Tutorial

Anda menggunakan plugin WP Statistics untuk menampilkan data kunjungan di website? Jika ya, waspadalah! Belum lama ini, ditemukan celah kerentanan di plugin tersebut. Akibatnya, pihak tak berwenang dapat mengakses database website.

Isu keamanan yang menghantui WP Statistics cukup meresahkan. Alasannya, plugin ini tergolong populer dan digunakan lebih dari 600 ribu website.

Lantas, seperti apa masalah sebenarnya? Bagaimana agar website Anda tak menjadi korban celah kerentanan WP Statistics?

Baca selengkapnya di artikel kali ini!

Plugin WP Statistics Diserang SQL Injection

plugin wp statistics

Pada 10 Februari 2022, layanan keamanan Wordfence mempublikasikan adanya celah keamanan di WP Statistics. Plugin ini berguna untuk menampilkan analisis dan statistik kunjungan website.

Namun sayangnya, terdapat masalah keamanan yang menyerang WP Statistics versi 13.1.4 dan versi-versi sebelumnya.

Menurut Cyku Hong, peneliti DEVCORE, isu kerentanan ini memungkinkan pengguna tak berwenang melancarkan serangan berjenis SQL Injection. Tujuannya untuk mengakses database website.

Padahal, database menyimpan segala informasi berkaitan dengan website. Termasuk yang sifatnya rahasia seperti username dan password, data pengunjung seperti IP Address dan alamatnya, atau kunci rahasia lain.

Bayangkan apabila data sensitif tersebut sampai jatuh ke tangan hackers. Mereka bisa memanfaatkannya untuk mengambil alih website. Atau bahkan, menyalahgunakan data tersebut untuk tindak kejahatan yang lebih serius!

Baca juga:   WordPress Hosting vs Simple WordPress: Ketahui Perbedaannya!

Lantas, apa penyebab celah kerentanan di plugin WP Statistics? Jawabannya ada di poin selanjutnya!

Penyebab: Perintah SQL di Fitur Record Exclusions

Statistik kunjungan website yang ditampilkan oleh WP Statistics didapatkan dari database dengan memanfaatkan beberapa perintah SQL. Sayangnya, implementasi perintah yang tidak aman bisa memicu SQL Injection.

Dan, benar saja. Dikutip dari Wordfence, akar masalah WP Statistics disebabkan adanya celah di salah satu fitur. Yaitu, Record Exclusions yang dipakai untuk memfilter statistik website berdasarkan rentang waktu, halaman tertentu, atau kategori spesifik lain.

Di dalamnya, terdapat perintah exclusion_reason yang berguna untuk menyaring jumlah kunjungan berdasarkan role pengguna. Jadi, pemilik dan siapapun yang bisa mengakses halaman admin tidak terhitung sebagai pengunjung website.

Dengan kata lain, Anda bisa mendapatkan statistik pengunjung yang akurat.

fitur record exclusions

Namun faktanya, perintah ini tidak menggunakan parameter apapun untuk menghentikan logika SQL.

Akibatnya, penyerang dapat menambahkan perintah SQL berbahaya, guna mengintip informasi sensitif di database. Caranya dengan memanfaatkan statement SQL CASE dan command SLEEP(), sambil memantau setiap respons yang muncul.

Metode ini memang cukup rumit, tapi terbukti ampuh dalam memperoleh informasi yang diinginkan di database. Apalagi, penyerang website cenderung memiliki skill hacking yang mumpuni.

Baca juga:   24+ Parallax Website Terbaik 2020 untuk Inspirasi Anda

Beruntung, pihak WP Statistics bergerak cepat mengatasi permasalahan ini. Temukan detailnya di poin selanjutnya!

Baca juga: Waspada Cracking: Cyber Crime Versi Lebih Jahat dari Hacking

Solusi: Update WP Statistics ke Versi Terbaru

Tak berselang lama, VeronicaLabs selaku pengembang WP Statistics langsung menambal celah kerentanan ini. Caranya dengan merilis versi 13.1.5. Bahkan saat ini, tersedia WP Statistics versi 13.1.6 dengan proteksi yang ditingkatkan.

Itulah mengapa, Anda pengguna WP Statistics diimbau untuk mengupdate plugin sekarang juga. Hal ini merupakan langkah pencegahan, agar website Anda tidak menjadi korban serangan SQL Injection.

Untuk melakukan update, caranya sangat mudah. Anda cukup mengunjungi dashboard WordPress, lalu pilih menu Updates.

dashboard wordpress update

Di menu ini, Anda akan melihat versi terbaru dari plugin WP Statistics. Langsung saja beri tanda checklist dan klik Update Plugins.

versi terbaru plugin wp statistics

Update akan berlangsung, silakan tunggu prosesnya. Jika sudah, berikut tampilan yang muncul:

update plugin wp statistics berhasil

Selamat! Anda berhasil mengupdate WP Statistics ke versi terkini. Hasilnya, website Anda jadi terlindungi dari celah kerentanan plugin ini.

Baca juga:   Cara Instal WordPress di Subdomain

Baca juga: Segera Atasi Celah Keamanan Plugin PHP Everywhere Sekarang!

Aktifkan Auto Update, Website Lebih Aman

Update plugin WordPress memang mudah. Namun, hal ini tetap merepotkan karena Anda harus melakukannya secara manual. Untungnya, kami punya solusi praktisnya, yaitu mengaktifkan fitur Auto Update.

Fitur ini tersaji khusus untuk Anda pelanggan Niagahoster. Untuk mengaktifkannya, tinggal buka Member Area Niagahoster lalu pilih menu WordPress Management. Di sini, klik opsi Auto Update dan lakukan pengaturan seperti berikut:

auto update wordpress niagahoster

Semudah itu! Fitur ini bisa Anda gunakan untuk update semua plugin, tema, bahkan core WordPress secara otomatis. Jadi, website Anda lebih aman karena selalu pakai komponen WordPress terbaru.

Pun demikian, mengupdate WordPress bukan satu-satunya cara melindungi website. Masih banyak hal yang perlu Anda lakukan, seperti yang dirangkum lengkap di Ebook 25 Langkah Mengamankan Website WordPress.

Yuk download sekarang, gratis!

download-ebook-mengamankan-website

Sumber:
Unauthenticated SQL Injection Vulnerability Patched in WordPress Statistics Plugin

Source link

Author

admin

Leave a comment

Your email address will not be published.

%d bloggers like this: