Ariffud Muhammad Ariffud is a Technical Content Writer with an educational background in Informatics. He has extensive expertise in Linux and VPS, authoring over 200 articles on server management and web development. Follow him on LinkedIn.

Ngeri! Masalah Plugin All In One SEO Ancam 3 Juta Website

2 min read

Ngeri! Masalah Plugin All In One SEO Ancam 3 Juta Website

Tiga juta lebih website WordPress dalam bahaya! Hal ini disebabkan oleh celah kerentanan di plugin All In One SEO Pack (AIOSEO).

Jika menggunakan plugin tersebut, Anda wajib menyimak artikel ini hingga selesai. Karena di sini, kami akan menjelaskan celah keamanan yang baru-baru ini ditemukan pada plugin All In One SEO Pack sekaligus cara mengatasinya.

Tanpa basa-basi lagi, ini dia informasi selengkapnya!

Celah Kerentanan Plugin All In One SEO Pack

Pada tanggal 26 Januari 2023 lalu, penyedia layanan keamanan Wordfence memublikasikan masalah keamanan pada plugin All In One SEO Pack. Tak cuma satu, tapi dua celah kerentanan menghantui plugin tersebut!

Menurut Wordfence, masing-masing kerentanan diberi skor 6.4 dan 4.4 (medium). Lebih lanjut, kedua kerentanan di atas menyerang plugin All In One SEO Pack versi 4.2.9 ke bawah.

plugin all in one seo pack

Sekedar info, All In One SEO Pack adalah salah satu plugin SEO WordPress terbaik untuk membantu Anda mengoptimasi SEO website, agar bisa mendapatkan lebih banyak trafik.

Di samping itu, cara setting All In One SEO Pack juga terbilang mudah. Maka tak heran, plugin ini telah diinstall di lebih dari 3 juta website WordPress, dan mendapatkan rating 4.7.

Namun sayangnya, ini bukan pertama kalinya plugin All In One SEO Pack diganggu masalah kerentanan. Tahun lalu, celah keamanan All In One SEO hinggap di beberapa versi antara 4.00 dan 4.1.5.2.

Kembali lagi, dua isu kerentanan All In One SEO Pack kali ini berjenis Stored Cross-Site Scripting (XSS). Stored XSS terbilang cukup meresahkan, karena bisa menyerang website dengan script berbahaya.

Anda ingin tahu detailnya? Mari langsung scroll ke bawah!

Stored Cross-Site Scripting di All In One SEO Pack

Berikut adalah penjelasan lengkap dua kerentanan Stored XSS yang mengancam plugin All In One SEO Pack:

1. Authenticated Contributor Level Stored XSS

Versi terdampak: 4.2.9 dan sebelumnya
Skor kerentanan: 6.4 (medium)

Kerentanan Stored XSS yang pertama ini memungkinkan pengguna yang memiliki tingkatan akses minimal Contributor untuk menyuntikkan kode program yang mengancam website. Kok bisa?

Pada dasarnya, All In One SEO Pack menyediakan beberapa form yang perlu diisi ketika Anda mengoptimasi halaman atau postingan. Misalnya seperti SEO Title, Meta Description, dan beberapa lainnya.

Namun, form-form di atas tidak memvalidasi data yang diinput secara ketat. Akibatnya, pengguna yang bisa mengakses editor WordPress, seperti Contributor, bisa menginjeksi kode JavaScript ke dalam beberapa form tersebut.

Nantinya, script berbahaya akan dieksekusi di browser ketika Administrator website mengedit postingan milik Contributor. Hal ini dibuktikan dengan hasil uji coba sederhana dari Wordfence berikut:

hasil percobaan contributor stored xss di plugin all in one seo pack
Uji coba menambahkan script Stored XSS pada plugin All In One SEO Pack ketika menginputkan Post Title

2. Authenticated Administrator Level Stored XSS

Versi terdampak: 4.2.9 dan sebelumnya
Skor kerentanan: 4.4 (medium)

Sama seperti poin pertama, masalah Stored XSS ini juga memungkinkan pengguna tidak bertanggung jawab menambahkan kode berisi malware ke website. Bedanya, kerentanan ini membutuhkan hak akses setidaknya Administrator.

