Muhammad Ariffudin Ariffud is a career-shifting SEO Content Writer from Web Programming educational background, specializes in writing technical topics.

Ngeri! Masalah Keamanan Plugin Ninja Forms Ancam Jutaan Website

3 min read

Cara Membuat formulir kontak wordpress

Anda pengguna plugin Ninja Forms untuk membuat form di website? Jika ya, waspadalah! Baru-baru ini, ditemukan masalah keamanan di plugin tersebut. Akibatnya, hacker bisa menjalankan kode yang bisa mengacak-acak website korban.

Yang lebih mengerikan lagi, Ninja Forms termasuk salah satu plugin terpopuler sejagat WordPress. Buktinya, ia telah diinstall di lebih dari satu juta website!

Lantas, seperti apa detail isu kerentanan Ninja Forms ini? Bagaimana cara melindungi website dari masalah plugin tersebut? Langsung saja ini dia informasi selengkapnya!

Plugin Ninja Forms Diserang Isu Kerentanan Code Injection

plugin ninja forms

Pada tanggal 16 Juni 2022 lalu, penyedia layanan keamanan Wordfence mengumumkan adanya celah kerentanan di plugin Ninja Forms. Ninja Forms adalah plugin WordPress populer untuk membuat berbagai jenis form dengan drag & drop secara mudah.

Menurut tim analis Wordfence, masalah keamanan ini menyerang beberapa versi Ninja Forms, seperti:

  • Versi 3.6 hingga 3.6.10
  • Versi 3.5 hingga 3.5.8.3
  • Versi 3.4 hingga 3.4.34.1
  • Versi 3.3 hingga 3.3.21.3
  • Versi 3.2 hingga 3.2.27
  • Versi 3.1 hingga 3.1.9
  • Versi 3.0 hingga 3.0.34.1

Bahkan dari skala 0-10, pihak Wordfence menilai isu kerentanan Ninja Forms ini dengan skor 9.8, yang artinya sangat berbahaya. Alasannya, celah keamanan ini memungkinkan pihak tak bertanggung jawab melancarkan serangan berjenis Code Injection.

code injection
Code Injection adalah serangan yang memanfaatkan kelemahan script kode website. Ia membawahi jenis serangan lain yang lebih spesifik.

Perlu Anda ketahui, Code Injection adalah salah satu jenis kerentanan paling mengerikan saat ini. Dengan Code Injection ini, hacker bisa menjalankan beberapa kode berbahaya secara berantai untuk merusak website korbannya.

Tak hanya itu, Code Injection juga merupakan dalang dibalik serangan yang lebih spesifik lainnya. Sebut saja SQL Injection, Cross Site Scripting (XSS), Server Side Template Injection, dan Object Injection.

Kembali ke Ninja Forms, dari manakah asal masalah keamanan plugin tersebut? Jawabannya ada di poin berikutnya!

Baca juga: Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall

Penyebab Masalah: Kecacatan Fitur Merge Tags

Ternyata, penyebab celah kerentanan plugin Ninja Forms adalah kecacatan fitur Merge Tags. Sejatinya, Merge Tags memungkinkan sebuah form untuk mengambil data dari form lain. Sehingga, pengunjung tidak perlu menginput data berulang-ulang.

fitur merge tags ninja forms

Namun sayangnya, fitur yang satu ini ternyata menjadi titik lemah Ninja Forms. Sebab, Merge Tags dapat memanggil berbagai Class di plugin tersebut. Hal inilah yang malah dimanfaatkan hacker untuk mengobrak-abrik website WordPress korban.

Cara kerjanya seperti ini. Di dalam fitur Merge Tags terdapat fungsi bernama is_callable(). Fungsi tersebut berguna untuk melakukan pengecekan terhadap setiap Tag berisi Class dan Method yang dipanggil.

Yang jadi masalah, ada sebuah Class bernama NF_MergeTags_Other yang akan selalu dipanggil saat proses pemeriksaan. Class inilah yang bisa dimanfaatkan hacker untuk menanamkan kode berbahaya.

Jika sudah begitu, mereka bisa melancarkan serangan berantai untuk menjangkiti berbagai Class lain. Salah satunya adalah NF_Admin_Processes_ImportForm di mana hacker dapat mengambil alih website korban lewat metode Remote Code Injection (RCE).

Parah sekali ya? Namun untungnya, pihak Ninja Forms bertindak cepat menambal masalah kerentanan tersebut. Seperti apa detailnya? Yuk menuju poin selanjutnya!

Baca juga: Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya!

