Celah Keamanan XSS di Puluhan Plugin WordPress

Discussion in 'WordPress' started by KangAndre, Apr 27, 2015.

  1. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Tidak seperti biasanya, penyedia hosting blog saya mengirim email pemberitahuan tentang wordpress

    Dapat kami informasikan bahwa saat ini adalah pengumuman penting bagi seluruh klien yang menggunakan wordpress sebagai CMS Website/blog. Pengumuman ini bersifat urgent untuk seluruh pengguna CMS WordPress dikarenakan terdapat Security Hole pada: WordPress 4.1.2

    Beberapa hari yg lalu perusahaan sekuriti Securi memberikan informasi bahwa mereka telah menemukan celah keamanan XSS pada puluhan plugin wordpress populer. Celah keamanan ini disebabkan kesalahan implementasi penggunaan fungsi wordpress add_query_arg() danremove_query_arg() oleh para developer plugin wordpress. Mengapa bisa terjadi kesalahan? Hal ini karena kurangnya penjelasan yang terdapat pada halaman wordpress Codex sehingga developer menganggap fungsi tersebut telah aman memfilter hasil input data dari user.

    XSS merupakan kependekan yang digunakan untuk istilah cross site scripting, salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

    Celah keamanan ini pertama ditemukan oleh Joost de Valk (Yoast) yang secara mendetail menjelaskan permasalahan ini. Pada hasil penelusurannya ternyata celah keamanan ini ditemukan tidak hanya pada plugin WordPress Seo miliknya melainkan dari 300 – 400 plugin yang telah di analisa Securi. Mereka menemukan 15 plugin yang kedapatan mempunyai celah keamanan XSS ini.

    Ratusan wordpress themes juga memiliki celah keamanan XSS , di karenakan struktur plugin dan themes yang mengikuti standart lama versi wordpress 4.1.2 yang sudah di update saat ini. Meskipun anda menggunakan wordpress terbaru, bila anda masih menggunakan plugin dan themes versi lama maka XSS attack akan tetap mengancam website anda. Termasuk themes yang anda dapatkan dari Themeforest atau Codecanyon. Segera kontak developer themes dan plugin tersebut untuk mendapat update plugin terbaru.

    Berikut ini adalah beberapa plugin tersebut.
    • Jetpack
    • WordPress SEO
    • Google Analytics
    • All In one SEO
    • Gravity Forms
    • Multiple Plugins from Easy Digital Downloads
    • UpdraftPlus
    • WP e-Commerce
    • WPTouch
    • Download Monitor
    • P3 Profiler
    • Give
    • iThemes Exchange
    • Broken-Link-Checker
    • Ninja Forms
    • Aesop Story Engine
    • My Calendar
    Lakukan Update WordPress Segera

    Kali ini pertama kalinya kolaborasi terbesar antara pihak external wordpress dan team core sekuriti wordpress, developer plugin untuk menyelesaikan celah keamanan ini. Pendergast mengkonfirmasi bahwa update wordpress telah tersedia. (WordPress 4.2) update tersebut hanya khusus untuk kode yang bermasalah saja hal ini untuk memperkecil kemungkinan adanya kerusakan website.

    Plugin-plugin diatas tersebut juga sudah tersedia path nya sehingga anda tinggal lakukan saja update melalui panel dashboard wordpress anda. Segera update ya sebelum website anda terkena serangan XSS wordpress ini.

    Dikutip dari blog.atriumhosting.com dan blog.pusathosting.com berdasarkan sumber dari:
    1. https://blog.sucuri.net/2015/04/sec...ity-affecting-multiple-wordpress-plugins.html
    2. https://poststatus.com/coordinated-...nerability-in-many-popular-wordpress-plugins/
    3. https://yoast.com/coordinated-security-release/
     
    toko likes this.
  2. ziuma

    ziuma Well-Known Member

    Joined:
    May 23, 2014
    Messages:
    1,564
    Likes Received:
    240
    Trophy Points:
    63
    ternyata wordpress juga rentan terhadap serangan

    yang memakai wordpres segera lakukan 3 hal berikut:
    1. UP grade
    2. upgrade
    3. UP GRA DE
     
  3. pram

    pram Well-Known Member

    Joined:
    Sep 23, 2013
    Messages:
    3,099
    Likes Received:
    161
    Trophy Points:
    63
    Google+:
    Alhamdulillah, sudah langsung saya upgrade kalau kena masalah ini bisa-bisa rugi juga.

