>

Hati-hati, Plugin WordPress Ini Ternyata Sangat Rentan Masalah Keamanan

Hati-hati, Plugin WordPress Ini Ternyata Sangat Rentan Masalah Keamanan

Jika anda memiliki sebuah situs WordPress, maka sebaiknya berhati-hati karena baru-baru ini para ahli keamanan mengatakan bahwa mereka telah menemukan plugin yang cukup populer, yakni  WP Statistics akan memungkinkan hacker untuk mencuri database dan membajak situs tersebut.




Jika kenyataannya begitu, maka sebuah mimpi buruk akan hadir pada pemilik situs ketika website yang anda bangun diretas dan peretas tersebut mencuri semua data anda meskipun setiap tindakan pencegahan telah anda lakukan. Seperti apa yang diungkap oleh situs blog.sucuri.net, mereka telah menemukan kerentanan SQL Injection pada plugin WP Statistic yang cukup populer. Plugin ini bahkan saat ini telah terpasang di lebih dari  300.000+ web.

WordPress

Apa yang ditemukan oleh mereka adalah kerentanan yang disebabkan oleh kurangnya sanitasi pada pengguna yang menyediakan data. Seorang penyerang yang setidaknya memiliki akun pelanggan bisa membocorkan data sensitif dan dalam situasi / konfigurasi yang tepat,  mereka  bisa menyusupi instalasi WordPress Anda. Jika anda memiliki versi yang cukup rentan terpasang pada situs anda, maka itu sangat berisiko.

WordPress sudah lama menyediakan pengguna API yang memungkinkan pengembang membuat kode sehingga pengguna dapat menyuntikkan menggunakan kode pendek. Plugin WP Statistics memungkinkan pengguna untuk memeriksa statistik situs dan meminta informasi yang diperlukan untuk bisa menggunakan shortcode. Namun, justru yang terjadi adalah kerentanan yang dibuat sedemikian rupa sehingga tidak mengecek hak admin sebelum memberikan informasi dan siapa saja yang memiliki akun pelanggan bisa mengaksesnya.

Contoh khas serangan dalam skenario seperti itu adalah saat penyerang membuat akun pelanggan di situs tersebut dan memberikan komentar pada halaman manapun. Komentar tersebut akan memiliki javascript untuk melakukan tindakan yang diinginkan. Begitu administrator mengakses bagian komentar untuk memeriksa persetujuan, javascript akan berjalan dengan hak administrator, ungkap Sucuri.

Jouko Pynnonen, seorang pakar keamanan dari Finlandia mengatakan, “Jika penyerang menulis kode PHP baru di server melalui editor plugin, permintaan AJAX lain dapat digunakan untuk mengeksekusinya secara instan, di mana penyerang akan memperoleh akses dengan tingkat sistem operasi di server.”




Temuan ini cukup mengejutkan dan menakutkan, apalagi ini semua berasal dari salah satu plugin WordPress yang cukup populer. Untungnya, Bug tersebut segera diperbaiki, dan khusus bagi anda yang memiliki plugin tersebut sangat disarankan untuk mengupdate plugin sesegera mungkin. Update WordPress yang lengkap juga sangat direkomendasikan.

 Baca Juga :

Loading…

Comments

VIDEO TERBARU MURDOCKCRUZ :

Indra Setia Hidayat

Saya bisa disebut sebagai tech lover, gamer, a father of 2 son, dan hal terbaik dalam hidup saya bisa jadi saat membangun sebuah Rig. Jauh didalam benak saya, ada sebuah mimpi dan harapan, ketika situs ini memiliki perkembangan yang berarti di Indonesia atau bahkan di dunia. Tapi, jalan masih panjang, dan cerita masih berada di bagian awal. Twitter : @murdockcruz Email : murdockavenger@gmail.com