WordPress Diserang Tiga Celah Kerentanan, Jutaan Website Terancam!

3 min read

22_9_12 WordPress Diserang Tiga Celah Kerentanan, Jutaan Website Terancam!

Pengumuman penting bagi Anda pengguna WordPress! Baru-baru ini, telah ditemukan tiga celah keamanan di core atau inti WordPress. Salah satunya, bahkan punya tingkat kerentanan yang tinggi!

Seperti apa detail masalah keamanan yang menimpa WordPress? Apa dampaknya jika tidak segera ditangani? Bagaimana cara melindungi website Anda dari kerentanan WordPress?

Langsung saja, ini dia informasi selengkapnya!

Celah Kerentanan WordPress Serang Versi <6.0.2

celah kerentanan wordpress

Pada tanggal 30 Agustus 2022 lalu, penyedia layanan keamanan Wordfence mempublikasikan adanya tiga celah kerentanan di core WordPress. Masalah tersebut menyerang seluruh versi WordPress sebelum versi 6.0.2.

Menurut tim analis Wordfence, tiga masalah keamanan ini memungkinkan hackers dan pihak tak bertanggung jawab lain mengobrak-abrik konfigurasi website, atau bahkan mengakses informasi pribadi yang ada di website tersebut.

Syaratnya hanya dua. Pertama, hackers berhasil mendapatkan hak akses sebagai administrator atau editor. Kedua, di website tersebut juga terdapat kerentanan akibat plugin atau tema pihak ketiga yang sekaligus dimanfaatkan oleh hackers.

Untungnya hingga kini, belum ada laporan kejadian menimpa pengguna WordPress terkait isu tersebut. Namun mengingat dampaknya yang berbahaya, hal ini tentu saja membuat waswas sebagian besar pemilik website WordPress.

Lantas, seperti apa detail tiga masalah keamanan core WordPress tersebut? Jawabannya ada di poin berikutnya!

Baca juga: [Lagi] WordPress Diserang Isu Keamanan, Jutaan Website Terancam!

Analisis Tiga Celah Kerentanan Core WordPress

Tim analis Wordfence berhasil mengidentifikasi tiga isu kerentanan WordPress versi di bawah 6.0.2, yaitu:

1. SQL Injection via Fitur Bookmarks

Tingkat Kerentanan: 8.0 (Tinggi)

Celah kerentanan WordPress yang pertama ini mengincar fitur Bookmarks, atau yang sekarang lebih dikenal dengan nama Links. Fitur ini berfungsi untuk mengelola semua daftar bookmark milik website WordPress.

Sebenarnya di WordPress versi terbaru, fitur Bookmarks sudah tidak diaktifkan secara default. Hanya saja di versi WordPress yang usang dan belum diperbarui, fitur ini tentu masih dalam keadaan aktif.

celah kerentanan wordpress get bookmark

Hal inilah yang dimanfaatkan hackers berbekal celah pada fungsi get_bookmark. Di fungsi ini terdapat argumen limit yang bertugas membatasi daftar bookmark yang tampil sesuai dengan perintah atau query SQL.

Namun sayangnya, metode sanitasi data yang kurang sempurna menyebabkan argumen limit justru menampilkan data melebihi batasan query.

Satu kesalahan sanitasi ternyata dapat berakibat fatal, karena hackers berpeluang mengakses data yang seharusnya tidak bisa dilihat. Asalkan, mereka punya hak akses minimal editor dan bisa menginjeksi perintah SQL (SQL Injection) secara tepat.

2. Contributor+ Stored Cross-Site Scripting via Fungsi the_meta

Tingkat Kerentanan: 4.9 (Menengah)

Pengguna WordPress dengan hak akses kontributor, author, editor, dan administrator dapat menambahkan custom field ketika membuat postingan atau halaman baru. Fungsinya, agar mereka bisa mengaitkan data tambahan dengan lebih mudah.

Di custom field tersebut terdapat beberapa fungsi. Salah satunya yaitu the_meta yang berguna untuk mengambil kunci meta dan value dari data lain, lalu mengolahnya dalam bentuk list.

celah kerentanan wordpress the meta

Sayangnya, pada versi WordPress di bawah 6.0.2, hackers bisa memanfaatkan fungsi the_meta untuk menambah script berbahaya di antara baris kode kunci meta dan value. Nantinya, script tak diinginkan tersebut akan dieksekusi bersama dengan script lain.

