WordPress Diserang Tiga Celah, Jutaan Website Terancam ! Ada pengumuman penting untuk Anda pengguna WordPress! Baru-baru in, telah ditemukan tiga celah keamanan di core atau inti WordPress. Salah satunya, bahkan punya tingkat kerentanan yang tinggi.
Seperti aapa sih masalah keamanan yang menimpa WordPress ? Lalu, Apa dampaknya jika tidak segera di benahi ? Bagaimana cara melindungi website Anda dari kerentanan WordPress?
WordPress Diserang Tiga Celah, Apakah Website Anda Sudah Aman ?
Yuk, Simak artikel yang kali ini kita bahas, Semoga bisa membantu anda untuk memberikan keamanan terhadap WordPress Anda. Ini dia informasi selengkapnya :
Kerentanan WordPress Serang Versi <6.0.2
Pada tanggal 30 Agustus 2022 lalu, penyedia layanan keamanan Wordfence mempublikasikan adanya tiga celah kerentanan di core WordPress. Masalah tersebut menyerang seluruh versi WordPress sebelum versi 6.0.2.
Menurut tim analis Wordfence, tiga masalah keamanan ini memungkinkan hackers dan pihak yang tidak bertanggung jawab lain untuk mengobrak-abrik konfigurasi website, atau bisa mengakses informasi pribadi yang ada di website tersebut.
Pertama, hacker berhasil mendapatkan hak ases sebagai administrator atau editor. Kedua, di website juga terdapat kerentanan akibat plugin atau tema pihak ketiga yang sekaligus dimanfaatkan oleh hacker. Untungnya hingga kini , belum ada laporan kejadian yang menimpa pengguna WordPress terkait isu tersebut. Namun mengingat dampak yang berbahaya, hal ini tentu saja membuat khawatir sebagian pemiliki website WordPress.
Lalu, Bagaimana detail dari tiga masalah keamanan core WordPress tersebut ?
Analisis Tiga Celah Kerentanan Core WordPress
Tim analis Wordfence berhasil mengidentifikasi tiga isu kerentanan WordPress versi dibawah 6.0.2, yaitu :
1. SQL Injection via Fitur Bookmarks
Tingkat Kerentanan : 8.0 ( Tinggi)
Celah kerentanan WordPress yang pertama ini mengincar fitur Bookmarks. Fitur ini berfungsi mengelola semua daftar bookmark milik website di WordPress. Sebenarnnya wordpress versi terbaru, fitur Bookmarks sudah tidak diaktifkan secara default. Hanya saja versi ini belum di perbarui dan masih dalam keadaan aktif.
hal inilah yang bisa dimanfaatkan hackers berbekal celah pada fungsi get_bookmark. Fungsi ini terdapat argumen limit yang bertugas membatasi daftar bookmark yang tampil sesuai dengan perintah atau query SQL.
Metode sanitasi data yang kurang sempurna menyebabkan argumen limit justru menampilkan data melebihi batasan query.
Satu kesalahan sanitasi ternyata terdapat berakibat fatal, karena hackers berpeluang mengakses data yang seharusnya tidak bisa dilihat.
2. Contributor+ Stored Cross-Site Scripting via Fungsi the_meta
Tingkat Kerentanan : 4.9 (Menengah)
Pengguna wordpress dengan hak akses kontibutor, author, editor dan administrator dapat menambahkan custom field ketika membuat postingan atau halaman baru. Fungsinya agar mereka bisa mengaitkan data tambahan dengan lebih mudah.
Di custom field tersebut terdapat beberapa fungsi. salah satunya yaitu the_meta yang berguna untuk mengambil kunci meta dan value dari data lain, lalu mengolahnya dalam bentuk list.
sayangnya, pada versi WordPress dibawah 6.0.2, hackers bisa memanfaatkan fungsi the_meta untuk menambah script berbahaya diantara baris kode kunci meta dan value. Script tak diinginkan tersebut akan dieksekusi bersam dengan script lain.
Jika hacker punya akses minimal sebagai kontributor, mereka bisa menyuntukan script yang bisa merusak website korban.
3. Stored Cross-Site Scripting via Notifikasi Error Plugin
Tingkat Kerentanan : 4.7 (Menengah)
Celah kerentanan WordPress yang terakhir masih berhubungan dengan XXS. Pada halaman Plugin, Anda bisa menonaktifkan atau menghapus plugin yang terinstall. Namun ada kalanya, WordPress menampilkan notifikasi error karena plugin tidak bisa dihapus.
Pesan error tersebut menyimpan celah kerentanan yang dapat dimanfaatkan oleh hackers. Syaratnya, di website tersebut sudah terdapat masalah keamanan lain yang berasal dari plugin pihak ketiga.
Plugin tidak bisa dinonaktifkan adalah masalah lain. Sementara, notifikasi error yang justru menyimpan isu kerentanan membuat hacker bisa menjalankan metode XSS untuk membahayakan website.
Mengerikan sekali ya dampak tiga celah dari kerentanan WordPress di atas ?
Update WordPress Versi 6.0.2 Jadi Solusi Terbaik
Dalam waktu yang sama, tim developer WordPress bertindak cepat untuk menambal tiga isu kerentanan tersebut. Maka, WordPress 6.0.2 Security & Maintenance Release hadir.
Mengingat ini adalah tentang keamanan, tim WordPress mengimbau Anda untuk update versi terbaru dari WordPress. Tujuannya jelas, agar website Anda tidak menjadi korban celah kerentanan yang lebih serius.
Baca Juga : Cara Membuat Database MySQL Di phpMyAdmin
Untuk memperbarui versi WordPress, Anda cukup masuk ke dashboard WordPress. Kemudian, akses menu Update pada sidebar sebelah kiri.
Di halaman Updates, akan muncul informasi versi terbaru WordPress. Silahkan klik Update to version 6.0.2. Setelah itu, update WordPress akan berlangsung, Apabila berhasila, Anda bakal melihat tampilan sebagai berikut ini :
Cukup mudah bukan untuk update versi WordPress itu. Semoga artikel yang kami jelaskan bermanfaat untuk anda.
