Celah Keamanan XSS di Puluhan Plugin WordPress

Tidak seperti biasanya, penyedia hosting blog saya mengirim email pemberitahuan tentang wordpress

Dapat kami informasikan bahwa saat ini adalah pengumuman penting bagi seluruh klien yang menggunakan wordpress sebagai CMS Website/blog. Pengumuman ini bersifat urgent untuk seluruh pengguna CMS WordPress dikarenakan terdapat Security Hole pada: WordPress 4.1.2

Beberapa hari yg lalu perusahaan sekuriti Securi memberikan informasi bahwa mereka telah menemukan celah keamanan XSS pada puluhan plugin wordpress populer. Celah keamanan ini disebabkan kesalahan implementasi penggunaan fungsi wordpress add_query_arg() danremove_query_arg() oleh para developer plugin wordpress. Mengapa bisa terjadi kesalahan? Hal ini karena kurangnya penjelasan yang terdapat pada halaman wordpress Codex sehingga developer menganggap fungsi tersebut telah aman memfilter hasil input data dari user.

XSS merupakan kependekan yang digunakan untuk istilah cross site scripting, salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Celah keamanan ini pertama ditemukan oleh Joost de Valk (Yoast) yang secara mendetail menjelaskan permasalahan ini. Pada hasil penelusurannya ternyata celah keamanan ini ditemukan tidak hanya pada plugin WordPress Seo miliknya melainkan dari 300 – 400 plugin yang telah di analisa Securi. Mereka menemukan 15 plugin yang kedapatan mempunyai celah keamanan XSS ini.

Ratusan wordpress themes juga memiliki celah keamanan XSS , di karenakan struktur plugin dan themes yang mengikuti standart lama versi wordpress 4.1.2 yang sudah di update saat ini. Meskipun anda menggunakan wordpress terbaru, bila anda masih menggunakan plugin dan themes versi lama maka XSS attack akan tetap mengancam website anda. Termasuk themes yang anda dapatkan dari Themeforest atau Codecanyon. Segera kontak developer themes dan plugin tersebut untuk mendapat update plugin terbaru.

Berikut ini adalah beberapa plugin tersebut.

• Jetpack
• WordPress SEO
• Google Analytics
• All In one SEO
• Gravity Forms
• Multiple Plugins from Easy Digital Downloads
• UpdraftPlus
• WP e-Commerce
• WPTouch
• Download Monitor
• P3 Profiler
• Give
• iThemes Exchange
• Broken-Link-Checker
• Ninja Forms
• Aesop Story Engine
• My Calendar

Lakukan Update WordPress Segera

Kali ini pertama kalinya kolaborasi terbesar antara pihak external wordpress dan team core sekuriti wordpress, developer plugin untuk menyelesaikan celah keamanan ini. Pendergast mengkonfirmasi bahwa update wordpress telah tersedia. (WordPress 4.2) update tersebut hanya khusus untuk kode yang bermasalah saja hal ini untuk memperkecil kemungkinan adanya kerusakan website.

Plugin-plugin diatas tersebut juga sudah tersedia path nya sehingga anda tinggal lakukan saja update melalui panel dashboard wordpress anda. Segera update ya sebelum website anda terkena serangan XSS wordpress ini.

Dikutip dari blog.atriumhosting.com dan blog.pusathosting.com berdasarkan sumber dari:

1. https://blog.sucuri.net/2015/04/sec...ity-affecting-multiple-wordpress-plugins.html
2. https://poststatus.com/coordinated-...nerability-in-many-popular-wordpress-plugins/
3. https://yoast.com/coordinated-security-release/

 

ternyata wordpress juga rentan terhadap serangan

yang memakai wordpres segera lakukan 3 hal berikut:

1. UP grade
2. upgrade
3. UP GRA DE

 

Alhamdulillah, sudah langsung saya upgrade kalau kena masalah ini bisa-bisa rugi juga.

Saya tanya kangandre, kalau cara memanfaatkan bug ini untuk menerobos keamanan website bagaimana? mau uji coba ke situs sendiri

 

Banyak cara dilakukan hacker untuk menembus wp. Sebenarnya wordpress cukup aman, tapi dari pihak ketiga ini yang sering disusupi.

 

Waduh lupa.. sudah lama nggak main seperti ini. Dulu sy pakai software semacam "security vulnerability" untuk mengetahui keamanan sebuah website. Jika nemu langsung menginjeksi dengan beberapa kueri untuk masuk sebagai admin. Bisa juga lewat cpanel, ini yang berbahaya terutama shared hosting, bisa kena semua website dalam 1 ip tsb.
Dulu, selain kecoa.com ada beberapa situs yang membahas komunitas dunia hacker dan memberikan tutorial cara hack mendetail dan memberikan situs yg bisa dijadikan kelinci percobaan. Sepertinya situs-situs seperti itu masih ada, kok. Dan saya sudah nggak minat sama sekali, nggak ada untungnya.

 

Plugin besar semua yah cukup mengerikan

 

Katanya ada yang menyelinap masuk melalui ruangan contact form tetapi saya tidak pasti adakah plugin contact form 7 mempunyai "loop hole" ataupun tidak.

 

Wah baru mau update nih... kudu cepet2.

 

Belum lama blog saya error dan tidak bisa diakses, hanya menampilkan pesan warning yang mengarah pada plugin jetpack. Kemudian saya harus menginstall ulang CMS tersebut. Apakah ada hubungannya dengan XSS ya?

 

Kaget juga dapat email dari webhosting dgn subyek "penting"

 

Sementara 15 plugin terdapat celah keamanan XSS versi Securi. Mudah-mudahan update WP 4.2 dapat mengatasi.

 

Bisa jadi. Ada blog rekan yang mengalami sama, blog error di bulan ini, celakanya tidak ada backup, jadi mulai awal lagi. Info ini dibuat 20 april 2015 oleh sumber.

 

sy malah masih pakai wordpres 4.1.1

 

Punyaku malah ada yang 3.4. Untung nggak pasang plugin macam-macam.

 

Sekarang sudah update kepada 4.2.1.

 

Semoga Wordpress tambah berjaya.

 

nah ayo yang make Wordpress segera update ke 4.2 yaa

 

Atau jangan pasang plugin jika gak mau update

 

dari daftar itu, ane cm pake: WordPress SEO

 

Dan Wordpress SEO by Yoast yang menemukan celah keamanannya.
https://yoast.com/coordinated-security-release/