Pada November 2021, pakar keamanan WordPress menemukan kerentanan di tiga plugin WordPress XootiX, yaitu Login/Signup Popup, Side Cart WooCommerce, dan Waitlist WooCommerce.
Kerentanan keamanan ini membuat 84.000 situs web rentan terhadap serangan peretas. Jika Anda adalah pengguna dari ketiga plugin ini, Anda perlu waspada.
Masalah Keamanan Dengan Tiga Plugin XootiX
XootiX dikenal memiliki plugin e-niaga yang bagus. Sayangnya, Wordfence, perusahaan keamanan WordPress, melaporkan kelemahan keamanan di tiga plugin XootiX, yaitu:
- Login/Daftar Popup versi 2.2 — plugin popup untuk login dan pendaftaran yang dipasang di 20.000 situs web.
- Side Cart WooCommerce versi 2.5.1 — plugin fitur keranjang belanja yang digunakan oleh 4.000 situs web.
- Daftar Tunggu WooCommerce versi 2.0 — plugin daftar tunggu toko online diinstal di 60.000 situs web.
Mengingat banyaknya pengguna, kerentanan keamanan ini tentu berdampak besar bagi pengguna WordPress.
Wordfence menjelaskan bahwa celah keamanan yang ditemukan dapat membuat situs web rentan terhadap Cross-Site Request Forgery (CSRF), yaitu serangan terhadap PHP yang memanfaatkan kelemahan situs web dengan membuat permintaan tidak sah ke situs web.
Serangan CSRF dapat terjadi ketika administrator situs web dibuat untuk melakukan tindakan tertentu, seperti mengklik tautan. Kemudian, penyerang dapat mengambil kendali penuh atas akses situs web melalui perintah atau skrip tersembunyi.
Apa Penyebab Masalah Keamanan Ini?
Tiga plugin dari XootiX mendukung situs web yang menggunakan AJAX dengan mengimplementasikan fungsi save_settings yang dimulai melalui tindakan wp_ajax.
Soalnya, siapa saja bisa melakukan request tanpa nonce check (nomor satu), yaitu proses autentikasi menggunakan rangkaian angka acak mirip OTP. Artinya, tidak ada validasi keaslian perintah.
Dengan begitu, peretas dapat mencoba membuat permintaan yang akan memicu AJAX dan melakukan fungsi tertentu. Jika berhasil, pengaturan pada website dapat diubah sesuka hati.
Dalam kerentanan keamanan ini, peretas dapat memanfaatkan Pembaruan Opsi Sewenang-wenang. Dengan itu, peretas dapat mengubah opsi user_can_register menjadi true, dan mengubah default_role menjadi administrator. Akibatnya, mereka akan mengambil kendali penuh atas situs web tersebut.
Solusi masalah
Kabar baiknya, XootiX telah meluncurkan versi terbaru dari ketiga plugin mereka untuk menutup celah keamanan.
Jadi, jika Anda menggunakan ketiga plugin ini, segera perbarui ke:
- Masuk/Daftar Popup versi 2.3.
- Daftar tunggu WooCommerce versi 2.5.2
- Keranjang Samping WooCommerce versi 2.1
Langkah update plugin di atas sebenarnya sudah cukup menjadi solusi.
Namun, untuk menghindari risiko keamanan seperti ini, pastikan plugin Anda selalu up-to-date. Bagaimana caranya?
Umumnya, pengguna WordPress dapat mengklik Enable auto-updates pada plugin yang ingin mereka update secara otomatis. Langkah ini dapat dilakukan melalui dashboard WordPress.
Menariknya, pengguna layanan Niagahoster memiliki solusi yang lebih mudah yaitu fitur WordPress Auto Update yang dapat diaktifkan langsung dari Member Area.
Untuk mengaktifkannya, dari halaman Member Area, klik tab Website. Kemudian, klik opsi Auto Update pada tab WordPress Management.
Manfaatkan Pembaruan Otomatis dan Amankan Situs Web Anda Sekarang!
Ancaman terhadap situs web bisa berasal dari plugin WordPress yang Anda gunakan. Itulah mengapa penting untuk memastikan bahwa plugin di website Anda tidak menjadi lubang keamanan yang merugikan website.
Salah satu cara yang paling efektif adalah selalu menggunakan plugin dan WordPress versi terbaru.
Baca juga: Cara Mudah Membuat Aplikasi nextJS
Jika Anda seorang pebisnis yang menjual produk/jasa apapun dan ingin meningkatkan penjualan bisnis, maka Anda perlu memiliki website toko online untuk mempromosikan produk. Anda bisa membuat website toko online di Professional Online Store Website Development Services. Dengan bantuan jasa pembuatan website akan membantu anda untuk mewujudkan website yang anda inginkan.
Terima kasih dan semoga bermanfaat… Sukses untuk kita semua
