut bisnis dropship ada sekitar kurang lebih 20–30 order yang masuk dan dapat omset ya…

1 week ago