WordPress & News

Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya!

Pengumuman sangat penting bagi Anda pengguna plugin Elementor. Belum lama ini, terkuak adanya isu kerentanan di plugin yang berfungsi untuk mendesain website tersebut. Akibatnya, pengunjung tidak berwenang bisa saja mengambil alih website!

Celah kerentanan yang menghantui Elementor ini sangatlah berbahaya. Apalagi, Elementor termasuk salah satu plugin terpopuler sejagat WordPress, dan diinstall di lebih dari 5 juta website!

Lantas, seperti apa detail kejadian sebenarnya? Bagaimana cara melindungi website Anda dari masalah keamanan Elementor? Ini dia informasi selengkapnya!

Plugin Elementor Diserang Isu Kerentanan RCE

Pada tanggal 29 Maret 2022 lalu, layanan keamanan Wordfence melaporkan adanya celah kerentanan di Elementor, sebuah plugin WordPress populer untuk mendesain tampilan website dengan cara drag & drop.

Menurut tim Wordfence, isu ini menyerang versi Elementor yang terbilang baru. Yaitu, versi 3.6.0 yang rilis 22 Maret 2022, hingga 3.6.2 yang diluncurkan pada 4 April 2022 lalu. 

Celah kerentanan Elementor ini bahkan dilabeli dengan skor 9.9, yang artinya sangat berbahaya. Alasannya, celah ini memungkinkan pengguna dengan role minimal Subscriber melancarkan serangan jenis Remote Code Execution (RCE). RCE sendiri adalah salah satu isu kerentanan paling mengerikan saat ini.

Dengan RCE, penyerang dapat mengeksekusi kode berbahaya ke website dari jarak jauh. Jika berhasil, mereka bisa menanamkan malware, mengambil alih website, bahkan mengakses data sensitif di server.

Lantas, apa sebenarnya penyebab celah kerentanan plugin Elementor? Jawabannya ada di poin berikutnya!

Baca juga: Gawat! Tema Premium Jupiter Diserang Banyak Isu Keamanan

Penyebab Masalah: Kelemahan di Modul Onboarding

Penyebab utama isu keamanan Elementor adalah implementasi modul Onboarding yang tidak aman. Padahal sejatinya, modul yang baru dikenalkan di Elementor 3.6.0 ini dibuat untuk memudahkan pengguna melakukan setting awal plugin.

Namun sayangnya, modul Onboarding tidak memberlakukan pemeriksaan kapabilitas sama sekali. Padahal, pemeriksaan ini sangat diperlukan untuk mendeteksi hak akses seorang pengguna.

Lebih parahnya, modul ini justru menambahkan fungsi admin_init di salah satu perintah AJAX. Akibatnya fatal, Ajax::NONCE_KEY yang merupakan salah satu kunci keamanan dapat dieksploitasi dengan mudah.

Jika sudah mendapatkan NONCE_KEY, penyerang dapat menyusup ke website lewat berbagai cara. Namun yang paling berbahaya dengan memanfaatkan fungsi bernama upload_and_install pro.

Fungsi ini memungkinkan penyerang menginstall file plugin Elementor Pro palsu berekstensi ZIP. Nah, proses instalasi ini sekaligus menjalankan kode berbahaya yang ditanamkan.

Selanjutnya bisa ditebak, website korban akan jatuh ke tangan penyerang. Bahkan, semua data yang tersimpan di server, termasuk data sensitif seperti password atau detail kartu kredit, dapat diakses pihak tak bertanggung jawab dengan mudah.

Untungnya, pihak Elementor kini sudah berhasil mengatasi isu kerentanan ini. Seperti apa detailnya? Mari menuju poin selanjutnya!

Baca juga: Celah Kerentanan Plugin WP Statistics Ancam 600 Ribu Website!

Solusi Mutlak: Update Elementor Versi Terbaru

Berselang dua minggu sejak masalah ini merebak, tim pengembang Elementor merilis versi terbarunya, Elementor 3.6.3 yang fokus menambal isu kerentanan. Bahkan saat ini, sudah tersedia Elementor 3.6.4 dengan proteksi yang ditingkatkan.

Itulah mengapa, Anda pengguna plugin Elementor diimbau untuk update plugin ini sekarang juga. Hal ini merupakan langkah pencegahan, agar website Anda tidak jatuh ke tangan yang salah.

Untungnya cara mengupdate plugin sangatlah mudah. Anda cukup login ke dashboard WordPress, lalu klik menu Updates di sidebar.

