Muhammad Ariffudin SEO | Content | Tech Writing

Masalah Keamanan Plugin UpdraftPlus Hantui 3 Juta Website!

2 min read

Masalah Keamanan Plugin UpdraftPlus Hantui 3 Juta Website!

Perhatian bagi Anda pengguna UpdraftPlus! Baru-baru ini, ditemukan ancaman keamanan serius, yang mengakibatkan pengguna tak berwenang bisa mengakses data backup dari plugin WordPress tersebut.

Isu kerentanan ini jelas meresahkan. Pasalnya, UpdraftPlus tergolong salah satu plugin terpopuler yang telah diinstall lebih dari 3 juta website!

Lantas, bagaimana detail permasalahan tersebut? Bagaimana cara melindungi website Anda dari celah kerentanan UpdraftPlus?

Baca informasi ini hingga selesai!

Celah Kerentanan Plugin UpdraftPlus

plugin updraftplus

Pada 17 Februari 2022, Wordfence yang merupakan layanan keamanan khusus WordPress, memberitakan adanya masalah keamanan pada plugin UpdraftPlus. Isu ini setidaknya menyerang beberapa versi, yaitu 1.16.7 hingga 1.22.2.

Menurut peneliti Marc Montpas, celah kerentanan ini mengakibatkan pengguna tingkat rendah seperti subscriber bisa mengakses dan mendownload data backup.

Padahal seperti yang diketahui, file backup menyimpan berbagai informasi penting di website. Contohnya, data pribadi pengguna atau file konfigurasi lain untuk mengakses database website beserta isinya.

Bayangkan, apabila file backup sampai diketahui pihak yang tak bertanggung jawab. Mereka dengan leluasa mengakses website, mengacak-acak isinya, bahkan menyalahgunakan data pribadi pemilik website untuk tindak kejahatan.

Lantas, apa sih ‘biang kerok’ celah kerentanan UpdraftPlus ini? Jawabannya ada di poin selanjutnya!

Baca juga: Segera Atasi Celah Keamanan Plugin PHP Everywhere Sekarang!

Penyebab Isu Keamanan UpdraftPlus Ditemukan!

Marc Montpas menyampaikan, celah keamanan UpdraftPlus ini disebabkan oleh salah satu fitur. Yaitu, opsi remote storage yang dapat mengirimkan link backup via email.

download backup ke email

Sayangnya, implementasi fitur tersebut ternyata tidak aman. Sebab, pengguna tingkat rendah dapat mereplikasi struktur link. Jika strukturnya valid, mereka bisa mendownload file backup di website.

Namun, apakah semudah itu meniru struktur link? Tentu saja tidak. Pihak tak bertanggung jawab perlu menyerang beberapa fungsi WordPress.

Dalam posisi login, mereka pertama mengincar fungsi heartbeat. Gunanya untuk memperoleh catatan (log) backup berisi timestamp dan nonce. Nah, nonce adalah sejenis kode untuk melindungi URL dari perintah berbahaya.

Setelah mendapatkan file nonce, penyerang akan memicu fungsi maybe_download_backup_from_email untuk bereaksi. Akibatnya, fungsi tersebut akan mengirim perintah ke titik akhir (endpoint) yang salah. Yaitu, menuju file admin-post.php.

Di sini, penyerang dapat dengan mudah mengelabui validasi yang dilakukan variabel $pagenow. Setelahnya, mereka tinggal memasukkan nonce beserta sebuah parameter berjenis type.

Pada akhirnya, permintaan backup akan diindeks berdasarkan timestamp oleh log. Sehingga, menghasilkan sebuah link backup baru yang bisa dimanfaatkan dengan leluasa oleh penyerang.

Untungnya, tim pengembang UpdraftPlus bertindak cepat memperbaiki masalah keamanan ini. Simak detailnya di poin berikutnya!

Baca juga: Waspadai Celah Keamanan Plugin Elementor! 600+ Ribu Website Terancam!

Solusinya, Update ke UpdraftPlus Terbaru

Tak butuh waktu lama, pihak UpdraftPlus langsung menambal celah keamanan dengan merilis versi baru 1.22.3. Bahkan, saat ini tersedia UpdraftPlus versi 1.22.4 dengan proteksi yang lebih baik lagi.

Untuk itu, Anda pengguna plugin UpdraftPlus diimbau segera melakukan update. Hal ini merupakan langkah pencegahan, agar website Anda tidak menjadi korban kejahatan siber yang bisa terjadi kapanpun.

Bagaimana cara mengupdate UpdraftPlus? Gampang, tinggal kunjungi dashboard WordPress Anda dan pilih menu Updates.

dashboard wordpress update

Di sini, Anda akan melihat versi terbaru UpdraftPlus. Langsung saja, beri tanda checklist dan klik Update Plugins.

update plugin updraftplus

Update plugin akan berlangsung. Jika berhasil, Anda akan melihat tampilan berikut:

update updraftplus berhasil

Selamat! Anda berhasil mengupdate UpdraftPlus ke versi terbaru. Kini, website Anda jadi lebih aman dari celah kerentanan plugin ini.

Baca juga: Waspada! Celah Keamanan Core WordPress Mengancam Jutaan Website

Ingin Lebih Aman? Aktifkan Auto Update

Mengupdate plugin memang mudah. Namun, jika Anda harus melakukannya secara manual, pastinya tetap merepotkan. Untungnya, sudah ada solusi praktisnya, yaitu mengaktifkan fitur Auto Update.

Fitur ini tersedia bagi Anda pelanggan Niagahoster. Cara mengaktifkannya sangat mudah. Anda tinggal mengunjungi Member Area Niagahoster, lalu pilih menu WP Management.

Setelahnya, klik opsi Auto Update dan lakukan konfigurasi seperti berikut:

auto update wordpress niagahoster

Praktis sekali kan? Fitur ini juga bisa Anda gunakan untuk update plugin, tema, dan Core WordPress secara otomatis. Jadi website Anda lebih aman karena selalu memakai komponen WordPress terbaru.

Menariknya, fitur di atas semuanya telah terangkum di web hosting terbaik kami dengan berbagai keunggulan lain untuk mengamankan website Anda.

Pun demikian, perlu Anda ketahui bahwa mengupdate WordPress hanyalah salah satu cara mengamankan website. Masih banyak hal yang perlu Anda lakukan, seperti mengaktifkan SSL dan membatasi akses admin.

Selengkapnya, Anda bisa membaca panduan ebook 25 Langkah Ampuh Mengamankan Website WordPress. Yuk download sekarang juga, gratis!

Langkah Mengamankan Website

Sumber:
Vulnerability in UpdraftPlus Allowed Subscribers to Download Sensitive Backups

Muhammad Ariffudin SEO | Content | Tech Writing

Leave a Reply

Your email address will not be published.

[class^="wpforms-"]
[class^="wpforms-"]
[class^="wpforms-"]
[class^="wpforms-"]