Aldwin Nayoan Aldwin is a content writer at Niagahoster. Specializing in web hosting and WordPress, he is eager to help people uplevel their business on the internet. Apart from being a tech junkie, Aldwin likes fiction and photography.

Waspadai Masalah Keamanan pada Plugin ThemeREX Addons

3 min read

Featured image ThemeREX Addons

Sebagai pemilik website, tentunya Anda tidak ingin situs diambil alih oleh pihak lain. Jika terjadi, bisa-bisa data website Anda dicuri atau dimanipulasi.

Sayangnya, ini menjadi ancaman serius bagi para pengguna ThemeREX Addons setelah Wordfence, salah satu penyedia plugin Firewall WordPress, menemukan masalah keamanan di plugin tersebut 18 Februari 2020 lalu.

Masalah Keamanan pada ThemeREX Addons

ThemeREX Addons adalah plugin yang tersedia sepaket dengan tema-tema berbayar ThemeREX. Dengan membeli salah satu tema dari developer ini, para pengguna otomatis mendapatkan ThemeREX Addons.

Fungsi dari plugin ini sebenarnya sangat membantu bagi pengguna yang ingin dapat melakukan set up tampilan dan fitur situsnya dengan cepat. 

Misalnya, pengguna dapat menggunakan custom widget dan post type berkat plugin ini. Ditambah lagi, ThemeREX Addons juga dapat diintegrasikan dengan plugin page builder Elementor. Oleh karena itu, kustomisasi situs pengguna menjadi sangat mudah.

Dengan kemudahan yang diberikan, tak heran jika ThemeREX Addons menjadi sebuah plugin WordPress yang populer. Wordfence memperkirakan bahwa plugin tersebut sudah di-install oleh 44.000 pengguna.

Namun, pada 18 Februari lalu tim Threat Intelligence Wordfence menemukan masalah keamanan pada ThemeREX Addons di atas versi 1.6.50.

Masalah ini sangat serius karena memungkinkan pihak yang tidak memiliki akses login untuk memasukkan kode ke dalam situs WordPress. Dengan ini, orang luar bahkan dapat menciptakan akun admin di WordPress Anda.

Baca juga: Apa Itu Spamhaus Block List dan Mengapa Berbahaya?

Apa Penyebabnya?

Wordfence menyebutkan bahwa penyebab dari masalah ini adalah REST API endpoint yang tidak aman.

API memang digunakan dalam integrasi antara WordPress dan aplikasi pihak ketiga seperti ThemeREX Addons. Akan tetapi, plugin tersebut tidak mampu memverifikasi asal perintah yang masuk ke API endpoint tersebut.

Dengan kata lain, pihak yang tidak memiliki akun untuk mengelola website Anda pun dapat menggunakan API endpoint itu untuk memasukkan kode buatannya.

Ancaman yang dapat disebabkan oleh celah keamanan ini adalah injeksi kode PHP yang dilakukan secara remote. Yang lebih parah lagi adalah jika ada pihak yang membuat akun admin palsu dengan cara tersebut. Jika itu sudah terjadi, website Anda dapat sepenuhnya diambil alih pihak tersebut.

Baru-baru ini, ancaman serupa juga membuat pengguna plugin Themegrill Demo Importer rentan terhadap peretasan. Celah keamanan pada plugin tersebut memungkinkan pihak selain pengelola website untuk menghapus semua database dan mengembalikan pengaturan default WordPress.

Bagaimana Solusinya?

Hingga berita ini diturunkan, ThemeREX belum merilis patch untuk masalah keamanan ini. Oleh karena itu, Anda yang menggunakan ThemeREX Addons di atas versi 1.6.50 sebaiknya segera meng-uninstall plugin tersebut.

Selain itu ada beberapa cara lain yang juga wajib dilakukan agar situs WordPress Anda aman dari berbagai ancaman keamanan:

1. Perbarui Versi WordPress

WordPress adalah content management system yang paling sering di-hack. Oleh karena itu, Anda tidak boleh lengah dengan serangan hacker.

Salah satu cara yang dapat Anda lakukan untuk mencegahnya adalah selalu memperbarui versi WordPress.

Setiap ada versi terbaru, WordPress akan memberitahu Anda melalui pesan di Dashboard. Pesan tersebut berisi link untuk meng-update versi CMS ini.

Jika Anda pengguna layanan Niagahoster, update WordPress juga dapat dilakukan melalui Member Area.

Pada tab WordPress Management, akan ada notifikasi yang menunjukkan bahwa versi WordPress Anda tidak up-to-date.

Notifikasi update WordPress di Dashboard

Dengan meng-klik link di notifikasi tersebut, versi terbarunya akan langsung di-install. Berikut adalah panduan lengkapnya.

2. Aktifkan Firewall

Ancaman keamanan seperti yang disebabkan oleh ThemeREX Addons dapat dicegah dengan mengaktifkan Firewall.

