Anda menggunakan plugin WP Statistics untuk menampilkan data kunjungan di website? Jika ya, waspadalah! Belum lama ini, ditemukan celah kerentanan di plugin tersebut. Akibatnya, pihak tak berwenang dapat mengakses database website.
Isu keamanan yang menghantui WP Statistics cukup meresahkan. Alasannya, plugin ini tergolong populer dan digunakan lebih dari 600 ribu website.
Lantas, seperti apa masalah sebenarnya? Bagaimana agar website Anda tak menjadi korban celah kerentanan WP Statistics?
Baca selengkapnya di artikel kali ini!
Plugin WP Statistics Diserang SQL Injection
Pada 10 Februari 2022, layanan keamanan Wordfence mempublikasikan adanya celah keamanan di WP Statistics. Plugin ini berguna untuk menampilkan analisis dan statistik kunjungan website.
Namun sayangnya, terdapat masalah keamanan yang menyerang WP Statistics versi 13.1.4 dan versi-versi sebelumnya.
Menurut Cyku Hong, peneliti DEVCORE, isu kerentanan ini memungkinkan pengguna tak berwenang melancarkan serangan berjenis SQL Injection. Tujuannya untuk mengakses database website.
Padahal, database menyimpan segala informasi berkaitan dengan website. Termasuk yang sifatnya rahasia seperti username dan password, data pengunjung seperti IP Address dan alamatnya, atau kunci rahasia lain.
Bayangkan apabila data sensitif tersebut sampai jatuh ke tangan hackers. Mereka bisa memanfaatkannya untuk mengambil alih website. Atau bahkan, menyalahgunakan data tersebut untuk tindak kejahatan yang lebih serius!
Lantas, apa penyebab celah kerentanan di plugin WP Statistics? Jawabannya ada di poin selanjutnya!
Penyebab: Perintah SQL di Fitur Record Exclusions
Statistik kunjungan website yang ditampilkan oleh WP Statistics didapatkan dari database dengan memanfaatkan beberapa perintah SQL. Sayangnya, implementasi perintah yang tidak aman bisa memicu SQL Injection.
Dan, benar saja. Dikutip dari Wordfence, akar masalah WP Statistics disebabkan adanya celah di salah satu fitur. Yaitu, Record Exclusions yang dipakai untuk memfilter statistik website berdasarkan rentang waktu, halaman tertentu, atau kategori spesifik lain.
Di dalamnya, terdapat perintah exclusion_reason yang berguna untuk menyaring jumlah kunjungan berdasarkan role pengguna. Jadi, pemilik dan siapapun yang bisa mengakses halaman admin tidak terhitung sebagai pengunjung website.
Dengan kata lain, Anda bisa mendapatkan statistik pengunjung yang akurat.
Namun faktanya, perintah ini tidak menggunakan parameter apapun untuk menghentikan logika SQL.
Akibatnya, penyerang dapat menambahkan perintah SQL berbahaya, guna mengintip informasi sensitif di database. Caranya dengan memanfaatkan statement SQL CASE dan command SLEEP(), sambil memantau setiap respons yang muncul.
Metode ini memang cukup rumit, tapi terbukti ampuh dalam memperoleh informasi yang diinginkan di database. Apalagi, penyerang website cenderung memiliki skill hacking yang mumpuni.
Beruntung, pihak WP Statistics bergerak cepat mengatasi permasalahan ini. Temukan detailnya di poin selanjutnya!
Baca juga: Waspada Cracking: Cyber Crime Versi Lebih Jahat dari Hacking
Solusi: Update WP Statistics ke Versi Terbaru
Tak berselang lama, VeronicaLabs selaku pengembang WP Statistics langsung menambal celah kerentanan ini. Caranya dengan merilis versi 13.1.5. Bahkan saat ini, tersedia WP Statistics versi 13.1.6 dengan proteksi yang ditingkatkan.
Itulah mengapa, Anda pengguna WP Statistics diimbau untuk mengupdate plugin sekarang juga. Hal ini merupakan langkah pencegahan, agar website Anda tidak menjadi korban serangan SQL Injection.
Untuk melakukan update, caranya sangat mudah. Anda cukup mengunjungi dashboard WordPress, lalu pilih menu Updates.
Di menu ini, Anda akan melihat versi terbaru dari plugin WP Statistics. Langsung saja beri tanda checklist dan klik Update Plugins.
Update akan berlangsung, silakan tunggu prosesnya. Jika sudah, berikut tampilan yang muncul:
Selamat! Anda berhasil mengupdate WP Statistics ke versi terkini. Hasilnya, website Anda jadi terlindungi dari celah kerentanan plugin ini.
Baca juga: Segera Atasi Celah Keamanan Plugin PHP Everywhere Sekarang!
Aktifkan Auto Update, Website Lebih Aman
Update plugin WordPress memang mudah. Namun, hal ini tetap merepotkan karena Anda harus melakukannya secara manual. Untungnya, kami punya solusi praktisnya, yaitu mengaktifkan fitur Auto Update.
Fitur ini tersaji khusus untuk Anda pelanggan Niagahoster. Untuk mengaktifkannya, tinggal buka Member Area Niagahoster lalu pilih menu WordPress Management. Di sini, klik opsi Auto Update dan lakukan pengaturan seperti berikut:
Semudah itu! Fitur ini bisa Anda gunakan untuk update semua plugin, tema, bahkan core WordPress secara otomatis. Jadi, website Anda lebih aman karena selalu pakai komponen WordPress terbaru.
Pun demikian, mengupdate WordPress bukan satu-satunya cara melindungi website. Masih banyak hal yang perlu Anda lakukan, seperti yang dirangkum lengkap di Ebook 25 Langkah Mengamankan Website WordPress.
Yuk download sekarang, gratis!
Sumber:
Unauthenticated SQL Injection Vulnerability Patched in WordPress Statistics Plugin