Pengumuman penting bagi Anda pengguna WordPress! Baru-baru ini, telah ditemukan tiga celah keamanan di core atau inti WordPress. Salah satunya, bahkan punya tingkat kerentanan yang tinggi!
Seperti apa detail masalah keamanan yang menimpa WordPress? Apa dampaknya jika tidak segera ditangani? Bagaimana cara melindungi website Anda dari kerentanan WordPress?
Langsung saja, ini dia informasi selengkapnya!
Celah Kerentanan WordPress Serang Versi <6.0.2
Pada tanggal 30 Agustus 2022 lalu, penyedia layanan keamanan Wordfence mempublikasikan adanya tiga celah kerentanan di core WordPress. Masalah tersebut menyerang seluruh versi WordPress sebelum versi 6.0.2.
Menurut tim analis Wordfence, tiga masalah keamanan ini memungkinkan hackers dan pihak tak bertanggung jawab lain mengobrak-abrik konfigurasi website, atau bahkan mengakses informasi pribadi yang ada di website tersebut.
Syaratnya hanya dua. Pertama, hackers berhasil mendapatkan hak akses sebagai administrator atau editor. Kedua, di website tersebut juga terdapat kerentanan akibat plugin atau tema pihak ketiga yang sekaligus dimanfaatkan oleh hackers.
Untungnya hingga kini, belum ada laporan kejadian menimpa pengguna WordPress terkait isu tersebut. Namun mengingat dampaknya yang berbahaya, hal ini tentu saja membuat waswas sebagian besar pemilik website WordPress.
Lantas, seperti apa detail tiga masalah keamanan core WordPress tersebut? Jawabannya ada di poin berikutnya!
Baca juga: [Lagi] WordPress Diserang Isu Keamanan, Jutaan Website Terancam!
Analisis Tiga Celah Kerentanan Core WordPress
Tim analis Wordfence berhasil mengidentifikasi tiga isu kerentanan WordPress versi di bawah 6.0.2, yaitu:
1. SQL Injection via Fitur Bookmarks
Tingkat Kerentanan: 8.0 (Tinggi)
Celah kerentanan WordPress yang pertama ini mengincar fitur Bookmarks, atau yang sekarang lebih dikenal dengan nama Links. Fitur ini berfungsi untuk mengelola semua daftar bookmark milik website WordPress.
Sebenarnya di WordPress versi terbaru, fitur Bookmarks sudah tidak diaktifkan secara default. Hanya saja di versi WordPress yang usang dan belum diperbarui, fitur ini tentu masih dalam keadaan aktif.
Hal inilah yang dimanfaatkan hackers berbekal celah pada fungsi get_bookmark. Di fungsi ini terdapat argumen limit yang bertugas membatasi daftar bookmark yang tampil sesuai dengan perintah atau query SQL.
Namun sayangnya, metode sanitasi data yang kurang sempurna menyebabkan argumen limit justru menampilkan data melebihi batasan query.
Satu kesalahan sanitasi ternyata dapat berakibat fatal, karena hackers berpeluang mengakses data yang seharusnya tidak bisa dilihat. Asalkan, mereka punya hak akses minimal editor dan bisa menginjeksi perintah SQL (SQL Injection) secara tepat.
Baca juga: WordPress 6.0.3
2. Contributor+ Stored Cross-Site Scripting via Fungsi the_meta
Tingkat Kerentanan: 4.9 (Menengah)
Pengguna WordPress dengan hak akses kontributor, author, editor, dan administrator dapat menambahkan custom field ketika membuat postingan atau halaman baru. Fungsinya, agar mereka bisa mengaitkan data tambahan dengan lebih mudah.
Di custom field tersebut terdapat beberapa fungsi. Salah satunya yaitu the_meta yang berguna untuk mengambil kunci meta dan value dari data lain, lalu mengolahnya dalam bentuk list.
Sayangnya, pada versi WordPress di bawah 6.0.2, hackers bisa memanfaatkan fungsi the_meta untuk menambah script berbahaya di antara baris kode kunci meta dan value. Nantinya, script tak diinginkan tersebut akan dieksekusi bersama dengan script lain.