Di sini, Administrator website bisa memodifikasi pengaturan pada menu Search Appearance dan Social Networks, sekaligus menginputkan script berbahaya ke dalamnya.

Apabila pengelola situs mengedit atau melihat daftar postingan, kode tadi akan otomatis tereksekusi. Nah, berikut hasil percobaan Wordfence terhadap Administrator level Stored XSS:

hasil percobaan administrator stored xss di plugin all in one seo pack
Uji coba menambahkan script Stored XSS pada menu Search Appearance di plugin All In One SEO Pack

Wah, mengerikan sekali ya dua isu kerentanan XSS di plugin All In One SEO Pack ini? Untung saja, masalah ini telah berhasil diatasi. Bagaimana caranya?

Jawabannya ada di poin selanjutnya!

Update Plugin All In One SEO Pack ke Versi Terbaru!

Selang beberapa hari, tepatnya tanggal 6 Februari 2023, pihak developer memperbarui plugin All In One SEO Pack ke versi 4.3.0. Update kali ini difokuskan untuk mengatasi masalah keamanan yang ada di versi-versi sebelumnya.

Bahkan, saat ini sudah tersedia All In One SEO Pack versi 4.3.2 dengan keamanan yang lebih terjamin. Jika menginstall plugin tersebut, kami sangat menyarankan Anda untuk update ke versi terbaru agar website WordPress Anda selalu terlindungi.

Anda bisa memperbarui plugin secara manual melalui menu Updates yang tersedia di dashboard WordPress.

update plugin all in one seo pack ke versi terbaru di dashboard wordpress

Jika Anda malas harus update plugin secara manual, masih ada opsi otomatis, kok. Caranya dengan mengaktifkan Auto Update di website WordPress Anda. Fitur ini bisa Anda nikmati jika berlangganan hosting Niagahoster.

Cara mengaktifkannya juga sangat mudah! Anda cukup login ke New Member Area, lalu klik Kelola Layanan pada layanan hosting yang menggunakan WordPress.

tampilan new member area niagahoster untuk kelola layanan hosting dengan wordpress

Di halaman berikutnya, klik WordPress Management. Setelah itu, temukan bagian Versi WordPress lalu geser slider Aktifkan auto-update? ke arah kanan. Praktis banget, kan?

fitur auto update wordpress niagahoster

Menariknya lagi, fitur Auto Update WordPress Niagahoster bisa Anda manfaatkan untuk mengupdate plugin, tema, bahkan versi WordPress sekaligus, loh!

Simak Info Berikut agar Website WordPress Lebih Aman!

Plugin All In One SEO Pack lagi-lagi dihantui masalah keamanan. Untungnya dengan mengupdate plugin tersebut ke versi mutakhir, isu kerentanan yang ada sudah berhasil ditangani.

Pun demikian, rutin memperbarui plugin hanyalah satu dari sekian banyak cara menjaga keamanan website WordPress. Masih ada beberapa hal yang perlu Anda lakukan, seperti mengganti password secara berkala, atau menginstall plugin keamanan.

Ingin tahu lebih lengkapnya? Tenang, semua tipsnya bisa Anda dapatkan dengan membaca ebook 25 Langkah Ampuh Mengamankan Website WordPress. Yuk download sekarang juga, gratis!

ebook langkah ampuh mengamankan website wordpress

Ariffud Muhammad Ariffud is a Technical Content Writer with an educational background in Informatics. He has extensive expertise in Linux and VPS, authoring over 200 articles on server management and web development. Follow him on LinkedIn.

Leave a Reply

Your email address will not be published. Required fields are marked *