5 Plugin WordPress Yang Memiliki Celah Keamanan Bagi Hacker
Tidak dapat dipungkiri bahwa saat ini WordPress adalah platform website opensource yang paling banyak digunakan oleh masyarakat di seluruh dunia. Selain menawarkan kemudahan dalam proses instalasi dan manajemen konten platform ini juga memberikan kebebasan bagi siapapun untuk mengubah dan mengedit sesuai kebutuhan mereka.
Selain itu pihak pengembang dari WordPress rutin melakukan pengembangan dan saat tulisan ini dibuat WordPress sudah pada versi 5.3.2, yang jika dibandingkan dengan saat awal kemunculannya di public WordPress saat ini sudah banyak sekali penambahan fitur yang semakin memudahkan bagi para penggunanya.
Sementara itu WordPress juga di dukung oleh ribuan pengembang dalam menyediakan template / themes dan plugin, sehingga dengan ini menjadikan WordPress adalah platform yang sangat fleksibel, bisa jadi blog, bisa jadi website company profile, web toko online, web learning management system, dan masih banyak lagi.
Meski begitu namanya platform opensource membuat semua orang dapat melihat source code atau struktur kode pemrograman sehingga sangat mungkin bagi setiap programmer untuk menemukan celah keamanan dari platform WordPress ini bahkan dari sisi plugin dan template juga.
Berikut ini 8 Plugin populer yang memiliki celah keamanan untuk dimanfaatkan oleh para hacker.
Plugin ThemeGrill Demo Import
ThemeGrill ini adalah developer pengembang themes WordPress dimana mereka juga menyediakan plugin khusus agar pengguna tidak perlu repot melakukan setup untuk menghasilkan tampilan sesuai yang mereka demokan.
Dengan plugin ini mereka bisa otomatis melakukan import dari demo tampilan yang tersedia dan tugas selanjutnya cukup mengisi konten pada website mereka. Plugin ini sendiri memiliki jumlah pengguna lebih dari 100.000 pengguna aktif di seluruh dunia.
Kabar buruknya beberapa waktu lalu ditemukan bug yang dapat menjadi celah keamanan sehingga para hacker dapat dengan mudah mengambil alih website yang terpasang plugin tersebut, bukan hanya itu para hacker tersebut juga bisa menghapus seluruh isi website.
There’s currently a severe vuln in a wordpress plugin called “themegrill demo importer” that resetss the whole database. https://t.co/tT4xiqjna5 It seems attacks are starting: Some of the affected webpages show a wordpress “hello world”-post. /cc @webarx_security
— hanno (@hanno) February 18, 2020
Namun kabar terbaru pihak ThemeGrill telah melakukan update pada plugin mereka dengan menutup celah keamanan tersebut yaitu pada plugin versi 1.6.3. Jadi buat para pengguna plugin ini sebaiknya segera update plugin kamu ke versi yang terbaru.
Flexible Checkout Fields for WooCommerce
Plugin ini khusus untuk para pemain toko online yang menggunakan WordPress dan Woocommerce sebagai platform mereka. Fungsi plugin ini sendiri adalah untuk mengcustom formulir pemesanan pada Woocommerce.
Karena biasanya untuk setiap negara ini berbeda kebutuhan, dan biasanya mereka sudah paham betul model formulir pemesanan seperti apa yang memiliki tingkat konversi yang tinggi untuk audiens mereka. Plugin ini sendiri sudah digunakan lebih dari 20.000 pengguna aktif.
Namun lagi-lagi ditemukan kelemahan pada plugin ini dimana orang yang suka iseng bisa melakukan inject XSS payloads, sehingga mereka seolah – olah login sebagi admin. Berdasarkan keterangan di halaman plugin ini telah dilakukan pembaharuan pada tanggal 27 Februari 2020.
Async JavaScript
Dulu saya sering menggunakan plugin ini pada setiap website saya, fungsinya kurang lebih untuk mempercepat render javascript sehingga kecepatan loading website kita juga meningkat. Namun ternyata beberapa hari lalu plugin ini juga termasuk yang memiliki celah keamanan, namun sejak 2 maret 2020 telah diperbaharui oleh pengembangnya.
Kabarnya juga sudah tidak ada lagi laporan penyerangan terhadap plugin ini, jadi bisa dibilang sudah aman untuk tetap menggunakan plugin ini.
Themerex Addons
Plugin ini adalah satu paket dengan template berbayar dan pertama kali dilaporkan mengenai penyerangan dari celah kemanan plugin ini pada 18 Februari 2020 oleh Wordfence. Penyerangan yang terjadi kurang lebih sama dengan yang terjadi pada Async Javascript yaitu inject XSS sehingga si hacker dapat membuat admin dan bisa mengendalikan dashboard dari website tersebut.
Kabar buruknya hingga saat tulisan ini dibuat belum ada informasi update untuk menutup celah keamanan tersebut dari pihak developer sehingga saran terbaik adalah melakukan uninstall plugin.
Profile Builder
Plugin ini juga salah satu yang dilaporkan menjadi gerbang serangan hacker, laporan pertama mengenai serang plugin ini terjadi 24 Februari 2020 dimana sang hacker dapat membuat akun admin di website korban. Plugin ini sendiri berkategori Freemium alias tersedia versi gratisan dan versi berbayar total dari pengguna plugin tersebut sebanyak 65000 dimana 50000 menggunakan versi gratis dan 15000 menggunakan versi berbayar.
Namun berdasakan dari situ WordPress dimana versi gratisan plugin ini dapat di download bahwa sang pengembang telah melakukan pembaharuan pada tanggal 27 Februari 2020. Jadi buat para pengguna tidak perlu khawatir cukup lakukan update dengan versi terbaru maka celah keamanan telah di tutup.
Kesimpulannya untuk menjaga keamanan website anda maka jangan abaikan setiap pemberitahuan update terbaru baik itu dari sisi engine WordPress, maupun plugin dan Themes.
5 Plugin WordPress Yang Wajib Terpasang di Website Anda
5 Plugin WordPress Yang Wajib Terpasang di Website AndaDewasa ini penggunaan Wordpress sebagai platform website sudah umum digunakan, sebuah platform open source yang secara konsisten dikembangkan secara berkala. Penggunaannya pun sudah semakin meluas tidak hanya...
Apa itu BERT? Algoritma Google Terbaru dan Pengaruhnya Pada SEO
Apa itu BERT? Algoritma Google Terbaru dan Pengaruhnya Pada SEO Dunia SEO itu sangat dinamis sekali, seperti kita tau bahwa Google tidak pernah berhenti dalam mengembangkan Algoritma pencariannya. Kali ini Google merilis Algoritma terbaru yang diberi nama BERT...
Poin – Poin Penting Dalam Melakukan Optimasi SEO Onpage
Poin - Poin Penting Dalam Melakukan Optimasi SEO Onpage Beberapa minggu lalu dunia SEO benar-benar mengalami goncangan hebat akibat update algoritma Google Broad Core. Tidak sedikit yang kehilangan peringkat akibat adanya update algoritma ini, namun banyak juga...