    Saya tanya kangandre, kalau cara memanfaatkan bug ini untuk menerobos keamanan website bagaimana? mau uji coba ke situs sendiri :D
     
  4. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Banyak cara dilakukan hacker untuk menembus wp. Sebenarnya wordpress cukup aman, tapi dari pihak ketiga ini yang sering disusupi.
     
  5. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Waduh lupa.. sudah lama nggak main seperti ini. Dulu sy pakai software semacam "security vulnerability" untuk mengetahui keamanan sebuah website. Jika nemu langsung menginjeksi dengan beberapa kueri untuk masuk sebagai admin. Bisa juga lewat cpanel, ini yang berbahaya terutama shared hosting, bisa kena semua website dalam 1 ip tsb.
    Dulu, selain kecoa.com ada beberapa situs yang membahas komunitas dunia hacker dan memberikan tutorial cara hack mendetail dan memberikan situs yg bisa dijadikan kelinci percobaan. Sepertinya situs-situs seperti itu masih ada, kok. Dan saya sudah nggak minat sama sekali, nggak ada untungnya.
     
  6. Fahmi

    Fahmi Newbie

    Joined:
    Dec 5, 2012
    Messages:
    1,719
    Likes Received:
    159
    Trophy Points:
    63
    Google+:
    Plugin besar semua yah :D cukup mengerikan
     
  7. saimi

    saimi Member

    Joined:
    Jan 10, 2014
    Messages:
    449
    Likes Received:
    42
    Trophy Points:
    28
    Katanya ada yang menyelinap masuk melalui ruangan contact form tetapi saya tidak pasti adakah plugin contact form 7 mempunyai "loop hole" ataupun tidak.
     
  8. DwiKhasbullah

    DwiKhasbullah Well-Known Member

    Joined:
    Aug 7, 2014
    Messages:
    1,955
    Likes Received:
    138
    Trophy Points:
    63
  9. Damar

    Damar Well-Known Member

    Joined:
    Jun 22, 2014
    Messages:
    1,472
    Likes Received:
    216
    Trophy Points:
    63
    Google+:
    Belum lama blog saya error dan tidak bisa diakses, hanya menampilkan pesan warning yang mengarah pada plugin jetpack. Kemudian saya harus menginstall ulang CMS tersebut. Apakah ada hubungannya dengan XSS ya?
     
  10. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Kaget juga dapat email dari webhosting dgn subyek "penting"
     
  11. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Sementara 15 plugin terdapat celah keamanan XSS versi Securi. Mudah-mudahan update WP 4.2 dapat mengatasi.
     
  12. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Bisa jadi. Ada blog rekan yang mengalami sama, blog error di bulan ini, celakanya tidak ada backup, jadi mulai awal lagi. Info ini dibuat 20 april 2015 oleh sumber.
     
  13. riki 21

    riki 21 Member

    Joined:
    Oct 21, 2014
    Messages:
    254
    Likes Received:
    25
    Trophy Points:
    28
    Google+:
    sy malah masih pakai wordpres 4.1.1 :(
     
  14. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Punyaku malah ada yang 3.4. Untung nggak pasang plugin macam-macam.
     
  15. saimi

    saimi Member

    Joined:
    Jan 10, 2014
    Messages:
    449
    Likes Received:
    42
    Trophy Points:
    28
    Sekarang sudah update kepada 4.2.1.
     
  16. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Semoga Wordpress tambah berjaya. :D
     
  17. nah ayo yang make Wordpress segera update ke 4.2 yaa
     
  18. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413
    Atau jangan pasang plugin jika gak mau update :D :D
     
  19. ayahnyanadia

    ayahnyanadia Well-Known Member

    Joined:
    Apr 4, 2013
    Messages:
    1,369
    Likes Received:
    153
    Trophy Points:
    63
    Google+:
    dari daftar itu, ane cm pake: WordPress SEO
     
  20. KangAndre

    KangAndre Member

    Joined:
    Jan 25, 2014
    Messages:
    10,251
    Likes Received:
    2,716
    Trophy Points:
    413

Share This Page