Perhatian bagi Anda pengguna UpdraftPlus! Baru-baru ini, ditemukan ancaman keamanan serius, yang mengakibatkan pengguna tak berwenang bisa mengakses data backup dari plugin WordPress tersebut.
Isu kerentanan ini jelas meresahkan. Pasalnya, UpdraftPlus tergolong salah satu plugin terpopuler yang telah diinstall lebih dari 3 juta website!
Lantas, bagaimana detail permasalahan tersebut? Bagaimana cara melindungi website Anda dari celah kerentanan UpdraftPlus?
Baca informasi ini hingga selesai!
Celah Kerentanan Plugin UpdraftPlus
Pada 17 Februari 2022, Wordfence yang merupakan layanan keamanan khusus WordPress, memberitakan adanya masalah keamanan pada plugin UpdraftPlus. Isu ini setidaknya menyerang beberapa versi, yaitu 1.16.7 hingga 1.22.2.
Menurut peneliti Marc Montpas, celah kerentanan ini mengakibatkan pengguna tingkat rendah seperti subscriber bisa mengakses dan mendownload data backup.
Padahal seperti yang diketahui, file backup menyimpan berbagai informasi penting di website. Contohnya, data pribadi pengguna atau file konfigurasi lain untuk mengakses database website beserta isinya.
Bayangkan, apabila file backup sampai diketahui pihak yang tak bertanggung jawab. Mereka dengan leluasa mengakses website, mengacak-acak isinya, bahkan menyalahgunakan data pribadi pemilik website untuk tindak kejahatan.
Lantas, apa sih ‘biang kerok’ celah kerentanan UpdraftPlus ini? Jawabannya ada di poin selanjutnya!
Baca juga: Segera Atasi Celah Keamanan Plugin PHP Everywhere Sekarang!
Penyebab Isu Keamanan UpdraftPlus Ditemukan!
Marc Montpas menyampaikan, celah keamanan UpdraftPlus ini disebabkan oleh salah satu fitur. Yaitu, opsi remote storage yang dapat mengirimkan link backup via email.
Sayangnya, implementasi fitur tersebut ternyata tidak aman. Sebab, pengguna tingkat rendah dapat mereplikasi struktur link. Jika strukturnya valid, mereka bisa mendownload file backup di website.
Namun, apakah semudah itu meniru struktur link? Tentu saja tidak. Pihak tak bertanggung jawab perlu menyerang beberapa fungsi WordPress.
Dalam posisi login, mereka pertama mengincar fungsi heartbeat. Gunanya untuk memperoleh catatan (log) backup berisi timestamp dan nonce. Nah, nonce adalah sejenis kode untuk melindungi URL dari perintah berbahaya.
Setelah mendapatkan file nonce, penyerang akan memicu fungsi maybe_download_backup_from_email untuk bereaksi. Akibatnya, fungsi tersebut akan mengirim perintah ke titik akhir (endpoint) yang salah. Yaitu, menuju file admin-post.php.
Di sini, penyerang dapat dengan mudah mengelabui validasi yang dilakukan variabel $pagenow. Setelahnya, mereka tinggal memasukkan nonce beserta sebuah parameter berjenis type.
Pada akhirnya, permintaan backup akan diindeks berdasarkan timestamp oleh log. Sehingga, menghasilkan sebuah link backup baru yang bisa dimanfaatkan dengan leluasa oleh penyerang.
Untungnya, tim pengembang UpdraftPlus bertindak cepat memperbaiki masalah keamanan ini. Simak detailnya di poin berikutnya!
Baca juga: Waspadai Celah Keamanan Plugin Elementor! 600+ Ribu Website Terancam!
Solusinya, Update ke UpdraftPlus Terbaru
Tak butuh waktu lama, pihak UpdraftPlus langsung menambal celah keamanan dengan merilis versi baru 1.22.3. Bahkan, saat ini tersedia UpdraftPlus versi 1.22.4 dengan proteksi yang lebih baik lagi.
Untuk itu, Anda pengguna plugin UpdraftPlus diimbau segera melakukan update. Hal ini merupakan langkah pencegahan, agar website Anda tidak menjadi korban kejahatan siber yang bisa terjadi kapanpun.
Bagaimana cara mengupdate UpdraftPlus? Gampang, tinggal kunjungi dashboard WordPress Anda dan pilih menu Updates.
Di sini, Anda akan melihat versi terbaru UpdraftPlus. Langsung saja, beri tanda checklist dan klik Update Plugins.
Update plugin akan berlangsung. Jika berhasil, Anda akan melihat tampilan berikut:
Selamat! Anda berhasil mengupdate UpdraftPlus ke versi terbaru. Kini, website Anda jadi lebih aman dari celah kerentanan plugin ini.
Baca juga: Waspada! Celah Keamanan Core WordPress Mengancam Jutaan Website
Ingin Lebih Aman? Aktifkan Auto Update
Mengupdate plugin memang mudah. Namun, jika Anda harus melakukannya secara manual, pastinya tetap merepotkan. Untungnya, sudah ada solusi praktisnya, yaitu mengaktifkan fitur Auto Update.
Fitur ini tersedia bagi Anda pelanggan Niagahoster. Cara mengaktifkannya sangat mudah. Anda tinggal mengunjungi Member Area Niagahoster, lalu pilih menu WP Management.
Setelahnya, klik opsi Auto Update dan lakukan konfigurasi seperti berikut:
Praktis sekali kan? Fitur ini juga bisa Anda gunakan untuk update plugin, tema, dan Core WordPress secara otomatis. Jadi website Anda lebih aman karena selalu memakai komponen WordPress terbaru.
Menariknya, fitur di atas semuanya telah terangkum di web hosting terbaik kami dengan berbagai keunggulan lain untuk mengamankan website Anda.
Pun demikian, perlu Anda ketahui bahwa mengupdate WordPress hanyalah salah satu cara mengamankan website. Masih banyak hal yang perlu Anda lakukan, seperti mengaktifkan SSL dan membatasi akses admin.
Selengkapnya, Anda bisa membaca panduan ebook 25 Langkah Ampuh Mengamankan Website WordPress. Yuk download sekarang juga, gratis!
Sumber:
Vulnerability in UpdraftPlus Allowed Subscribers to Download Sensitive Backups
