5 Plugin WordPress Yang Memiliki Celah Keamanan Bagi Hacker

plugin wordpress

Tidak dapat dipungkiri bahwa saat ini WordPress adalah platform website opensource yang paling banyak digunakan oleh masyarakat di seluruh dunia. Selain menawarkan kemudahan dalam proses instalasi dan manajemen konten platform ini juga memberikan kebebasan bagi siapapun untuk mengubah dan mengedit sesuai kebutuhan mereka.
Selain itu pihak pengembang dari WordPress rutin melakukan pengembangan dan saat tulisan ini dibuat WordPress sudah pada versi 5.3.2, yang jika dibandingkan dengan saat awal kemunculannya di public WordPress saat ini sudah banyak sekali penambahan fitur yang semakin memudahkan bagi para penggunanya.

Sementara itu WordPress juga di dukung oleh ribuan pengembang dalam menyediakan template / themes dan plugin, sehingga dengan ini menjadikan WordPress adalah platform yang sangat fleksibel, bisa jadi blog, bisa jadi website company profile, web toko online, web learning management system, dan masih banyak lagi.

Meski begitu namanya platform opensource membuat semua orang dapat melihat source code atau struktur kode pemrograman sehingga sangat mungkin bagi setiap programmer untuk menemukan celah keamanan dari platform WordPress ini bahkan dari sisi plugin dan template juga.

Berikut ini 8 Plugin populer yang memiliki celah keamanan untuk dimanfaatkan oleh para hacker.

Plugin ThemeGrill Demo Import

ThemeGrill ini adalah developer pengembang themes WordPress dimana mereka juga menyediakan plugin khusus agar pengguna tidak perlu repot melakukan setup untuk menghasilkan tampilan sesuai yang mereka demokan. 

Dengan plugin ini mereka bisa otomatis melakukan import dari demo tampilan yang tersedia dan tugas selanjutnya cukup mengisi konten pada website mereka. Plugin ini sendiri memiliki jumlah pengguna lebih dari 100.000 pengguna aktif di seluruh dunia.

Kabar buruknya beberapa waktu lalu ditemukan bug yang dapat menjadi celah keamanan sehingga para hacker dapat dengan mudah mengambil alih website yang terpasang plugin tersebut, bukan hanya itu para hacker tersebut juga bisa menghapus seluruh isi website.

There’s currently a severe vuln in a wordpress plugin called “themegrill demo importer” that resetss the whole database. https://t.co/tT4xiqjna5 It seems attacks are starting: Some of the affected webpages show a wordpress “hello world”-post. /cc @webarx_security

— hanno (@hanno) February 18, 2020

Namun kabar terbaru pihak ThemeGrill telah melakukan update pada plugin mereka dengan menutup celah keamanan tersebut yaitu pada plugin versi 1.6.3. Jadi buat para pengguna plugin ini sebaiknya segera update plugin kamu ke versi yang terbaru.

Flexible Checkout Fields for WooCommerce

Plugin ini khusus untuk para pemain toko online yang menggunakan WordPress dan Woocommerce sebagai platform mereka. Fungsi plugin ini sendiri adalah untuk mengcustom formulir pemesanan pada Woocommerce.

Karena biasanya untuk setiap negara ini berbeda kebutuhan, dan biasanya mereka sudah paham betul model formulir pemesanan seperti apa yang memiliki tingkat konversi yang tinggi untuk audiens mereka. Plugin ini sendiri sudah digunakan lebih dari 20.000 pengguna aktif.

Namun lagi-lagi ditemukan kelemahan pada plugin ini dimana orang yang suka iseng bisa melakukan inject XSS payloads, sehingga mereka seolah – olah login sebagi admin. Berdasarkan keterangan di halaman plugin ini telah dilakukan pembaharuan pada tanggal 27 Februari 2020.

Async JavaScript

Dulu saya sering menggunakan plugin ini pada setiap website saya, fungsinya kurang lebih untuk mempercepat render javascript sehingga kecepatan loading website kita juga meningkat. Namun ternyata beberapa hari lalu plugin ini juga termasuk yang memiliki celah keamanan, namun sejak 2 maret 2020 telah diperbaharui oleh pengembangnya.

Kabarnya juga sudah tidak ada lagi laporan penyerangan terhadap plugin ini, jadi bisa dibilang sudah aman untuk tetap menggunakan plugin ini.

Themerex Addons

Plugin ini adalah satu paket dengan template berbayar dan pertama kali dilaporkan mengenai penyerangan dari celah kemanan plugin ini pada 18 Februari 2020 oleh Wordfence. Penyerangan yang terjadi kurang lebih sama dengan yang terjadi pada Async Javascript yaitu inject XSS sehingga si hacker dapat membuat admin dan bisa mengendalikan dashboard dari website tersebut.

Kabar buruknya hingga saat tulisan ini dibuat belum ada informasi update untuk menutup celah keamanan tersebut dari pihak developer sehingga saran terbaik adalah melakukan uninstall plugin.

Profile Builder

Plugin ini juga salah satu yang dilaporkan menjadi gerbang serangan hacker, laporan pertama mengenai serang plugin ini terjadi 24 Februari 2020 dimana sang hacker dapat membuat akun admin di website korban. Plugin ini sendiri berkategori Freemium alias tersedia versi gratisan dan versi berbayar total dari pengguna plugin tersebut sebanyak 65000 dimana 50000 menggunakan versi gratis dan 15000 menggunakan versi berbayar.

Namun berdasakan dari situ WordPress dimana versi gratisan plugin ini dapat di download bahwa sang pengembang telah melakukan pembaharuan pada tanggal 27 Februari 2020. Jadi buat para pengguna tidak perlu khawatir cukup lakukan update dengan versi terbaru maka celah keamanan telah di tutup.

Kesimpulannya untuk menjaga keamanan website anda maka jangan abaikan setiap pemberitahuan update terbaru baik itu dari sisi engine WordPress, maupun plugin dan Themes. 

Negative SEO​

Negative SEO​

Negative SEO Sejak Google melakukan update algoritma Panda kemudian Pinguin dan yang terakhir ini adalah Humingbird, Google benar-benar menyeleksi kualitas link building suatu site sehingga jika ada yang dianggap over optimize maka bukan malah mendapatkan ranking yang...

Pentingnya Social Signal​

Pentingnya Social Signal​

Pentingnya Social Signal Dunia SEO adalah dunia yang dinamis, sejak pertama kali SEO diperkenalkan hingga kini sudah banyak sekali perubahan dalam aturan main pengoptimasian website pada search engine. Jika dahulu SEO itu hanyalah melakukan optimasi keyword pada meta...

Hapus Konten Berkualitas Rendah​

Hapus Konten Berkualitas Rendah​

Hapus Konten Berkualitas Rendah Anda pasti sudah tau mengenai Google Panda Update dimana lebih mementingkan halaman yang memiliki kualitas konten yang tinggi, namun jika anda memiliki satu website yang ternyata ada satu saja halaman yang memiliki konten dengan...