WordPress & News

Ngeri! Masalah Keamanan Plugin Ninja Forms Ancam Jutaan Website

Anda pengguna plugin Ninja Forms untuk membuat form di website? Jika ya, waspadalah! Baru-baru ini, ditemukan masalah keamanan di plugin tersebut. Akibatnya, hacker bisa menjalankan kode yang bisa mengacak-acak website korban.

Yang lebih mengerikan lagi, Ninja Forms termasuk salah satu plugin terpopuler sejagat WordPress. Buktinya, ia telah diinstall di lebih dari satu juta website!

Lantas, seperti apa detail isu kerentanan Ninja Forms ini? Bagaimana cara melindungi website dari masalah plugin tersebut? Langsung saja ini dia informasi selengkapnya!

Plugin Ninja Forms Diserang Isu Kerentanan Code Injection

Pada tanggal 16 Juni 2022 lalu, penyedia layanan keamanan Wordfence mengumumkan adanya celah kerentanan di plugin Ninja Forms. Ninja Forms adalah plugin WordPress populer untuk membuat berbagai jenis form dengan drag & drop secara mudah.

Menurut tim analis Wordfence, masalah keamanan ini menyerang beberapa versi Ninja Forms, seperti:

  • Versi 3.6 hingga 3.6.10
  • Versi 3.5 hingga 3.5.8.3
  • Versi 3.4 hingga 3.4.34.1
  • Versi 3.3 hingga 3.3.21.3
  • Versi 3.2 hingga 3.2.27
  • Versi 3.1 hingga 3.1.9
  • Versi 3.0 hingga 3.0.34.1

Bahkan dari skala 0-10, pihak Wordfence menilai isu kerentanan Ninja Forms ini dengan skor 9.8, yang artinya sangat berbahaya. Alasannya, celah keamanan ini memungkinkan pihak tak bertanggung jawab melancarkan serangan berjenis Code Injection.

Code Injection adalah serangan yang memanfaatkan kelemahan script kode website. Ia membawahi jenis serangan lain yang lebih spesifik.

Perlu Anda ketahui, Code Injection adalah salah satu jenis kerentanan paling mengerikan saat ini. Dengan Code Injection ini, hacker bisa menjalankan beberapa kode berbahaya secara berantai untuk merusak website korbannya.

Tak hanya itu, Code Injection juga merupakan dalang dibalik serangan yang lebih spesifik lainnya. Sebut saja SQL Injection, Cross Site Scripting (XSS), Server Side Template Injection, dan Object Injection.

Kembali ke Ninja Forms, dari manakah asal masalah keamanan plugin tersebut? Jawabannya ada di poin berikutnya!

Baca juga: Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall

Penyebab Masalah: Kecacatan Fitur Merge Tags

Ternyata, penyebab celah kerentanan plugin Ninja Forms adalah kecacatan fitur Merge Tags. Sejatinya, Merge Tags memungkinkan sebuah form untuk mengambil data dari form lain. Sehingga, pengunjung tidak perlu menginput data berulang-ulang.

Namun sayangnya, fitur yang satu ini ternyata menjadi titik lemah Ninja Forms. Sebab, Merge Tags dapat memanggil berbagai Class di plugin tersebut. Hal inilah yang malah dimanfaatkan hacker untuk mengobrak-abrik website WordPress korban.

Cara kerjanya seperti ini. Di dalam fitur Merge Tags terdapat fungsi bernama is_callable(). Fungsi tersebut berguna untuk melakukan pengecekan terhadap setiap Tag berisi Class dan Method yang dipanggil.

Yang jadi masalah, ada sebuah Class bernama NF_MergeTags_Other yang akan selalu dipanggil saat proses pemeriksaan. Class inilah yang bisa dimanfaatkan hacker untuk menanamkan kode berbahaya.

Jika sudah begitu, mereka bisa melancarkan serangan berantai untuk menjangkiti berbagai Class lain. Salah satunya adalah NF_Admin_Processes_ImportForm di mana hacker dapat mengambil alih website korban lewat metode Remote Code Injection (RCE).

Parah sekali ya? Namun untungnya, pihak Ninja Forms bertindak cepat menambal masalah kerentanan tersebut. Seperti apa detailnya? Yuk menuju poin selanjutnya!

Baca juga: Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya!

Solusi Mutlak: Update Plugin Ninja Forms ke Versi Terbaru

Selang beberapa jam setelah isu keamanan ini merebak, Saturday Drive selaku perusahaan di balik Ninja Forms langsung memperbaiki masalah tersebut. Caranya dengan merilis beberapa versi baru dengan rincian sebagai berikut:

  • Ninja Forms 3.0.34.2
  • Ninja Forms 3.1.10
  • Ninja Forms 3.2.28
  • Ninja Forms 3.3.21.4
  • Ninja Forms 3.4.34.2
  • Ninja Forms 3.5.8.4
  • Ninja Forms 3.6.11

Baca Juga: Apakah Website WordPress Mudah Kena Hack? Ini Faktanya..

