Ariffud Muhammad Ariffud is a Technical Content Writer with an educational background in Informatics. He has extensive expertise in Linux and VPS, authoring over 200 articles on server management and web development. Follow him on LinkedIn.

Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya!

3 min read

22_5_15_FI_Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya

Pengumuman sangat penting bagi Anda pengguna plugin Elementor. Belum lama ini, terkuak adanya isu kerentanan di plugin yang berfungsi untuk mendesain website tersebut. Akibatnya, pengunjung tidak berwenang bisa saja mengambil alih website!

Celah kerentanan yang menghantui Elementor ini sangatlah berbahaya. Apalagi, Elementor termasuk salah satu plugin terpopuler sejagat WordPress, dan diinstall di lebih dari 5 juta website!

Lantas, seperti apa detail kejadian sebenarnya? Bagaimana cara melindungi website Anda dari masalah keamanan Elementor? Ini dia informasi selengkapnya!

Plugin Elementor Diserang Isu Kerentanan RCE

plugin elementor wordpress

Pada tanggal 29 Maret 2022 lalu, layanan keamanan Wordfence melaporkan adanya celah kerentanan di Elementor, sebuah plugin WordPress populer untuk mendesain tampilan website dengan cara drag & drop.

Menurut tim Wordfence, isu ini menyerang versi Elementor yang terbilang baru. Yaitu, versi 3.6.0 yang rilis 22 Maret 2022, hingga 3.6.2 yang diluncurkan pada 4 April 2022 lalu. 

Celah kerentanan Elementor ini bahkan dilabeli dengan skor 9.9, yang artinya sangat berbahaya. Alasannya, celah ini memungkinkan pengguna dengan role minimal Subscriber melancarkan serangan jenis Remote Code Execution (RCE). RCE sendiri adalah salah satu isu kerentanan paling mengerikan saat ini.

Dengan RCE, penyerang dapat mengeksekusi kode berbahaya ke website dari jarak jauh. Jika berhasil, mereka bisa menanamkan malware, mengambil alih website, bahkan mengakses data sensitif di server.

Lantas, apa sebenarnya penyebab celah kerentanan plugin Elementor? Jawabannya ada di poin berikutnya!

Baca juga: Gawat! Tema Premium Jupiter Diserang Banyak Isu Keamanan

Penyebab Masalah: Kelemahan di Modul Onboarding

Penyebab utama isu keamanan Elementor adalah implementasi modul Onboarding yang tidak aman. Padahal sejatinya, modul yang baru dikenalkan di Elementor 3.6.0 ini dibuat untuk memudahkan pengguna melakukan setting awal plugin.

modul onboarding elementor

Namun sayangnya, modul Onboarding tidak memberlakukan pemeriksaan kapabilitas sama sekali. Padahal, pemeriksaan ini sangat diperlukan untuk mendeteksi hak akses seorang pengguna.

Lebih parahnya, modul ini justru menambahkan fungsi admin_init di salah satu perintah AJAX. Akibatnya fatal, Ajax::NONCE_KEY yang merupakan salah satu kunci keamanan dapat dieksploitasi dengan mudah.

penyebab celah kerentanan elementor

Jika sudah mendapatkan NONCE_KEY, penyerang dapat menyusup ke website lewat berbagai cara. Namun yang paling berbahaya dengan memanfaatkan fungsi bernama upload_and_install pro.

Fungsi ini memungkinkan penyerang menginstall file plugin Elementor Pro palsu berekstensi ZIP. Nah, proses instalasi ini sekaligus menjalankan kode berbahaya yang ditanamkan.

Selanjutnya bisa ditebak, website korban akan jatuh ke tangan penyerang. Bahkan, semua data yang tersimpan di server, termasuk data sensitif seperti password atau detail kartu kredit, dapat diakses pihak tak bertanggung jawab dengan mudah.

Untungnya, pihak Elementor kini sudah berhasil mengatasi isu kerentanan ini. Seperti apa detailnya? Mari menuju poin selanjutnya!

Baca juga: Celah Kerentanan Plugin WP Statistics Ancam 600 Ribu Website!