Jika hackers punya hak akses minimal sebagai kontributor, mereka bisa menyuntikkan script yang bisa merusak website korban. Hal inilah yang dinamakan dengan Stored Cross-Site Scripting atau XSS.

Baca juga: Apakah Website WordPress Mudah Kena Hack? Ini Faktanya..

3. Stored Cross-Site Scripting via Notifikasi Error Plugin

Tingkat Kerentanan: 4.7 (Menengah)

Celah kerentanan WordPress yang terakhir ini masih berhubungan dengan XSS. Pada halaman Plugin, Anda bisa menonaktifkan atau menghapus plugin yang terinstall. Namun ada kalanya, WordPress menampilkan notifikasi error karena plugin tidak bisa dihapus.

celah kerentanan wordpress plugin error

Sayangnya, pesan error tersebut menyimpan celah kerentanan yang dapat dimanfaatkan oleh hackers. Syaratnya, di website tersebut sudah terdapat masalah keamanan lain yang berasal dari plugin pihak ketiga.

Namun ingat, plugin tidak bisa dinonaktifkan adalah masalah lain. Sementara, notifikasi error yang justru menyimpan isu kerentanan membuat hackers bisa menjalankan metode XSS untuk membahayakan website.

Mengerikan sekali ya dampak tiga celah kerentanan WordPress di atas? 

Untung saja, solusi dari masalah ini sudah berhasil ditemukan. Simak detailnya di poin berikutnya!

Baca juga: Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall

Update WordPress Versi 6.0.2 Jadi Solusi Mutlak

Masih di tanggal yang sama, 30 Agustus 2022, tim developer WordPress bertindak cepat untuk menambal tiga isu kerentanan tersebut. Maka, WordPress 6.0.2 Security & Maintenance Release hadir.

Mengingat ini adalah update keamanan, tim WordPress mengimbau Anda untuk mengupdate versi WordPress dengan segera. Tujuannya jelas, agar website Anda tidak menjadi korban celah kerentanan yang lebih serius.

Untuk memperbarui versi WordPress, Anda cukup masuk ke dashboard WordPress. Kemudian, akses menu Updates pada sidebar sebelah kiri.

dashboard wordpress update

Di halaman Updates, akan muncul informasi versi terbaru WordPress. Silakan klik Update to version 6.0.2. Setelahnya, update WordPress akan berlangsung. Apabila berhasil, Anda bakal melihat tampilan berikut:

update wordpress 6.0.2 berhasil

Bagaimana, mudah bukan cara update WordPress ke versi terbaru? Kini, website Anda jadi lebih aman dari berbagai masalah keamanan.

Langkah Mengamankan Website

Ingin WordPress Lebih Aman? Simak Info Berikut!

Mengupdate WordPress sebenarnya pekerjaan mudah. Namun, bagi sebagian orang masih dianggap agak merepotkan. Alasannya, Anda harus memperbarui WordPress secara manual, tiap kali versi terbaru WordPress dirilis.

Untungnya, Niagahoster punya solusi lebih baik dan cepat. Caranya dengan memanfaatkan fitur Auto Update WordPress. Fitur ini kami sajikan khusus untuk Anda pelanggan Niagahoster.

Cara mengaktifkannya sangat mudah. Anda cukup mengakses Member Area Niagahoster. Lalu, klik WordPress Management > Website di sidebar sebelah kiri. Setelah itu, klik tab WP Management > Auto Update. Di pop up yang muncul, lakukan konfigurasi seperti berikut:

fitur auto update wordpress

Oh ya, selain untuk mengupdate versi WordPress, fitur ini juga bisa dimanfaatkan untuk update plugin dan tema secara otomatis, loh. Jadi, website Anda akan lebih aman karena semua komponennya selalu dalam keadaan baru.

Ingin WordPress Anda lebih aman? Silakan beralih ke layanan WordPress Hosting Niagahoster. Layanan yang dirancang khusus untuk website WordPress ini dibekali berbagai fitur keamanan komplit.

Selain Auto Update WordPress, ada juga Force HTTPS untuk mengenkripsi lalu lintas data di website tanpa plugin tambahan dan Realtime Vulnerable Patching guna melindungi website dari berbagai celah keamanan secara realtime!

Jadi tunggu apa lagi, segera gunakan WordPress Hosting Niagahoster sekarang!

Sumber

Leave a Reply

Your email address will not be published.