Muhammad Ariffudin Ariffud is a career-shifting SEO Content Writer from Web Programming educational background, specializes in writing technical topics.

Gawat! Tema Premium Jupiter Diserang Banyak Isu Keamanan

4 min read

22_5_28_Gawat! Tema Premium Jupiter Diserang Banyak Isu Keamanan

Anda pengguna tema WordPress premium Jupiter? Jika ya, waspadalah! Baru-baru ini ditemukan celah kerentanan di dua versi tema berbayar tersebut, yaitu Jupiter dan JupiterX.

Tak hanya satu, tapi terdapat setidaknya LIMA masalah keamanan di tema Jupiter dan JupiterX. Dampaknya pun beragam, mulai dari terganggunya fitur-fitur website, pembobolan akses admin, sampai potensi serangan DoS!

Seperti apa detail kejadian sebenarnya? Bagaimana cara melindungi website dari celah kerentanan tema Jupiter? Langsung saja, ini dia berita selengkapnya!

Celah Kerentanan Tema Jupiter, JupiterX, dan Plugin JupiterX Core

tema premium jupiter

Pada 5 April 2022 lalu, penyedia layanan keamanan Wordfence mengidentifikasi adanya celah kerentanan yang menjangkiti tema premium Jupiter. Masalah ini menyerang beberapa versi Jupiter, seperti:

  • Tema Jupiter versi 6.10.1 ke bawah
  • Tema JupiterX versi 2.0.7 ke bawah
  • Plugin JupiterX Core versi 2.0.8 ke bawah

Sedikit gambaran, Jupiter dan JupiterX adalah tema berbayar buatan perusahaan Artbees. Tema yang satu ini tidak tersedia di repository WordPress, melainkan di website penyedia tema dan template berbayar, Envato.

Untuk menikmati tema Jupiter, Anda diharuskan merogoh kocek sebesar USD59, atau setara Rp865 ribuan. Sementara itu, JupiterX Core adalah plugin bawaan yang ikut terpasang ketika Anda menjalankan tema JupiterX.

fitur tema jupiter

Kembali ke isu kerentanan, kejadian yang menimpa Jupiter ini sangat disayangkan. Sebab sebagai tema berbayar, faktor keamanan seharusnya adalah prioritas utama yang diperhatikan perusahaan pembuat tema.

Apalagi berdasarkan laporan Wordfence, ditemukan lima celah keamanan di berbagai versi tema Jupiter. Nah, masing-masing isu ini memiliki tingkat kerentanan yang berbeda-beda.

Namun yang jelas, semuanya berdampak negatif bagi website apabila terus dibiarkan. Lantas, seperti apa detail masalah keamanan tema premium Jupiter ini? Jawabannya ada di poin selanjutnya!

Baca juga: Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya!

Daftar Masalah Keamanan Tema Premium Jupiter

Berikut daftar celah kerentanan yang menimpa tema Jupiter, JupiterX, dan plugin JupiterX Core. Semuanya lengkap dengan versi yang diserang, tingkat kerentanan, serta dampaknya bagi website.

1. Authenticated Privilege Escalation & Post Deletion

Software terdampak: Tema Jupiter <= 6.10.1 dan Plugin JupiterX Core <= 2.0.7
Tingkat kerentanan: 9.9 (Kritis)

Authenticated Privilege Escalation & Post Deletion memungkinkan penyerang dengan role sebagai subscriber dan customer, mendapat akses menuju panel admin. Hasilnya, mereka bisa mengambil alih website korban sepenuhnya.

Makanya, isu kerentanan yang satu ini dianggap yang paling berbahaya dibandingkan celah lainnya. Cara kerjanya dengan memanfaatkan sebuah fungsi uninstallTemplate yang bisa ditemukan di dua software di atas.

Fungsi ini sebenarnya dipakai untuk mereset tampilan website setelah tema Jupiter di-uninstall. Namun ketika dijalankan, uninstallTemplate ini akan secara otomatis memanggil fungsi resetWordpressDatabase.

Dengan kata lain, menghapus tema juga serta merta menghapus database pengguna WordPress. Hal ini yang dimanfaatkan penyerang untuk mendapat hak akses admin, karena mereka dianggap sebagai pemilik website oleh sistem.

