5 Plugin WordPress Yang Memiliki Celah Keamanan Bagi Hacker

Plugin ThemeGrill Demo Import

ThemeGrill ini adalah developer pengembang themes WordPress dimana mereka juga menyediakan plugin khusus agar pengguna tidak perlu repot melakukan setup untuk menghasilkan tampilan sesuai yang mereka demokan. 

Dengan plugin ini mereka bisa otomatis melakukan import dari demo tampilan yang tersedia dan tugas selanjutnya cukup mengisi konten pada website mereka. Plugin ini sendiri memiliki jumlah pengguna lebih dari 100.000 pengguna aktif di seluruh dunia.

Kabar buruknya beberapa waktu lalu ditemukan bug yang dapat menjadi celah keamanan sehingga para hacker dapat dengan mudah mengambil alih website yang terpasang plugin tersebut, bukan hanya itu para hacker tersebut juga bisa menghapus seluruh isi website.

There’s currently a severe vuln in a wordpress plugin called “themegrill demo importer” that resetss the whole database. https://t.co/tT4xiqjna5 It seems attacks are starting: Some of the affected webpages show a wordpress “hello world”-post. /cc @webarx_security

— hanno (@hanno) February 18, 2020

Namun kabar terbaru pihak ThemeGrill telah melakukan update pada plugin mereka dengan menutup celah keamanan tersebut yaitu pada plugin versi 1.6.3. Jadi buat para pengguna plugin ini sebaiknya segera update plugin kamu ke versi yang terbaru.

Flexible Checkout Fields for WooCommerce

Plugin ini khusus untuk para pemain toko online yang menggunakan WordPress dan Woocommerce sebagai platform mereka. Fungsi plugin ini sendiri adalah untuk mengcustom formulir pemesanan pada Woocommerce.

Karena biasanya untuk setiap negara ini berbeda kebutuhan, dan biasanya mereka sudah paham betul model formulir pemesanan seperti apa yang memiliki tingkat konversi yang tinggi untuk audiens mereka. Plugin ini sendiri sudah digunakan lebih dari 20.000 pengguna aktif.

Namun lagi-lagi ditemukan kelemahan pada plugin ini dimana orang yang suka iseng bisa melakukan inject XSS payloads, sehingga mereka seolah – olah login sebagi admin. Berdasarkan keterangan di halaman plugin ini telah dilakukan pembaharuan pada tanggal 27 Februari 2020.

Async JavaScript

Dulu saya sering menggunakan plugin ini pada setiap website saya, fungsinya kurang lebih untuk mempercepat render javascript sehingga kecepatan loading website kita juga meningkat. Namun ternyata beberapa hari lalu plugin ini juga termasuk yang memiliki celah keamanan, namun sejak 2 maret 2020 telah diperbaharui oleh pengembangnya.

Kabarnya juga sudah tidak ada lagi laporan penyerangan terhadap plugin ini, jadi bisa dibilang sudah aman untuk tetap menggunakan plugin ini.

Themerex Addons

Plugin ini adalah satu paket dengan template berbayar dan pertama kali dilaporkan mengenai penyerangan dari celah kemanan plugin ini pada 18 Februari 2020 oleh Wordfence. Penyerangan yang terjadi kurang lebih sama dengan yang terjadi pada Async Javascript yaitu inject XSS sehingga si hacker dapat membuat admin dan bisa mengendalikan dashboard dari website tersebut.

Kabar buruknya hingga saat tulisan ini dibuat belum ada informasi update untuk menutup celah keamanan tersebut dari pihak developer sehingga saran terbaik adalah melakukan uninstall plugin.

Profile Builder

Plugin ini juga salah satu yang dilaporkan menjadi gerbang serangan hacker, laporan pertama mengenai serang plugin ini terjadi 24 Februari 2020 dimana sang hacker dapat membuat akun admin di website korban. Plugin ini sendiri berkategori Freemium alias tersedia versi gratisan dan versi berbayar total dari pengguna plugin tersebut sebanyak 65000 dimana 50000 menggunakan versi gratis dan 15000 menggunakan versi berbayar.

Namun berdasakan dari situ WordPress dimana versi gratisan plugin ini dapat di download bahwa sang pengembang telah melakukan pembaharuan pada tanggal 27 Februari 2020. Jadi buat para pengguna tidak perlu khawatir cukup lakukan update dengan versi terbaru maka celah keamanan telah di tutup.

Kesimpulannya untuk menjaga keamanan website anda maka jangan abaikan setiap pemberitahuan update terbaru baik itu dari sisi engine WordPress, maupun plugin dan Themes.