Pengumuman sangat penting bagi Anda pengguna plugin Elementor. Belum lama ini, terkuak adanya isu kerentanan di plugin yang berfungsi untuk mendesain website tersebut. Akibatnya, pengunjung tidak berwenang bisa saja mengambil alih website!
Celah kerentanan yang menghantui Elementor ini sangatlah berbahaya. Apalagi, Elementor termasuk salah satu plugin terpopuler sejagat WordPress, dan diinstall di lebih dari 5 juta website!
Lantas, seperti apa detail kejadian sebenarnya? Bagaimana cara melindungi website Anda dari masalah keamanan Elementor? Ini dia informasi selengkapnya!
Plugin Elementor Diserang Isu Kerentanan RCE
Pada tanggal 29 Maret 2022 lalu, layanan keamanan Wordfence melaporkan adanya celah kerentanan di Elementor, sebuah plugin WordPress populer untuk mendesain tampilan website dengan cara drag & drop.
Menurut tim Wordfence, isu ini menyerang versi Elementor yang terbilang baru. Yaitu, versi 3.6.0 yang rilis 22 Maret 2022, hingga 3.6.2 yang diluncurkan pada 4 April 2022 lalu.
Celah kerentanan Elementor ini bahkan dilabeli dengan skor 9.9, yang artinya sangat berbahaya. Alasannya, celah ini memungkinkan pengguna dengan role minimal Subscriber melancarkan serangan jenis Remote Code Execution (RCE). RCE sendiri adalah salah satu isu kerentanan paling mengerikan saat ini.
Dengan RCE, penyerang dapat mengeksekusi kode berbahaya ke website dari jarak jauh. Jika berhasil, mereka bisa menanamkan malware, mengambil alih website, bahkan mengakses data sensitif di server.
Lantas, apa sebenarnya penyebab celah kerentanan plugin Elementor? Jawabannya ada di poin berikutnya!
Penyebab Masalah: Kelemahan di Modul Onboarding
Penyebab utama isu keamanan Elementor adalah implementasi modul Onboarding yang tidak aman. Padahal sejatinya, modul yang baru dikenalkan di Elementor 3.6.0 ini dibuat untuk memudahkan pengguna melakukan setting awal plugin.
Namun sayangnya, modul Onboarding tidak memberlakukan pemeriksaan kapabilitas sama sekali. Padahal, pemeriksaan ini sangat diperlukan untuk mendeteksi hak akses seorang pengguna.
Lebih parahnya, modul ini justru menambahkan fungsi admin_init di salah satu perintah AJAX. Akibatnya fatal, Ajax::NONCE_KEY yang merupakan salah satu kunci keamanan dapat dieksploitasi dengan mudah.
Jika sudah mendapatkan NONCE_KEY, penyerang dapat menyusup ke website lewat berbagai cara. Namun yang paling berbahaya dengan memanfaatkan fungsi bernama upload_and_install pro.
Fungsi ini memungkinkan penyerang menginstall file plugin Elementor Pro palsu berekstensi ZIP. Nah, proses instalasi ini sekaligus menjalankan kode berbahaya yang ditanamkan.
Selanjutnya bisa ditebak, website korban akan jatuh ke tangan penyerang. Bahkan, semua data yang tersimpan di server, termasuk data sensitif seperti password atau detail kartu kredit, dapat diakses pihak tak bertanggung jawab dengan mudah.
Untungnya, pihak Elementor kini sudah berhasil mengatasi isu kerentanan ini. Seperti apa detailnya? Mari menuju poin selanjutnya!
Solusi Mutlak: Update Elementor Versi Terbaru
Berselang dua minggu sejak masalah ini merebak, tim pengembang Elementor merilis versi terbarunya, Elementor 3.6.3 yang fokus menambal isu kerentanan. Bahkan saat ini, sudah tersedia Elementor 3.6.4 dengan proteksi yang ditingkatkan.
Itulah mengapa, Anda pengguna plugin Elementor diimbau untuk update plugin ini sekarang juga. Hal ini merupakan langkah pencegahan, agar website Anda tidak jatuh ke tangan yang salah.
Untungnya cara mengupdate plugin sangatlah mudah. Anda cukup login ke dashboard WordPress, lalu klik menu Updates di sidebar.
Di sini, Anda akan melihat versi terbaru dari plugin Elementor. Tak usah membuang waktu, langsung saja klik tanda checklist dan pilih Update Plugins.
Update plugin akan berlangsung, Anda tinggal menunggu prosesnya. Jika berhasil, Anda akan melihat tampilan berikut:
Mudah bukan cara update plugin Elementor? Pun demikian, cara ini sebenarnya agak merepotkan. Sebab, Anda harus melakukan pengecekan berkala dan mengupdate secara manual.
Untungnya kami punya solusi praktisnya, nih. Yaitu, dengan mengaktifkan fitur Auto Update WordPress. Fitur ini kami sajikan secara khusus untuk Anda pelanggan setia Niagahoster.
Cara mengaktifkannya tak kalah gampang. Anda tinggal berkunjung ke Member Area Niagahoster. Kemudian, klik menu Kelola Hosting di website yang menggunakan WordPress.
Jika sudah, pilih tab WP Management lalu pilih menu Auto Update. Di sini, lakukan konfigurasi seperti berikut:
Gampang banget kan? Selain plugin, fitur Auto Update ini juga bisa Anda pakai untuk mengupdate tema dan versi WordPress secara otomatis. Hasilnya, website Anda jadi lebih aman karena komponen WordPress selalu baru.
Ingin Website Lebih Aman? Simak Informasi Berikut!
Masalah keamanan di internet bisa muncul dari mana saja. Bahkan dari plugin populer sekelas Elementor. Untung saja, Anda telah memahami detail celah kerentanan yang menyerang plugin Elementor tersebut.
Anda juga telah mempraktikkan solusi mengamankan website, seperti mengaktifkan fitur Auto Update. Namun selain itu, ada satu hal lagi yang wajib Anda perhatikan, yaitu faktor keamanan layanan hosting Anda.
Sebab serajin apapun Anda menjaga keamanan website. Misalnya rutin mengupdate WordPress atau menginstall plugin keamanan. Hal tersebut tidak akan berpengaruh banyak, jika layanan hosting yang Anda gunakan sendiri tidaklah aman.
Maka dari itu, Niagahoster bisa jadi pilihan. Tersedia paket WordPress Hosting yang dirancang khusus untuk website WordPress, serta dilengkapi fitur keamanan mutakhir.
Satu yang paling menonjol adalah Imunify360. Imunify360 bekerja secara realtime menghalau segala jenis serangan, seperti malware, sebelum sempat menjangkiti website Anda. Yang jelas, website Anda jadi semakin aman.
Tunggu apa lagi, yuk cobain layanan WordPress Hosting Niagahoster sekarang juga!
Sumber: