WordPress kembali diterpa masalah keamanan! Yang terbaru, ditemukan celah kerentanan di core atau inti WordPress. Akibatnya, pengguna tingkat rendah seperti Contributor dapat menyuntikkan kode JavaScript berbahaya ke postingan blog.
Isu keamanan ini jelas meresahkan. Selain karena level kerentanannya cukup tinggi, WordPress juga merupakan CMS terpopuler yang dipakai jutaan pengguna. Akibatnya, jutaan website terancam direbut oleh hacker!
Lantas, seperti apa detail kejadian yang satu ini? Bagaimana cara melindungi website dari celah kerentanan core WordPress?
Temukan jawabannya di artikel kali ini!
Masalah Keamanan Core WordPress 5.9.0 dan 5.9.1
Pada 10 Maret 2022 lalu, layanan keamanan WordFence mengabarkan adanya masalah keamanan WordPress, tepatnya di file core. Isu ini menyerang dua versi WordPress yang masih tergolong baru, yaitu 5.9.0 dan 5.9.1.
Celah kerentanan ini merupakan yang ke dua dialami WordPress dalam kurun waktu dua bulan. Sebelumnya, WordPress versi 3.7 hingga 5.8 juga mengalami masalah di file core, akibat kesalahan pengembangan dari tim internal WordPress.
Sementara itu, masalah core WordPress yang satu ini memungkinkan pengguna tingkat rendah tapi bisa mengakses panel admin, seperti Contributor, menambahkan kode JavaScript berbahaya sembari menyumbangkan postingan blog.
Sedikit gambaran, Contributor adalah role pengguna yang dapat membuat, mengedit, dan menghapus postingan sendiri di WordPress. Namun, mereka harus menunggu izin Administrator agar dapat menayangkan postingan tersebut.
Nah, kode berbahaya yang disuntikan Contributor bisa berupa link menuju website berbahaya yang menyimpan phising atau malware. Sehingga, dapat dengan mudah menjebak siapapun yang mengklik link tersebut.
Untungnya hingga saat ini, belum ada kejadian nyata menimpa pengguna terkait masalah tersebut. Namun yang jelas, hal ini merepotkan pengguna dengan role di atas Contributor, seperti Editor atau Administrator.
Alasannya, mereka harus mereview setiap postingan yang disumbangkan Contributor. Sekaligus, memastikan tidak ada script berbahaya dalam bentuk apapun di postingan yang hendak diterbitkan.
Lalu, seperti apa detail masalah keamanan yang menimpa core WordPress dan bagaimana cara kerjanya? Langsung saja menuju poin selanjutnya.
Baca juga: Celah Kerentanan Plugin WP Statistics Ancam 600 Ribu Website!
Analisis Masalah Kerentanan Core WordPress
Dikutip Wordfence, terdapat dua celah kerentanan yang mengincar file core di WordPress 5.9.0 dan 5.9.1, yaitu:
1. Contributor+ Stored Cross Site Scripting (XSS)
Cross Site Scripting (XSS) adalah masalah keamanan yang memungkinkan penyerang menyuntikkan kode berbahaya menggunakan sarana halaman website. Dalam kasus ini, sarana yang dipakai adalah halaman postingan blog.
Sementara itu, Stored XSS adalah jenis XSS yang paling berbahaya. Alasannya, kode yang disuntikkan dapat tersimpan secara permanen di website milik korban. Nah, bagaimana cara kerjanya?
Pada dasarnya, WordPress menggunakan fungsi wp_filter_post_kses untuk menghalau setiap perintah berbahaya. Kebetulan, beberapa versi terbaru WordPress memakai fungsi wp_filter_global_styles_post untuk tujuan yang sama.
Sayangnya, fungsi wp_filter_global_styles_post dijalankan setelah wp_filter_post_kses. Hal ini menyebabkan beberapa kode berbahaya dapat dengan mudah melewati wp_filter_post_kses, memanfaatkan pengulangan kedua decoding JSON.
Intinya, penyerang dapat menginjeksi kode JavaScript berbahaya sembari membuat atau mengedit postingan blog. Selanjutnya, perintah JavaScript akan otomatis berjalan ketika Administrator mereview postingan tersebut.