Firewall adalah fitur untuk menyaring dan memblokir lalu lintas data yang tidak terotorisasi di jaringan internet. Dalam konteks WordPress, lalu lintas data yang dimaksud adalah yang keluar-masuk di backend situs Anda.

Firewall biasanya dipasang di server oleh penyedia layanan hosting. Oleh karena itu, Anda perlu memastikan bahwa layanan hosting yang ingin digunakan menyediakannya. Jangan khawatir, Niagahoster dilengkapi dengan Advanced Firewall milik Imunify 360.

Selain itu, Anda juga dapat menambah lapisan keamanan dengan memasang plugin Firewall di WordPress, seperti Wordfence, Sucuri, dan Jetpack.

3. Ubah URL Login WordPress

Barangkali Anda masih menggunakan URL website yang diikuti dengan /wp-login.php atau /wp-admin untuk login ke Dashboard.

Namun, URL default ini perlu dihindari karena menjadi salah satu pintu utama bagi hacker. Untungnya, mengubah URL login WordPress tidak rumit. Plugin seperti WPS Hide Login dapat membantu Anda melakukannya.

4. Ubah Username Admin

Username default adalah jalan lain yang sering digunakan hacker untuk membobol website Anda. Jika belum pernah diganti, username Anda pasti “Admin”.

Ada dua cara yang dapat Anda gunakan untuk mengubahnya, yaitu menggunakan plugin atau melalui pengaturan PHPMyAdmin di cPanel. Anda dapat mempelajari langkah-langkahnya di panduan mengganti username WordPress.

5. Batasi Jumlah Percobaan Login

WordPress tidak memiliki fitur bawaan untuk membatasi jumlah percobaan login yang gagal. Karenanya, hacker dapat mencoba berbagai kombinasi username dan password dengan berbekal kesabaran.

Namun, Anda dapat mengaktifkan fitur tersebut menggunakan plugin seperti Login Lockdown. Dengan plugin ini, Anda dapat menentukan jumlah percobaan login yang dilakukan dari satu IP address sebelum terblokir. Tak hanya itu, durasi pemblokiran pun dapat Anda atur.

6. Disable PHP Execution

Masalah keamanan yang ada pada ThemeREX Addons memungkinkan pihak di luar WordPress Anda untuk melakukan injeksi kode PHP.

Nah, cara yang dapat digunakan untuk mencegah ini adalah melakukan disable PHP execution. Caranya cukup mudah. Pertama, salin kode di bawah in di Notepad atau aplikasi text editor lainnya yang ada di komputer:

<Files *.php>
deny from all
</Files>

Kemudian, simpan dengan file name .htaccess. Terakhir, unggah file tersebut ke direktori /wp-content/uploads/ menggunakan File Manager di cPanel.

7. Disable File Editing

Keamanan file-file website Anda sangatlah penting. Jika hacker berhasil masuk ke backend WordPress, file milik tema dan plugin yang ter-install dapat diutak-atik.

Untuk menghindarinya, Anda dapat mengaktifkan disable file editing melalui cPanel. Caranya, masuklah ke File Manager dan cari file wp-config.php. Selanjutnya, tambahkan kode di bawah ini dan simpan filenya.

define( 'DISALLOW_FILE_EDIT', true );

Cara ini memang tidak dapat melindungi WordPress Anda dari hacker. Namun, setidaknya file-file website Anda tidak akan dapat dimanipulasi.

8. Daftar di WPScan Vulnerability Database

Ancaman keamanan terhadap website WordPress Anda dapat datang kapan saja dan dari sumber apapun. Oleh karena itu, Anda perlu selalu update dengan berita-berita terbaru terkait hal tersebut.

Kabar baiknya, WPScan Vulnerability Database menyediakan informasi terkini mengenai segala celah keamanan pada WordPress, baik itu dari sisi CMS tersebut atau plugin dan temanya.

Tidak masalah apabila Anda tidak dapat selalu mengakses situs tersebut. Di sini, Anda dapat mendaftarkan alamat email Anda agar mendapatkan pemberitahuan tentang masalah keamanan sesegera mungkin.

Pastikan Situs WordPress Anda Aman

Apapun website Anda, hacker selalu ingin meretasnya dengan segudang cara. Pada kasus ThemeREX Addons, contohnya, yang digunakan justru celah keamanan pada versi-versi baru plugin tersebut.

Oleh karena itu, Anda tidak boleh lengah dalam mempertahankan keamanan situs WordPress Anda.

ebook keamanan website

Pastikan Anda selalu up-to-date dengan tips-tips keamanan WordPress yang dikupas tuntas di Blog Niagahoster dengan mendaftarkan email Anda pada form yang tersedia di bawah artikel ini.

3
Aldwin Nayoan Aldwin is a content writer at Niagahoster. Specializing in web hosting and WordPress, he is eager to help people uplevel their business on the internet. Apart from being a tech junkie, Aldwin likes fiction and photography.

Leave a Reply

Your email address will not be published. Required fields are marked *

1 × 2 =