Solusi Mutlak: Update Plugin Ninja Forms ke Versi Terbaru

Selang beberapa jam setelah isu keamanan ini merebak, Saturday Drive selaku perusahaan di balik Ninja Forms langsung memperbaiki masalah tersebut. Caranya dengan merilis beberapa versi baru dengan rincian sebagai berikut:

  • Ninja Forms 3.0.34.2
  • Ninja Forms 3.1.10
  • Ninja Forms 3.2.28
  • Ninja Forms 3.3.21.4
  • Ninja Forms 3.4.34.2
  • Ninja Forms 3.5.8.4
  • Ninja Forms 3.6.11

Baca Juga: Apakah Website WordPress Mudah Kena Hack? Ini Faktanya..

Untungnya lagi, pihak WordPress juga langsung memberlakukan update paksa untuk semua website yang menggunakan Ninja Forms. Sebab mereka menganggap hal ini sebagai kejadian luar biasa yang bisa mengancam penggunanya.

Namun tetap saja, Anda yang menginstall Ninja Forms diimbau untuk tetap memeriksa status update plugin tersebut di website. Hal ini merupakan tindakan pencegahan, siapa tahu website Anda masih memakai Ninja Forms versi lama.

Lantas, bagaimana cara update plugin Ninja Forms? Gampang, Anda cukup masuk ke Dashboard WordPress. Jika sudah, klik menu Updates yang terletak pada Sidebar.

dashboard wordpress update

Setelahnya Anda akan dibawa ke halaman Updates. Di sini, akan muncul versi terbaru plugin Ninja Forms. Kemudian, langsung saja klik tanda checklist dan tekan tombol Update Plugins.

versi terbaru plugin ninja forms

Silakan tunggu, proses update plugin akan berjalan. Jika berhasil, Anda akan melihat tampilan di bawah. Mudah bukan cara memperbarui plugin Ninja Forms?

update plugin ninja forms berhasil

Meski terkesan mudah, mengupdate plugin dengan metode ini sebenarnya agak merepotkan. Sebab, Anda harus mengecek halaman Updates secara berkala, lalu melakukan update secara manual.

Untungnya, sekarang ada solusi praktisnya nih. Yaitu, dengan mengaktifkan fitur Auto Update WordPress. Fitur ini kami sajikan khusus untuk Anda pelanggan setia Niagahoster. 

Auto Update WordPress bisa Anda manfaatkan untuk mengupdate plugin, tema, dan core WordPress secara otomatis. Cara mengaktifkannya juga gampang banget.

Pertama, Anda tinggal login ke Member Area Niagahoster. Jika sudah, scroll ke bawah hingga menemukan bagian Layanan Anda. Di sini, klik tombol Kelola Hosting di website yang menggunakan WordPress.

member area niagahoster kelola hosting

Kemudian di halaman Pengaturan Hosting, pilih tab WordPress Management. Lalu, pilih menu Auto Update dan lakukan konfigurasi seperti berikut:

fitur auto update wordpress

Bagaimana, jauh lebih praktis kan dibanding update manual? Kini, website WordPress Anda jadi lebih aman karena selalu menggunakan komponen terbaru.

Baca juga: Gawat! Tema Premium Jupiter Diserang Banyak Isu Keamanan

Ingin Website Anda Lebih Aman? Simak Info Penting Berikut!

Di artikel kali ini, Anda telah memahami detail celah kerentanan plugin Ninja Forms beserta akibatnya bagi website. Untungnya, Anda juga sudah mempraktikkan sendiri cara mengatasi masalah tersebut.

Meski begitu, rutin mengupdate plugin ke versi baru hanyalah sebagian kecil cara untuk mengamankan website. Masih ada hal lain yang lebih penting, yaitu memperhatikan faktor keamanan server hosting yang Anda gunakan.

Jika Anda butuh hosting dengan fitur keamanan komplit, Niagahoster lewat paket WordPress Hosting bisa jadi pilihan. Selain Auto Update WordPress yang sudah kami sebutkan, ada juga fitur Realtime Vulnerable Patching yang tak kalah canggih.

Fitur ini berfungsi untuk menghalangi semua serangan berbahaya, seperti malware, spam, dan DDoS agar tidak sampai menjangkiti website. Yang lebih mantap, Realtime Vulnerable Patching bakal otomatis aktif begitu Anda berlangganan paket WordPress Hosting!

Jadi tunggu apa lagi, yuk nikmati website lebih aman dengan WordPress Hosting Niagahoster!

Sumber:
PSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin

Muhammad Ariffudin Ariffud is a career-shifting SEO Content Writer from Web Programming educational background, specializes in writing technical topics.

Leave a Reply

Your email address will not be published.