2 min read
Lebih dari 800.000 website di internet rentan mendapat serangan berbahaya! Ancaman tersebut disebabkan adanya celah keamanan pada plugin All in One SEO, salah satu plugin WordPress populer.
Jika Anda pengguna plugin tersebut, Anda perlu segera melakukan langkah mengamankan website Anda. Bagaimana caranya?
Tenang, Anda ada di tempat yang tepat. Kami akan menjelaskan penyebab ancaman All in One SEO dan langkah jitu mengatasinya. Baca artikel ini hingga selesai ya!
Celah Keamanan Plugin All in One SEO WordPress
Marc Montpas, peneliti keamanan dari Automattic, mengungkapkan adanya dua celah keamanan yang menghantui pengguna plugin All in One SEO, yaitu:
1. Authenticated Privilege Escalation Bug (CVE-2021-25036)
Authenticated Privilege Escalation Bug memungkinkan penyusup mengambil alih akses admin di website Anda. Escalation Bug ini menyerang beberapa versi All in One SEO, seperti versi 4.00 dan 4.1.5.2.
Penyebab ancaman ini sebenarnya sepele. Ketika website Anda menerapkan pemeriksaan otentikasi di REST API, penyusup dapat menembusnya hanya dengan mengubah satu karakter, dari kecil ke besar, sehingga mendapat akses admin.
Meski penyebabnya sepele, dampaknya sangat serius. Setelah mendapat akses admin, penyusup otomatis menguasai website. Hasilnya, mereka bisa mereset password, mengacak-acak isi website, sampai menggunakannya untuk kegiatan apapun sesuai tujuan mereka.
2. Authenticated SQL Injection (CVE-2021-25036)
Authenticated SQL Injection memungkinkan penyusup mencuri informasi sensitif yang disimpan di database, contohnya data pengguna. SQL Injection mengincar pengguna All in One SEO versi 4.1.3.1 dan 4.1.5.2.
Penyebab ancaman ini masih berhubungan dengan poin sebelumnya. Setelah penyusup menembus website lewat REST API, mereka bisa mengakses titik akhirnya (EndPoint). Nah, di EndPoint REST API ini penyusup dapat mengirimkan perintah SQL berbahaya ke database.
Seperti yang diketahui, database website digunakan untuk menyimpan berbagai informasi, termasuk yang sifatnya sensitif. Oleh sebab itu, ancaman ini juga tergolong serius. Informasi yang dicuri dari database bisa penyusup gunakan untuk berbagai tujuan seperti menipu orang lain dengan memalsukan identitas Anda.
Update Plugin All in One SEO Anda Sekarang!
Terkait masalah keamanan yang ditimbulkan, pengembang All in One SEO bertindak cepat. Mereka meluncurkan update terbaru, yaitu versi 4.1.5.3, yang terbukti berhasil mengatasi kedua masalah keamanan di atas.
Sayangnya, belum semua pengguna telah mengupdate plugin yang satu ini ke versi terbaru. Tercatat, sekitar 820.000 website masih memakai All in One SEO versi lama, sehingga sangat rentan mendapat ancaman merugikan.
Anda tentu tidak terhindar dari risiko berbahaya tersebut, kan? Untuk itu, segera update plugin All in One SEO sekarang juga!
Berikut langkah mudah mengupdate plugin tersebut:
1. Kunjungi dashboard WordPress Anda. Kemudian, pilih menu Updates.
2. Anda akan melihat versi terbaru All in One SEO. Setelahnya, klik View version details.
3. Akan muncul pop-up seperti berikut. Klik tombol Install Update Now.
4. Silakan tunggu prosesnya. Jika sudah berhasil, Anda akan melihat tampilan berikut:
5. Jika tak ingin repot mengupdate plugin setiap versi terbaru muncul, Anda bisa mengaktifkan auto update. Caranya klik Go to Plugins Page > Enable Auto Update.
Selesai! Anda telah berhasil mengaktifkan auto update All in One SEO. Kini, website Anda semakin aman dari isu keamanan plugin tersebut.
Baca juga: 10 Isu Keamanan yang Wajib Diwaspadai Toko Online + Solusinya!
Amankan Website Anda dengan Auto Update!
Mengupdate plugin melalui WordPress itu mudah. Namun, bagi pengguna Niagahoster, ada fitur Auto Update WordPress yang membuat langkah update jadi jauh lebih mudah.
Caranya, di halaman Member Area Niagahoster, klik Kelola Hosting di website yang menggunakan WordPress. Kemudian, buka tab WP Management dan pilih Auto Update:
Lebih mudah bukan? Fitur Auto Update ini bisa Anda gunakan untuk mengupdate plugin, tema, bahkan core WordPress secara otomatis. Dengan begitu, website Anda jadi lebih aman karena selalu menggunakan versi terbaru.
Pun demikian, langkah update hanyalah sebagian kecil dari cara mengamankan website. Masih banyak hal yang perlu Anda lakukan, seperti mengaktifkan SSL dan memasang Firewall.
Untuk lebih lengkapnya, Anda bisa membaca ebook Panduan Lengkap Mengamankan WordPress. Yuk download gratis sekarang juga!