Solusi Mutlak: Update Elementor Versi Terbaru

Berselang dua minggu sejak masalah ini merebak, tim pengembang Elementor merilis versi terbarunya, Elementor 3.6.3 yang fokus menambal isu kerentanan. Bahkan saat ini, sudah tersedia Elementor 3.6.4 dengan proteksi yang ditingkatkan.

Itulah mengapa, Anda pengguna plugin Elementor diimbau untuk update plugin ini sekarang juga. Hal ini merupakan langkah pencegahan, agar website Anda tidak jatuh ke tangan yang salah.

Untungnya cara mengupdate plugin sangatlah mudah. Anda cukup login ke dashboard WordPress, lalu klik menu Updates di sidebar.

tampilan dashboard wordpress

Di sini, Anda akan melihat versi terbaru dari plugin Elementor. Tak usah membuang waktu, langsung saja klik tanda checklist dan pilih Update Plugins.

update plugin elementor

Update plugin akan berlangsung, Anda tinggal menunggu prosesnya. Jika berhasil, Anda akan melihat tampilan berikut:

update elementor berhasil

Mudah bukan cara update plugin Elementor? Pun demikian, cara ini sebenarnya agak merepotkan. Sebab, Anda harus melakukan pengecekan berkala dan mengupdate secara manual.

Untungnya kami punya solusi praktisnya, nih. Yaitu, dengan mengaktifkan fitur Auto Update WordPress. Fitur ini kami sajikan secara khusus untuk Anda pelanggan setia Niagahoster.

Cara mengaktifkannya tak kalah gampang. Anda tinggal berkunjung ke Member Area Niagahoster. Kemudian, klik menu Kelola Hosting di website yang menggunakan WordPress.

member area niagahoster kelola hosting

Jika sudah, pilih tab WP Management lalu pilih menu Auto Update. Di sini, lakukan konfigurasi seperti berikut:

auto update wordpress niagahoster

Gampang banget kan? Selain plugin, fitur Auto Update ini juga bisa Anda pakai untuk mengupdate tema dan versi WordPress secara otomatis. Hasilnya, website Anda jadi lebih aman karena komponen WordPress selalu baru.

Baca juga: Masalah Keamanan Plugin UpdraftPlus Hantui 3 Juta Website!

Ingin Website Lebih Aman? Simak Informasi Berikut!

Masalah keamanan di internet bisa muncul dari mana saja. Bahkan dari plugin populer sekelas Elementor. Untung saja, Anda telah memahami detail celah kerentanan yang menyerang plugin Elementor tersebut.

Anda juga telah mempraktikkan solusi mengamankan website, seperti mengaktifkan fitur Auto Update. Namun selain itu, ada satu hal lagi yang wajib Anda perhatikan, yaitu faktor keamanan layanan hosting. Anda bisa cek dan pelajari juga bagaimana kami memberikan layanan hosting terbaik dengan infrastruktur terbaik.

Sebab serajin apapun Anda menjaga keamanan website. Misalnya rutin mengupdate WordPress atau menginstall plugin keamanan. Hal tersebut tidak akan berpengaruh banyak, jika layanan hosting yang Anda gunakan sendiri tidaklah aman.

Maka dari itu, Niagahoster bisa jadi pilihan. Tersedia paket WordPress yang dirancang khusus untuk website dengan WordPress, serta dilengkapi fitur keamanan mutakhir.

Satu yang paling menonjol adalah Imunify360. Imunify360 bekerja secara realtime menghalau segala jenis serangan, seperti malware, sebelum sempat menjangkiti website Anda. Yang jelas, website Anda jadi semakin aman.

Tunggu apa lagi, yuk cobain layanan WordPress Hosting Niagahoster sekarang juga!

Sumber:

Critical Remote Code Execution Vulnerability in Elementor

Critical RCE Vulnerability in Elementor WordPress Plugin

Ariffud Muhammad Ariffud is a Technical Content Writer with an educational background in Informatics. He has extensive expertise in Linux and VPS, authoring over 200 articles on server management and web development. Follow him on LinkedIn.

Leave a Reply

Your email address will not be published. Required fields are marked *