Baca Juga: Statistik Keamanan Website Tahun 2022

2. Authenticated Path Traversal & Local File Inclusion

Software terdampak: Tema JupiterX <= 2.0.6 dan Tema Jupiter <= 6.10.1
Tingkat kerentanan: 8.1 (Tinggi)

Authenticated Path Traversal & Local File Inclusion mengizinkan penyerang dengan role subscriber mengakses informasi berharga, seperti kunci Nonce. Dengan kunci ini, mereka bisa menanamkan file berbahaya yang bisa merusak website.

Caranya memanfaatkan dua action AJAX. Yakni, jupiterx_cp_load_pane_action di tema JupiterX dan mka_cp_load_pane_action di tema Jupiter. Di sini, mereka bisa melacak keberadaan kunci Nonce lewat fungsi load_control_panel_pane.

Jika sudah mendapat kunci Nonce, penyerang dapat menambahkan file berbahaya dari berekstensi PHP directory lokal ke website korban via parameter slug. Kemudian, mengeksekusi file tersebut dengan mudah di directory WordPress.

Baca juga: Ngeri! Masalah Keamanan Plugin Ninja Forms Ancam Jutaan Website

3. Authenticated Arbitrary Plugin Deactivation & Settings Modification

Software terdampak: Tema JupiterX <= 2.0.6 dan Plugin JupiterX Core <= 2.0.
Tingkat kerentanan: 6.5 (Sedang)

Sesuai namanya, masalah kerentanan ini memungkinkan penyerang dengan role sebagai subscriber menonaktifkan plugin dan memodifikasi settingan di website. Tujuannya untuk melemahkan dan merusak website korban.

Cara kerjanya simpel. Penyerang yang login sebagai subscriber bisa mengakses semua fungsi yang ada di directory lib/api/api/ajax.php. Sekaligus, mendapatkan hak untuk mengeksekusi action bernama jupiterx_api_ajax_.

Action inilah yang dimanfaatkan penyerang untuk menonaktifkan semua plugin yang terinstall di website korban. Tak hanya itu, mereka juga bisa menambahkan kunci API berbahaya ke dalam tema Jupiter lewat action ini.

Baca Juga: Apakah Website WordPress Mudah Kena Hack? Ini Faktanya..

4. Authenticated Arbitrary Plugin Deletion

Software terdampak: Tema Jupiter <= 6.10.1
Tingkat kerentanan: 6.5 (Sedang)

Isu keamanan ini mirip dengan masalah di poin sebelumnya. Bedanya dengan Authenticated Arbitrary Plugin Deletion, penyerang tak hanya bisa menonaktifkan plugin tapi juga menghapusnya dari website korban.

Caranya dengan mengakses file framework/admin/control-panel/logic/plugin -management.php. Di sini, penyerang bisa mengeksekusi action AJAX bernama abb_remove_plugin.

Dengan action di atas, mereka bisa menghapus semua plugin yang terinstall di website korban seenak hati. Bisa Anda bayangkan sendiri kan, bagaimana lumpuhnya website jika semua pluginnya dihapus tanpa sisa?

Baca juga: [Lagi] WordPress Diserang Isu Keamanan, Jutaan Website Terancam!

5. Information Disclosure, Modification, & Denial of Service

Software terdampak: Plugin JupiterX Core <= 2.0.6
Tingkat kerentanan: 6.3 (Sedang)

Di antara semua daftar celah kerentanan tema Jupiter, Information Disclosure, Modification, & Denial of Service adalah yang tingkat kerentanannya paling rendah. Pun demikian, Anda tetap harus mewaspadainya.

Sebab, masalah keamanan ini memungkinkan penyerang mengintip konfigurasi website, memodifikasi konfigurasi tersebut, serta melakukan serangan Denial of Service (DoS) yang bisa mengganggu kinerja server website.

Caranya dengan memanfaatkan action AJAX jupiterx_conditional_manager. Nah, action ini dapat memanggil semua fungsi di file includes/condition/class-condition -manager.php.

Kemudian, penyerang tinggal memilih hendak menjalankan fungsi yang mana. Hal ini bisa dilakukan lewat parameter bernama sub_action.

Wah, banyak sekali ya masalah keamanan yang hinggap di tema dan plugin Jupiter ini. Namun untungnya, pihak Artbees telah berhasil menambal semua celah kerentanan Jupiter.

