Apakah Anda menginstall plugin WPCode di website WordPress? Jika ya, website Anda bisa saja dalam bahaya!
Sebab, belum lama ini telah ditemukan celah kerentanan di plugin WPCode. Yang bikin ngeri, masalah ini memungkinkan hackers mengambil alih situs dan menghapus file-file berharga di dalamnya.
Untungnya, di artikel ini, kami akan menjelaskan detail kerentanan yang menimpa plugin WPCode beserta cara menanggulanginya.
Berikut informasi selengkapnya!
Celah Kerentanan Plugin WPCode WordPress
Pada tanggal 24 April 2023, laman National Vulnerability Database (NVD) milik pemerintah Amerika Serikat mempublikasikan adanya celah kerentanan pada plugin WPCode – WordPress Code Manager.
Isu keamanan ini menghantui plugin WPCode versi sebelum 2.0.9. Lebih lanjut, pihak NVD melabeli masalah kerentanan tersebut dengan skor 6.5 (medium).
WPCode (sebelumnya dikenal dengan nama Insert Headers and Footers by WPBeginner) adalah plugin yang berfungsi untuk memasukkan script PHP ke WordPress secara mudah.
Plugin ini menyediakan beragam premade code, seperti Google Analytics, custom CSS, dan Facebook Pixel yang nantinya dapat ditempatkan di header, footer, maupun bagian lain pada website.
Berkat kemudahan yang ditawarkan, WPCode telah diinstall lebih dari 1 juta kali oleh pengguna WordPress. Namun dengan isu kerentanan yang ditemukan, aspek keamanan website kini menjadi taruhan.
Apalagi, ini bukan kali pertama plugin WPCode dihantam masalah serupa. Bulan Februari 2023 lalu, NVD juga melaporkan temuan kerentanan yang hinggap di WPCode versi sebelum 2.0.7.
Kembali ke topik, isu keamanan plugin WPCode kali ini berjenis Cross-Site Request Forgery (CSRF). Detail kerentanan CSRF di WPCode sekaligus dampak negatifnya akan kami jelaskan pada poin selanjutnya.
Mari scroll ke bawah!
Cross-Site Request Forgery pada Plugin WPCode
Cross-Site Request Forgery adalah jenis kerentanan yang memanfaatkan hak akses pengguna untuk bertindak tanpa sepengetahuan pengguna tersebut. Berbekal kredensial pengguna, hackers dapat menghapus file-file di dalam website yang rentan.
Hal ini sesuai dengan apa yang terjadi pada plugin WPCode versi sebelum 2.0.9. Di sini, CSRF memungkinkan hackers untuk menghapus file log, maupun memastikan bahwa file tersebut ada pada folder yang semestinya.
Cara kerjanya cukup sederhana. Di sini, hackers dapat memanfaatkan fungsi wpcode_activate_snippets untuk menghapus file log secara sembarangan, termasuk file-file lain di luar folder blog.
Hal ini diperkuat dengan uji coba sederhana WPScan, di mana mereka menggunakan fungsi wpcode_activate_snippets agar mengeksekusi satu baris kode. Hasilnya, file delete-me.log yang terletak di dalam folder wp-content sukses terhapus!
Untung saja, pengguna plugin WPCode saat ini dapat bernapas lega. Sebab, masalah keamanan yang menimpa WPCode telah berhasil diatasi. Ingin tahu bagaimana caranya?
Langsung menuju poin berikutnya, yuk!
Tambal Kerentanan, Plugin WPCode Rilis Patch Update
Tak berselang lama sejak masalah keamanan ditemukan, pihak developer memperbarui plugin WPCode ke versi 2.0.9. Patch update ini difokuskan untuk memperbaiki kerentanan yang timbul di versi-versi terdahulu.
Bahkan, kini telah muncul WPCode versi 2.0.11 dengan performa dan perlindungan yang lebih optimal. Jika Anda adalah pengguna plugin WPCode, pastikan Anda memperbarui plugin ini ke versi terbaru, sehingga website WordPress Anda akan menjadi lebih aman.
Anda bisa mengupdate plugin secara manual dengan login ke dashboard WordPress. Setelah itu, akses menu Updates dan lakukan pembaruan WPCode seperti contoh di bawah:
Namun jika Anda malas pakai opsi manual, kami punya solusi praktisnya. Caranya dengan mengaktifkan fitur Auto Update di website WordPress Anda. Kemudahan ini dapat Anda nikmati dengan berlangganan hosting Niagahoster. Dengan Auto Update WordPress, plugin dan tema di website Anda akan diperbarui secara otomatis.
Untuk menggunakan fitur ini, Anda tinggal login ke New Member Area. Setelah itu, klik Kelola Layanan > WordPress Management secara berurutan. Pada halaman ini, temukan bagian Versi WordPress dan geser slider ke arah kanan.
Gampang banget, kan? Bahkan lebih canggihnya lagi, fitur Auto Update WordPress juga mampu memperbarui versi WordPress di website Anda secara otomatis, loh!
Ingin Website WordPress Lebih Aman? Jangan Skip Info Ini!
Celah kerentanan pada plugin WPCode menunjukkan bahwa tren keamanan website bukan sesuatu yang bisa dianggap remeh. Untungnya dengan mengupdate plugin ke versi terbaru, isu tersebut bisa ditanggulangi.
Pun demikian, rutin memperbarui komponen WordPress seperti plugin hanyalah satu di antara sekian banyak cara menjaga keamanan website. Masih ada langkah lain yang perlu Anda tempuh untuk melindungi website WordPress.
Misalnya seperti menghindari penggunaan plugin WordPress tidak aman, mengganti password situs secara berkala, membatasi akses administrator dari berkepentingan, serta mewaspadai tautan yang terlihat mencurigakan.
Ingin tahu versi lengkapnya? Tenang, semuanya sudah kami kumpulkan dalam ebook yang membahas tentang 25 Langkah Ampuh Mengamankan Website. Yuk dapatkan sekarang dengan klik tombol di bawah, gratis!