Di sini, Anda akan melihat versi terbaru dari plugin Elementor. Tak usah membuang waktu, langsung saja klik tanda checklist dan pilih Update Plugins.

Update plugin akan berlangsung, Anda tinggal menunggu prosesnya. Jika berhasil, Anda akan melihat tampilan berikut:

Mudah bukan cara update plugin Elementor? Pun demikian, cara ini sebenarnya agak merepotkan. Sebab, Anda harus melakukan pengecekan berkala dan mengupdate secara manual.

Untungnya kami punya solusi praktisnya, nih. Yaitu, dengan mengaktifkan fitur Auto Update WordPress. Fitur ini kami sajikan secara khusus untuk Anda pelanggan setia Niagahoster.

Cara mengaktifkannya tak kalah gampang. Anda tinggal berkunjung ke Member Area Niagahoster. Kemudian, klik menu Kelola Hosting di website yang menggunakan WordPress.

Jika sudah, pilih tab WP Management lalu pilih menu Auto Update. Di sini, lakukan konfigurasi seperti berikut:

Gampang banget kan? Selain plugin, fitur Auto Update ini juga bisa Anda pakai untuk mengupdate tema dan versi WordPress secara otomatis. Hasilnya, website Anda jadi lebih aman karena komponen WordPress selalu baru.

Baca juga: Masalah Keamanan Plugin UpdraftPlus Hantui 3 Juta Website!

Ingin Website Lebih Aman? Simak Informasi Berikut!

Masalah keamanan di internet bisa muncul dari mana saja. Bahkan dari plugin populer sekelas Elementor. Untung saja, Anda telah memahami detail celah kerentanan yang menyerang plugin Elementor tersebut.

Anda juga telah mempraktikkan solusi mengamankan website, seperti mengaktifkan fitur Auto Update. Namun selain itu, ada satu hal lagi yang wajib Anda perhatikan, yaitu faktor keamanan layanan hosting Anda.

Sebab serajin apapun Anda menjaga keamanan website. Misalnya rutin mengupdate WordPress atau menginstall plugin keamanan. Hal tersebut tidak akan berpengaruh banyak, jika layanan hosting yang Anda gunakan sendiri tidaklah aman.

Maka dari itu, Niagahoster bisa jadi pilihan. Tersedia paket WordPress Hosting yang dirancang khusus untuk website WordPress, serta dilengkapi fitur keamanan mutakhir.

Satu yang paling menonjol adalah Imunify360. Imunify360 bekerja secara realtime menghalau segala jenis serangan, seperti malware, sebelum sempat menjangkiti website Anda. Yang jelas, website Anda jadi semakin aman.

Tunggu apa lagi, yuk cobain layanan WordPress Hosting Niagahoster sekarang juga!

Sumber:

Critical Remote Code Execution Vulnerability in Elementor

Critical RCE Vulnerability in Elementor WordPress Plugin

Muhammad Ariffudin

Ariffud is a career-shifting SEO Content Writer from Web Programming educational background, specializes in writing technical topics.

Share
Published by
Muhammad Ariffudin

Recent Posts

Kelebihan dan Kekurangan Shared Hosting yang Perlu Anda Ketahui

Bagi Anda yang sedang memilih layanan hosting, shared hosting mungkin menjadi pilihan. Akan tetapi, sudah tahukah Anda apa saja kelebihan…

2 days ago

SpamAssassin: Solusi Jitu untuk Mencegah Email Spam

Sebelumnya, Anda sudah belajar mengelola email spam dengan SpamExperts. Nah, ternyata ada tool lain yang tak kalah mumpuni untuk menghalau…

2 days ago

10 Contoh Nama Domain Bisnis Inspiratif [Lengkap dengan Tips Memilihnya!]

Salah satu langkah awal untuk memulai usaha bisnis adalah dengan memilih nama domain website bisnis.  Namun, menentukan nama domain bisnis…

3 days ago

Cara Membuat Link Download Menggunakan Hosting Sendiri di Website

Bingung mencari cara membuat link download menggunakan hosting sendiri? Tenang, yuk simak cara membuat link download di website sekarang!

3 days ago

Cara Mengembalikan IP Address yang Diblokir Server Hosting

Ketika IP address Anda diblokir server hosting, Anda akan kehilangan akses login ke cPanel dan admin website. Ini tentu menjadi…

4 days ago

Apa Itu ZMOT? Lihat Contoh Penerapannya di Niagahoster!

Pernahkah Anda cek review di internet sebelum memutuskan membeli sesuatu? Kalau iya, itu berarti Anda pernah mengalami Zero Moment of…

4 days ago