Seperti apa solusi yang mereka tawarkan? Langsung saja ke poin berikutnya!

Solusi Mutlak: Update Tema Premium Jupiter ke Versi Terbaru

Sebulan berselang, tepatnya 10 Mei 2022, pihak Artbees berhasil mengatasi semua masalah keamanan yang hinggap di tema Jupiter. Caranya dengan merilis update terbaru Jupiter. Nah, rincian versinya sebagai berikut:

  • Tema Jupiter versi 6.10.2
  • Tema JupiterX versi 2.0.7
  • Plugin JupiterX Core versi 2.0.8

Makanya, Anda pengguna tema dan plugin Jupiter diimbau untuk segera melakukan update ke versi di atas. Tujuannya sebagai langkah preventif, agar website Anda tidak menjadi korban dari celah kerentanan Jupiter.

Nah, karena tema Jupiter berada di luar repository WordPress, maka cara updatenya berbeda dari tema WordPress kebanyakan. Meski begitu, langkah-langkahnya masih cukup mudah kok.

Pertama, Anda tinggal masuk ke Dashboard WordPress seperti biasa. Kemudian, klik menu Jupiter yang terletak pada sidebar.

dashboard wordpress sidebar jupiter

Di halaman tema Jupiter, klik tab Updates. Di sini, Anda akan menemukan versi terbaru tema telah tersedia.

halaman jupiter tab update

Langsung saja klik tombol Update di sebelah kanan.

update versi tema jupiter

Proses update tema akan berlangsung. Jika berhasil, Anda akan melihat tampilan berikut:

update tema jupiter berhasil

Bagaimana, mudah sekali bukan cara mengupdate tema Jupiter? Pun demikian, cara ini sebenarnya agak merepotkan. Sebab, Anda harus mengecek lalu mengupdate tema secara manual setiap kali versi terbaru muncul.

Untungnya, kami punya solusi super praktis nih. Caranya dengan mengaktifkan fitur Auto Update WordPress. Fitur ini tersedia secara khusus bagi Anda pelanggan setia Niagahoster.

Auto Update WordPress bisa Anda manfaatkan untuk mengupdate tema, plugin, dan versi WordPress secara otomatis. Baik yang diinstall lewat repository WordPress maupun yang dipasang secara manual.

Cara mengaktifkannya gampang banget. Cukup kunjungi Member Area Niagahoster. Kemudian, klik Kelola Hosting di website yang menggunakan WordPress.

member area niagahoster kelola hosting

Jika sudah, pilih tab WordPress Management dan klik opsi Auto Update. Di sini, lakukan konfigurasi seperti berikut:

auto update wordpress niagahoster

Bagaimana, jauh lebih praktis kan dibanding update WordPress manual? Kini, website Anda semakin aman karena komponen WordPress-nya selalu baru.

Baca juga: Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall

Ingin Lebih Aman? Manfaatkan Fitur Keamanan Hosting

Di artikel kali ini, Anda telah memahami celah kerentanan yang menimpa tema Jupiter beserta dampaknya bagi website. Untungnya, Anda juga sudah mempraktikkan sendiri solusi untuk mengatasi masalah tersebut.

Pun demikian, mengupdate tema ke versi terbaru hanyalah sebagian kecil dari cara mengamankan website. Ada hal lain yang tak kalah penting, yaitu memperhatikan faktor keamanan hosting yang Anda gunakan.

Nah, Niagahoster lewat paket WordPress Hosting bisa menjadi pilihan jika Anda butuh hosting dengan fitur keamanan lengkap. Selain Auto Update WordPress yang sudah disebutkan, ada juga Realtime Vulnerable Patching.

Fitur ini akan otomatis melindungi website Anda dari serangan berbahaya, seperti malware, spam, dan DDoS. Lebih kerennya lagi, Realtime Vulnerable Patching bakal langsung aktif begitu Anda berlangganan paket WordPress Hosting.

Jadi tunggu apa lagi, yuk nikmati website lebih aman dengan WordPress Hosting Niagahoster!

Sumber:
Critical Privilege Escalation Vulnerability in Jupiter and JupiterX Premium Themes

Muhammad Ariffudin Ariffud is a career-shifting SEO Content Writer from Web Programming educational background, specializes in writing technical topics.

Leave a Reply

Your email address will not be published.