Hati-hati, Plugin WordPress Ini Ternyata Sangat Rentan Masalah Keamanan
Jika anda memiliki sebuah situs WordPress, maka sebaiknya berhati-hati karena baru-baru ini para ahli keamanan mengatakan bahwa mereka telah menemukan plugin yang cukup populer, yakni WP Statistics akan memungkinkan hacker untuk mencuri database dan membajak situs tersebut.
Jika kenyataannya begitu, maka sebuah mimpi buruk akan hadir pada pemilik situs ketika website yang anda bangun diretas dan peretas tersebut mencuri semua data anda meskipun setiap tindakan pencegahan telah anda lakukan. Seperti apa yang diungkap oleh situs blog.sucuri.net, mereka telah menemukan kerentanan SQL Injection pada plugin WP Statistic yang cukup populer. Plugin ini bahkan saat ini telah terpasang di lebih dari 300.000+ web.
Apa yang ditemukan oleh mereka adalah kerentanan yang disebabkan oleh kurangnya sanitasi pada pengguna yang menyediakan data. Seorang penyerang yang setidaknya memiliki akun pelanggan bisa membocorkan data sensitif dan dalam situasi / konfigurasi yang tepat, mereka bisa menyusupi instalasi WordPress Anda. Jika anda memiliki versi yang cukup rentan terpasang pada situs anda, maka itu sangat berisiko.
WordPress sudah lama menyediakan pengguna API yang memungkinkan pengembang membuat kode sehingga pengguna dapat menyuntikkan menggunakan kode pendek. Plugin WP Statistics memungkinkan pengguna untuk memeriksa statistik situs dan meminta informasi yang diperlukan untuk bisa menggunakan shortcode. Namun, justru yang terjadi adalah kerentanan yang dibuat sedemikian rupa sehingga tidak mengecek hak admin sebelum memberikan informasi dan siapa saja yang memiliki akun pelanggan bisa mengaksesnya.
Contoh khas serangan dalam skenario seperti itu adalah saat penyerang membuat akun pelanggan di situs tersebut dan memberikan komentar pada halaman manapun. Komentar tersebut akan memiliki javascript untuk melakukan tindakan yang diinginkan. Begitu administrator mengakses bagian komentar untuk memeriksa persetujuan, javascript akan berjalan dengan hak administrator, ungkap Sucuri.
Jouko Pynnonen, seorang pakar keamanan dari Finlandia mengatakan, “Jika penyerang menulis kode PHP baru di server melalui editor plugin, permintaan AJAX lain dapat digunakan untuk mengeksekusinya secara instan, di mana penyerang akan memperoleh akses dengan tingkat sistem operasi di server.”
Temuan ini cukup mengejutkan dan menakutkan, apalagi ini semua berasal dari salah satu plugin WordPress yang cukup populer. Untungnya, Bug tersebut segera diperbaiki, dan khusus bagi anda yang memiliki plugin tersebut sangat disarankan untuk mengupdate plugin sesegera mungkin. Update WordPress yang lengkap juga sangat direkomendasikan.
Baca Juga :
- Waspadalah Dengan Ad Malware Xavier Pada Smartphone Android
- Cyber Ark Temukan Kerentanan Pada Windows 10
- 5 Langkah Mudah Cegah Ransomware Pada Laptop
- Hati-hati, Karena Malware Bisa Menyusup Lewat File Subtitle Film
VIDEO TERBARU MURDOCKCRUZ :