Muhammad Ariffudin also known as Ariffud

Ngeri! 700 Ribu Website Dihantui Kerentanan Plugin Popup Maker

2 min read

Ngeri! 700 Ribu Website Dihantui Kerentanan Plugin Popup Maker

Lebih dari 700 ribu website WordPress terancam masalah keamanan serius! Hal ini merupakan buntut dari adanya celah kerentanan di plugin Popup Maker.

Yang bikin ngeri, celah keamanan plugin Popup Maker dapat mengakibatkan website yang terinfeksi jatuh ke tangan pihak tak bertanggung jawab!

Lantas, seperti apa detail masalah ini? Bagaimana solusi melindungi website WordPress?

Langsung saja, ini dia informasi selengkapnya!

Celah Kerentanan Plugin WordPress Popup Maker

celah kerentanan plugin popup maker

National Vulnerability Database (NVD), badan keamanan database milik Amerika Serikat, merilis laporan celah kerentanan di plugin Popup Maker versi sebelum 1.16.9.

Meskipun sudah merebak sejak akhir tahun 2022, pihak NVD baru secara resmi mempublikasikan temuan celah keamanan ini pada tanggal 2 Januari 2023.

Sedikit info, Popup Maker adalah plugin WordPress untuk membuat berbagai jenis popup, contohnya subscription email. Ia juga terintegrasi dengan plugin populer seperti Ninja Forms, Mailchimp, bahkan WooCommerce.

fitur plugin wordpress popup maker

Fitur dan keunggulan Popup Maker membuatnya dipercaya lebih dari 700 ribu website, serta mendapatkan 4000 rating bintang lima dari pengguna.

Sayangnya, dengan celah kerentanan yang ditemukan, aspek keamanan website pengguna mereka jadi taruhannya.

Masalah yang dialami Popup Maker berjenis Stored Cross Site Scripting (XSS) dengan skor kerentanan 5.4 (medium).  Celah keamanan itu disebut “stored”, karena script berbahaya dapat diunggah ke website korban, lalu tersimpan di sana.

Loh, kok bisa? Jawabannya ada di poin berikutnya!

Baca juga: Rilis Update Maintenance, WordPress 6.1.1 Bawa 50+ Perbaikan Bug

Stored XSS di Plugin Popup Maker dan Bahayanya

Secara umum, kerentanan XSS disebabkan oleh tidak adanya validasi data terhadap inputan atau unggahan yang dilakukan pengguna.

Sesuai pernyataan NVD, plugin Popup Maker versi <1.16.9 tidak memvalidasi inputan di salah satu atribut shortcode. Sehingga, pengguna dengan role minimal kontributor dapat melakukan serangan Stored XSS.

Hal ini diperkuat eksperimen WPScan, tool pemindai keamanan WordPress. Dengan role kontributor, mereka menambahkan shortcode berikut di sebuah postingan:

stored xss di popup maker

Dan benar saja, uji coba sederhana ini berhasil memicu XSS!

Ngeri banget, kan? Apalagi, dampak yang ditimbulkan Stored XSS cukup fatal. Bisa-bisa, website korban terinfeksi trojan berbahaya, diambil alih hackers, bahkan dibobol data pribadinya.

Untungnya saat ini, masalah keamanan plugin Popup Maker ini telah berhasil diatasi. Simak solusinya pada poin di bawah ini!

Baca juga: Diserang Hackers, 15 Ribu Website WordPress dalam Bahaya!

Hindari Kerentanan dengan Update Popup Maker

Tak berselang lama sejak celah kerentanan plugin Popup Maker ditemukan, pihak pengembang beberapa kali meluncurkan update guna menambal masalah yang ada.

Yang teranyar yaitu Popup Maker versi 1.17.1 yang rilis awal Desember 2022.

Jika Anda pengguna plugin Popup Maker, kami sangat menyarankan Anda untuk memperbarui plugin ke versi di atas, demi alasan keamanan.

Anda bisa mengupdate plugin secara manual melalui menu Updates di dashboard WordPress.

Ingin lebih praktis? Anda bisa memanfaatkan Auto Update WordPress. Fitur ini bisa Anda nikmati dengan berlangganan layanan Niagahoster, seperti WordPress Hosting.

Cara mengaktifkannya juga gampang! Anda cukup login ke Member Area Niagahoster, lalu akses WordPress Management > Website dari sidebar. Di halaman berikutnya, klik Auto Update dan lakukan konfigurasi seperti di bawah:

fitur auto update wordpress

Dengan begitu, website WordPress Anda selangkah lebih aman karena semua plugin, tema, bahkan core WordPress akan diperbarui secara otomatis. Terbukti praktis, kan?

Baca juga: Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall

Ingin Website Lebih Aman? Cek Info Berikut!

Celah kerentanan website bisa datang dari mana saja. Salah satunya karena penggunaan plugin yang kurang aman, seperti pada Popup Maker versi sebelum 1.16.9.

Untung saja, berkat langkah update, masalah keamanan tersebut bisa ditangani. Namun tentu saja, memperbarui plugin hanyalah satu dari sekian banyak cara untuk mengamankan website.

Masih banyak hal yang perlu Anda lakukan guna memperkuat perlindungan website, seperti menggunakan password yang rumit, rutin melakukan backup, dan masih banyak lagi.

Nah, penjelasan lengkapnya bisa Anda baca di ebook 25 Langkah Ampuh Mengamankan Website WordPress. Yuk download sekarang juga, gratis!

ebook langkah ampuh mengamankan website wordpress

Sumber

Muhammad Ariffudin also known as Ariffud

Leave a Reply

Your email address will not be published. Required fields are marked *