Untungnya lagi, pihak WordPress juga langsung memberlakukan update paksa untuk semua website yang menggunakan Ninja Forms. Sebab mereka menganggap hal ini sebagai kejadian luar biasa yang bisa mengancam penggunanya.

Namun tetap saja, Anda yang menginstall Ninja Forms diimbau untuk tetap memeriksa status update plugin tersebut di website. Hal ini merupakan tindakan pencegahan, siapa tahu website Anda masih memakai Ninja Forms versi lama.

Lantas, bagaimana cara update plugin Ninja Forms? Gampang, Anda cukup masuk ke Dashboard WordPress. Jika sudah, klik menu Updates yang terletak pada Sidebar.

Setelahnya Anda akan dibawa ke halaman Updates. Di sini, akan muncul versi terbaru plugin Ninja Forms. Kemudian, langsung saja klik tanda checklist dan tekan tombol Update Plugins.

Silakan tunggu, proses update plugin akan berjalan. Jika berhasil, Anda akan melihat tampilan di bawah. Mudah bukan cara memperbarui plugin Ninja Forms?

Meski terkesan mudah, mengupdate plugin dengan metode ini sebenarnya agak merepotkan. Sebab, Anda harus mengecek halaman Updates secara berkala, lalu melakukan update secara manual.

Untungnya, sekarang ada solusi praktisnya nih. Yaitu, dengan mengaktifkan fitur Auto Update WordPress. Fitur ini kami sajikan khusus untuk Anda pelanggan setia Niagahoster. 

Auto Update WordPress bisa Anda manfaatkan untuk mengupdate plugin, tema, dan core WordPress secara otomatis. Cara mengaktifkannya juga gampang banget.

Pertama, Anda tinggal login ke Member Area Niagahoster. Jika sudah, scroll ke bawah hingga menemukan bagian Layanan Anda. Di sini, klik tombol Kelola Hosting di website yang menggunakan WordPress.

Kemudian di halaman Pengaturan Hosting, pilih tab WordPress Management. Lalu, pilih menu Auto Update dan lakukan konfigurasi seperti berikut:

Bagaimana, jauh lebih praktis kan dibanding update manual? Kini, website WordPress Anda jadi lebih aman karena selalu menggunakan komponen terbaru.

Baca juga: Gawat! Tema Premium Jupiter Diserang Banyak Isu Keamanan

Ingin Website Anda Lebih Aman? Simak Info Penting Berikut!

Di artikel kali ini, Anda telah memahami detail celah kerentanan plugin Ninja Forms beserta akibatnya bagi website. Untungnya, Anda juga sudah mempraktikkan sendiri cara mengatasi masalah tersebut.

Meski begitu, rutin mengupdate plugin ke versi baru hanyalah sebagian kecil cara untuk mengamankan website. Masih ada hal lain yang lebih penting, yaitu memperhatikan faktor keamanan server hosting yang Anda gunakan.

Jika Anda butuh hosting dengan fitur keamanan komplit, Niagahoster lewat paket WordPress Hosting bisa jadi pilihan. Selain Auto Update WordPress yang sudah kami sebutkan, ada juga fitur Realtime Vulnerable Patching yang tak kalah canggih.

Fitur ini berfungsi untuk menghalangi semua serangan berbahaya, seperti malware, spam, dan DDoS agar tidak sampai menjangkiti website. Yang lebih mantap, Realtime Vulnerable Patching bakal otomatis aktif begitu Anda berlangganan paket WordPress Hosting!

Jadi tunggu apa lagi, yuk nikmati website lebih aman dengan WordPress Hosting Niagahoster!

Sumber:
PSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin

Muhammad Ariffudin

SEO | Content | Tech Writing

Share
Published by
Muhammad Ariffudin

Recent Posts

Spesifikasi Hosting untuk Moodle & Rekomendasi Jenis Hosting

Ingin menginstall Moodle di hosting tapi takut performanya anjlok? Yuk simak dulu rekomendasi hosting untuk Moodle yang tepat!

10 hours ago

25 Domain Termahal di Dunia, Berapa Harganya?

Hanya dengan belasan ribu rupiah, Anda sudah bisa mendapatkan domain baru. Lalu kenapa ada orang yang membeli domain termahal sampai…

3 days ago

Apa Itu Google Domain dan Perbedaan dengan Domain Lain

Saat berselancar di internet, mungkin Anda menemukan Google Domain sebagai salah satu opsi untuk membeli domain website.  Yap, layanan yang…

4 days ago

Apa itu DOM di JavaScript? Mengenal DOM JavaScript

Jika Anda ingin mendalami JavaScript, Anda perlu tahu apa itu DOM. Yuk pelajari semua tentang JavaScript DOM di sini!

4 days ago

Perbedaan Domain dan Subdomain yang Perlu Anda Tahu

Bagi Anda yang menggunakan website pasti sering mendengar istilah domain dan subdomain. Tapi, apa ya perbedaan domain dan subdomain? Singkatnya,…

4 days ago

Apa itu Exact Match Domain: Contoh & Pengaruhnya pada SEO

Sebelum Google meng-update algoritmanya, exact match domain menjadi jalan pintas untuk meraih ranking #1 di hasil pencarian. Apa itu exact…

5 days ago