Pada akhirnya, JavaScript yang disuntikkan penyerang dapat menjangkiti seluruh komponen website korban. Termasuk di dalamnya, menyerang database website yang disimpan di server hosting.
Baca juga: Masalah Keamanan Plugin UpdraftPlus Hantui 3 Juta Website!
2. Prototype Pollution
Prototype Pollution adalah jenis kerentanan di mana penyerang dapat membuat value palsu ke dalam obyek JavaScript. Sebenarnya, celah yang satu ini lebih berbahaya jika menjangkiti website berbasis Node.js.
Untung saja, WordPress adalah CMS berbasis PHP. Sehingga, serangan Prototype Pollution di WordPress tidak seberbahaya Stored XSS. Meski begitu, ia patut diwaspadai karena mampu menjangkiti dua komponen berbeda.
Yaitu, paket Gutenberg wordpress/url dan library jQuery. Cara kerjanya sama persis, yakni memanfaatkan kelengahan pengguna yang mengklik link berbahaya yang ditanamkan di postingan blog.
Dampaknya, penyerang dapat mengambil alih website korban. Hal ini tentunya dapat terjadi, hanya jika terdapat celah keamanan lain di website tersebut. Misalnya, dari penggunaan plugin atau tema versi lawas.
Beruntung, tim internal WordPress bertindak cepat dengan menambal dua celah kerentanan di atas. Seperti apa detailnya? Yuk baca bagian berikutnya!
Baca juga: Segera Atasi Celah Keamanan Plugin PHP Everywhere Sekarang!
Solusi Mutlak: Update ke WordPress 5.9.2
Berselang satu hari, tepatnya 11 Maret 2022, pihak WordPress langsung meluncurkan update terbaru. Yakni, WordPress 5.9.2 yang fokus dalam memperbaiki bug dan mengatasi masalah keamanan yang ada.
Mengingat ini adalah update keamanan, pihak WordPress mengimbau Anda untuk segera mengupdate versi WordPress sekarang juga. Gunanya untuk mencegah dampak buruk yang mungkin terjadi dari setiap celah kerentanan.
Untuk mengupdate WordPress, caranya sangat mudah. Cukup kunjungi Dashboard WordPress Anda, lalu pilih menu Updates di Sidebar sebelah kiri.
Di halaman Updates, akan muncul versi terbaru WordPress. Langsung saja, klik tombol Update to version 5.9.2.
Update core WordPress akan berlangsung, silakan tunggu prosesnya. Jika berhasil, Anda akan melihat tampilan berikut:
Bagaimana, mudah sekali bukan mengupdate WordPress ke versi terbaru? Kini, website Anda jadi lebih aman dari dua celah kerentanan core WordPress.
Baca juga: Waspadai Celah Keamanan Plugin Elementor! 600+ Ribu Website Terancam!
Ingin Lebih Aman? Aktifkan Auto Update WordPress
Mengupdate core WordPress memang mudah. Namun terkadang, hal ini cukup merepotkan. Alasannya, Anda harus melakukannya secara manual, tiap kali versi terbaru WordPress dirilis.
Untungnya sekarang ada solusi praktisnya, yaitu dengan mengaktifkan fitur Auto Update WordPress. Fitur ini kami sajikan khusus bagi Anda pelanggan setia Niagahoster.
Cara mengaktifkannya tak kalah gampang. Anda tinggal mengakses Member Area Niagahoster > WP Management. Di halaman ini, klik opsi Auto Update dan lakukan konfigurasi seperti berikut:
Selain berguna untuk mengupdate versi WordPress, fitur yang satu ini juga bisa Anda manfaatkan untuk update semua tema dan plugin yang terinstall di website loh! Praktis banget kan?
Hasilnya, website jadi lebih terlindungi karena selalu memakai komponen WordPress terbaru. Ingin website Anda lebih aman? Praktikkan Panduan Lengkap 25 Langkah Ampuh Mengamankan Website WordPress dari kami.
Yuk download Ebook ini sekarang juga, gratis!
Sumber:
WordPress 5.9.2 Security Update Fixes XSS and Prototype Pollution Vulnerabilities
WordPress 5.9.2 Security and Maintenance Release
Sumber Artikel