Jika hackers punya hak akses minimal sebagai kontributor, mereka bisa menyuntikkan script yang bisa merusak website korban. Hal inilah yang dinamakan dengan Stored Cross-Site Scripting atau XSS.
Baca juga: Apakah Website WordPress Mudah Kena Hack? Ini Faktanya..
3. Stored Cross-Site Scripting via Notifikasi Error Plugin
Tingkat Kerentanan: 4.7 (Menengah)
Celah kerentanan WordPress yang terakhir ini masih berhubungan dengan XSS. Pada halaman Plugin, Anda bisa menonaktifkan atau menghapus plugin yang terinstall. Namun ada kalanya, WordPress menampilkan notifikasi error karena plugin tidak bisa dihapus.
Sayangnya, pesan error tersebut menyimpan celah kerentanan yang dapat dimanfaatkan oleh hackers. Syaratnya, di website tersebut sudah terdapat masalah keamanan lain yang berasal dari plugin pihak ketiga.
Namun ingat, plugin tidak bisa dinonaktifkan adalah masalah lain. Sementara, notifikasi error yang justru menyimpan isu kerentanan membuat hackers bisa menjalankan metode XSS untuk membahayakan website.
Mengerikan sekali ya dampak tiga celah kerentanan WordPress di atas?
Untung saja, solusi dari masalah ini sudah berhasil ditemukan. Simak detailnya di poin berikutnya!
Baca juga: Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall
Update WordPress Versi 6.0.2 Jadi Solusi Mutlak
Masih di tanggal yang sama, 30 Agustus 2022, tim developer WordPress bertindak cepat untuk menambal tiga isu kerentanan tersebut. Maka, WordPress 6.0.2 Security & Maintenance Release hadir.
Mengingat ini adalah update keamanan, tim WordPress mengimbau Anda untuk mengupdate versi WordPress dengan segera. Tujuannya jelas, agar website Anda tidak menjadi korban celah kerentanan yang lebih serius.
Untuk memperbarui versi WordPress, Anda cukup masuk ke dashboard WordPress. Kemudian, akses menu Updates pada sidebar sebelah kiri.
Di halaman Updates, akan muncul informasi versi terbaru WordPress. Silakan klik Update to version 6.0.2. Setelahnya, update WordPress akan berlangsung. Apabila berhasil, Anda bakal melihat tampilan berikut:
Bagaimana, mudah bukan cara update WordPress ke versi terbaru? Kini, website Anda jadi lebih aman dari berbagai masalah keamanan.
Ingin WordPress Lebih Aman? Simak Info Berikut!
Mengupdate WordPress sebenarnya pekerjaan mudah. Namun, bagi sebagian orang masih dianggap agak merepotkan. Alasannya, Anda harus memperbarui WordPress secara manual, tiap kali versi terbaru WordPress dirilis.
Untungnya, Niagahoster punya solusi lebih baik dan cepat. Caranya dengan memanfaatkan fitur Auto Update WordPress. Fitur ini kami sajikan khusus untuk Anda pelanggan Niagahoster.
Cara mengaktifkannya sangat mudah. Anda cukup mengakses Member Area Niagahoster. Lalu, klik WordPress Management > Website di sidebar sebelah kiri. Setelah itu, klik tab WP Management > Auto Update. Di pop up yang muncul, lakukan konfigurasi seperti berikut:
Oh ya, selain untuk mengupdate versi WordPress, fitur ini juga bisa dimanfaatkan untuk update plugin dan tema secara otomatis, loh. Jadi, website Anda akan lebih aman karena semua komponennya selalu dalam keadaan baru.
Ingin WordPress Anda lebih aman? Silakan beralih ke layanan Niagahoster, WordPress Hosting Niagahoster. Layanan hosting yang dirancang khusus untuk website WordPress ini dibekali berbagai fitur keamanan komplit.
Selain Auto Update WordPress, ada juga Force HTTPS untuk mengenkripsi lalu lintas data di website tanpa plugin tambahan dan Realtime Vulnerable Patching guna melindungi website dari berbagai celah keamanan secara realtime!
Jadi tunggu apa lagi, segera gunakan WordPress Hosting Niagahoster sekarang!