Celah Keamanan 3 Plugin XootiX Ancam 84,000 Website Diserang!

Tutorial
_ _ admin


Vikra Alizanovic
Vikra is a digital content writer at Niagahoster. He loves to confide and engage in people on hot topics regarding blogging, lifestyle, WordPress-stuffs, and other IT gimmicks. On his free time, he loves to read and watch One Piece.



2 min read

Pada bulan November 2021, ahli keamanan WordPress menemukan celah keamanan dari tiga plugin WordPress milik XootiX, yakni Login/Signup Popup, Side Cart WooCommerce, dan Waitlist WooCommerce.

Celah keamanan ini membuat 84,000 website rentan diserang hacker. Jika Anda termasuk pengguna tiga plugin tersebut, Anda perlu waspada.

Nah, di artikel ini, kami akan menjelaskan apa yang terjadi dan solusi yang bisa Anda untuk melindungi website. Yuk, simak!

Masalah Keamanan Pada Tiga Plugin XootiX

XootiX dikenal memiliki plugin ecommerce yang baik. Sayangnya, Wordfence, perusahaan di bidang keamanan WordPress, melaporkan celah keamanan pada tiga plugin XootiX, yaitu:

  • Login/Signup Popup versi 2.2 — plugin popup untuk login dan signup yang terpasang di 20,000 website.
  • Side Cart WooCommerce versi 2.5.1 — plugin fitur keranjang belanja yang digunakan oleh 4,000 website.
  • Waitlist WooCommerce versi 2.0 — plugin wait list toko online yang terpasang pada 60,000 website.
Baca juga:   Tutorial Codeigniter #1: Pengenalan Codeigniter untuk Pemula

Mengingat banyaknya pengguna, celah keamanan tersebut tentu berdampak besar pada pengguna WordPress.

Wordfence menjelaskan celah keamanan yang ditemukan dapat membuat website rentan terhadap Cross-Site Request Forgery (CSRF), yakni serangan pada PHP yang mengeksploitasi kelemahan website dengan melakukan request tidak sah ke website.

Serangan CSRF bisa terjadi ketika administrator website dibuat melakukan aksi tertentu, misalnya mengklik sebuah link. Kemudian, pihak penyerang dapat mengambil alih akses website secara penuh melalui command atau script yang tersembunyi.

Apa Penyebab dari Masalah Keamanan Ini?

Ketiga plugin dari XootiX tersebut mendukung website yang menggunakan AJAX dengan menerapkan fungsi save_settings yang diinisiasi melalui sebuah tindakan wp_ajax

Yang menjadi masalah, siapapun bisa melakukan request tanpa adanya cek nonce (number once), yaitu proses authentication menggunakan rangkaian angka random yang serupa dengan OTP. Artinya, tidak ada validasi atas keaslian perintah.

Dengan begitu, hacker bisa berupaya membuat request yang akan memicu AJAX dan menjalankan fungsi tertentu. Jika berhasil, pengaturan pada website bisa diubah sesuka hati.

Baca juga:   11+ Trend Web Design yang Menarik dan Hits di 2020

Pada celah keamanan ini, hacker bisa memanfaatkan Arbitrary Options Update. Dengannya, hacker mampu mengubah opsi user_can_register menjadi true, dan mengubah default_role menjadi administrator. Hasilnya, mereka akan mengambil alih kontrol website secara penuh.

Solusi Masalah

Kabar baiknya, XootiX sudah meluncurkan versi terbaru dari ketiga plugin mereka untuk menutup celah keamanan tersebut.

Jadi, kalau Anda menggunakan tiga plugin tersebut, segera lakukan update menjadi:

  • Login/Signup Popup versi 2.3.
  • Waitlist WooCommerce versi 2.5.2
  • Side Cart WooCommerce versi 2.1

Langkah update plugin di atas, sebenarnya sudah cukup menjadi solusi. 

Pun demikian, untuk menghindari risiko keamanan seperti ini, pastikan plugin Anda selalu terbaru. Bagaimana caranya? 

Umumnya, pengguna WordPress bisa klik Enable auto-updates pada plugin yang ingin diperbarui secara otomatis. Langkah ini bisa dilakukan melalui dashboard WordPress.

auto update plugin wordpress

Yang menarik, pengguna layanan Niagahoster punya solusi lebih mudah, yaitu fitur Auto Update WordPress  yang bisa diaktifkan langsung dari Member Area.

Untuk mengaktifkannya, dari halaman Member Area Niagahoster, klik tab Website. Kemudian, klik opsi Auto Update pada tab WordPress Management

Baca juga:   19+ Contoh Copywriting Headline Ini Bisa Memikat Para Pembaca!
auto update member area niagahoster

Pilih opsi Lakukan Update disemua Versi yang Tersedia. Jangan lupa, aktifkan Auto Update WordPress Plugins dan Auto Update WordPress Tema. Setelah itu klik tombol Update

Kini, update untuk tema, plugin, dan core WordPress akan berjalan secara otomatis ketika sudah tersedia. Dengan begitu, website Anda akan lebih aman ketika terjadi masalah celah keamanan pada plugin.

Manfaatkan Auto Update dan Amankan Website Anda Sekarang!

Ancaman terhadap website bisa saja berasal dari plugin WordPress yang Anda gunakan. Itulah kenapa penting untuk memastikan bahwa plugin di website Anda tidak menjadi celah keamanan yang membahayakan website.

Salah satu cara yang paling efektif adalah selalu menggunakan versi plugin dan WordPress terbaru. Anda bisa mengaktifkan fitur update otomatis di dashboard WordPress atau dengan fitur Auto Update di Member Area Niagahoster

Dengan tips di atas, keamanan website WordPress Anda bisa lebih ditingkatkan. 
Pun demikian, ada banyak cara untuk mengamankan website Anda. Tak perlu bingung, kami sudah merangkumnya dalam bentuk ebook yang bisa Anda download secara gratis.

Langkah Mengamankan Website



Source link

9

Author

admin

Leave a comment

Your email address will not be published.

WeCreativez WhatsApp Support
Tim support kami di sini untuk menjawab pertanyaanmu. Tanyakan apa saja pada kami!
? Halo... ada yg bisa kami bantu?
Hai, ada yg bisa Alkindy bantu?
%d bloggers like this: