1 min read
Lebih dari 600 ribu website yang menggunakan plugin Elementor rentan menjadi sasaran hacker. Sebab, ada celah keamanan yang rentan serangan RCE (Remote Command Execution) di plugin tersebut.
Pengguna plugin Elementor disarankan untuk segera melakukan update.
Nah, di artikel ini, kami akan menjelaskan apa yang terjadi, serta solusi yang perlu diambil untuk menanggulangi celah keamanan ini.
Celah Keamanan pada Plugin Elementor
Celah keamanan pada plugin Essential Addons for Elementor ini memungkinkan hacker melakukan local file inclusion (LFI) untuk menjalankan perintah tertentu.
Nantinya, hacker bisa memasukkan file yang mengandung kode PHP berbahaya ke sistem website. Dengan begitu, mereka dapat memanfaatkannya untuk melakukan serangan RCE (Remote Command Execution).
Sebuah serangan RCE bisa mengambil alih kontrol sistem website. Akibatnya, pelaku bisa merubah, menambah, atau menghapus file-file penting pada website.
Peneliti keamanan siber, Wai Yan Myo Thet, menemukan celah keamanan ini pada plugin Elementor versi 5.0.4 dan versi-versi sebelumnya.
Adanya celah keamanan ini cukup disayangkan mengingat Essential Addons for Elementor bisa membantu pengguna WordPress menata komponen website tanpa coding.
Apa Penyebab Celah Keamanan Elementor?
Sumber celah keamanan plugin ini berasal dari widget “dynamic gallery” dan “product gallery”, yang menggunakan fungsi ajax_load_more dan ajax_eael_product_gallery.
Ketika widget tersebut aktif, ada celah untuk menjalankan perintah dengan nonce token, atau tanpa verifikasi. Dengan begitu, hacker bisa memanfaatkan celah tersebut dan melakukan LFI.
Jadi, penyerang dapat mengakses website sasaran dengan serangan RCE, tanpa perlu login. Dengan melakukan injeksi kode PHP ke dalam website, sistem bisa diambil alih dengan mudah
Solusi yang Perlu Anda Lakukan
Pengembang plugin sudah merilis dua kali patch update: 5.0.3 dan 5.0.4. Namun, baru pada patch update versi 5.0.5, celah keamanan itu bisa teratasi.
Nah, karena saat artikel ini ditulis, plugin Addons for Elementor sudah merilis versi 5.0.7, sebaiknya Anda menggunakan versi yang paling baru, yang lebih aman.
Bagaimana caranya?
Anda dapat melakukan update secara manual dari Dashboard WordPress melalui menu Updates. Kemudian cek apakah ada plugin yang perlu diupdate pada bagian Plugins.
Khusus untuk menghadapi serangan seperti pada plugin Elementor ini, Anda bisa menerapkan beberapa langkah ini:
- Simpan file path Anda di database yang aman dan beri ID pada tiap file path.
- Gunakan file allowlist yang terverifikasi dan aman
- Hindari memasukkan file yang rentan dibobol dalam server website.
- Atur agar server mengirim header download secara otomatis, bukan di direktori tertentu.
Selalu Update Plugin WordPress ke Versi Terbaru!
Celah keamanan bisa saja muncul dari plugin populer seperti Elementor. Dengan jumlah pengguna yang banyak, dampak keamanannya juga besar, kan?
Oleh karena itu, penting untuk memastikan website Anda menggunakan versi WordPress, plugin dan tema yang terupdate.
Untungnya, bagi pengguna layanan Niagahoster, Anda bisa menikmati fitur Auto Update WordPress tanpa ribet update manual. Fitur ini memastikan plugin, tema, serta core WordPress Anda selalu terupdate secara otomatis.
Cara aktivasinya juga mudah, cukup klik tab Website pada halaman Member Area Niagahoster. Kemudian, klik opsi Auto Update pada tab WordPress Management.
Selanjutnya, pilih opsi Lakukan Update disemua Versi yang Tersedia dan aktifkan toggle Auto update WordPress Plugins dan Auto update WordPress Tema. Kemudian, tinggal klik tombol Update.
Dengan kondisi selalu terupdate, website Anda dapat lebih terlindungi dari berbagai celah keamanan WordPress.
Namun, melakukan update saja kadang tidak cukup mengingat banyaknya aksi kejahatan online. Agar lebih aman, lakukanlah langkah pengamanan tambahan. Apa saja?
Kami sudah merangkumnya secara lengkap dalam ebook gratis Langkah Ampuh Mengamankan Website WordPress.
