Pewarta Nusantara – Ancaman kerentanan pada plugin WPCode telah menjadi sorotan baru-baru ini. Kerentanan ini memberikan peluang bagi para peretas untuk mengakses situs dan menghapus file-file penting di dalamnya.
Jutaan pengguna WordPress yang menggunakan plugin WPCode mungkin terkena risiko ini.
Bagi kamu yang menginstal plugin WPCode di website WordPress, perlu waspada terhadap potensi serangan ini. Keamanan situs webmu bisa terancam!
Namun, tidak perlu khawatir. Kami telah menyusun artikel ini untuk memberikan detail tentang kerentanan yang terjadi pada plugin WPCode dan juga memberikan panduan tentang cara mengatasinya.
Baca artikel ini dengan seksama untuk mendapatkan informasi lebih lanjut dan tindakan yang dapat kamu ambil untuk melindungi website WordPressmu dari ancaman kerentanan plugin WPCode.
Celah Bahaya dari Plugin WPCode WordPress
Pada tanggal 24 April 2023, laman National Vulnerability Database (NVD) yang merupakan milik pemerintah Amerika Serikat menginformasikan tentang adanya celah kerentanan pada plugin WPCode – WordPress Code Manager.
Masalah keamanan ini mempengaruhi versi plugin WPCode sebelum 2.0.9. NVD memberikan penilaian skor 6.5 (medium) untuk tingkat kerentanan tersebut.
Plugin WPCode, sebelumnya dikenal sebagai Insert Headers and Footers by WPBeginner, berfungsi untuk mempermudah pengguna dalam menambahkan potongan kode ke dalam website WordPress.
Plugin ini menyediakan berbagai kode siap pakai, seperti Google Analytics, custom CSS, dan Facebook Pixel yang dapat ditempatkan di bagian header, footer, atau area lainnya di website.
Karena kemudahan dan keterampilan yang ditawarkannya, plugin WPCode telah diinstal lebih dari 1 juta kali oleh pengguna WordPress.
Namun, dengan adanya kerentanan yang ditemukan, aspek keamanan website menjadi perhatian utama.
Selain itu, ini bukan kali pertama plugin WPCode menghadapi masalah serupa. Pada bulan Februari 2023, NVD juga melaporkan temuan kerentanan pada versi WPCode sebelum 2.0.7.
Kembali ke topik utama, kerentanan keamanan pada plugin WPCode kali ini termasuk dalam jenis Cross-Site Request Forgery (CSRF).
Detail tentang kerentanan CSRF pada WPCode dan dampak negatifnya akan dijelaskan lebih lanjut pada poin berikutnya.
Mari kita lanjut ke bagian selanjutnya!
Cross-Site Request Forgery pada Plugin WPCode
Cross-Site Request Forgery (CSRF) adalah jenis kerentanan yang memanfaatkan hak akses pengguna tanpa sepengetahuan mereka. Dalam kasus plugin WPCode sebelum versi 2.0.9, CSRF memungkinkan hacker untuk menghapus file log dan memanipulasi lokasi file tersebut.
Caranya cukup sederhana. Hacker dapat memanfaatkan fungsi wpcode_activate_snippets untuk menghapus file log secara sembarangan, termasuk file-file di luar folder blog yang seharusnya tidak terpengaruh.
Bukti uji coba sederhana dengan menggunakan WPScan menunjukkan efektivitasnya. Dengan menggunakan fungsi wpcode_activate_snippets, satu baris kode dieksekusi dan mengakibatkan file delete-me.log yang berada di folder wp-content berhasil terhapus! Ini menunjukkan potensi kerusakan yang bisa terjadi ketika plugin WPCode rentan terhadap serangan CSRF.
Beruntungnya, pengguna plugin WPCode sekarang bisa merasa lega. Masalah keamanan yang melibatkan WPCode telah berhasil diselesaikan. Penasaran bagaimana cara penyelesaiannya?
Ayo, langsung saja kita menuju poin berikutnya untuk mengetahui lebih lanjut!
Solusi Kerentanan Plugin WPCode Rilis Patch Update
Tidak lama setelah masalah keamanan ditemukan, tim pengembang segera merilis pembaruan untuk plugin WPCode ke versi 2.0.9. Pembaruan ini ditujukan untuk memperbaiki kerentanan yang ada pada versi sebelumnya.
Lebih menariknya, sekarang telah tersedia versi terbaru WPCode, yaitu versi 2.0.11, yang menawarkan kinerja yang lebih baik dan perlindungan yang lebih optimal.
Jadi, jika kamu merupakan pengguna plugin WPCode, penting bagi kamu untuk memperbarui plugin ini ke versi terbaru guna menjaga keamanan website WordPress kamu.
Kamu dapat melakukan pembaruan plugin secara manual dengan masuk ke dashboard WordPress. Setelah itu, navigasikan ke menu “Updates” dan lakukan pembaruan WPCode seperti yang ditunjukkan dalam contoh di bawah ini.
Namun, jika kamu merasa malas melakukan pembaruan secara manual, kami memiliki solusi praktis untukmu. Kamu bisa mengaktifkan fitur Auto Update pada website WordPressmu.
Dengan menggunakan fitur Auto Update WordPress, plugin dan tema di websitemu akan diperbarui secara otomatis.
Sangat mudah, bukan? Lebih menariknya lagi, fitur Auto Update WordPress juga dapat melakukan pembaruan versi WordPress di website-mu secara otomatis. Jadi, kamu tak perlu khawatir lagi tentang keamanan dan performa website WordPressmu.
Baca juga: Apa Itu Website Dinamis? Baca ini Sebelum Membuat Web
Cara Website WordPress Lebih Aman
Temuan celah kerentanan pada plugin WPCode menjadi pengingat bahwa masalah keamanan website tidak boleh diabaikan begitu saja. Namun, keberuntungan ada di pihak pengguna karena dengan mengupdate plugin ke versi terbaru, masalah tersebut dapat diatasi.
Meskipun demikian, melakukan pembaruan rutin pada komponen WordPress, seperti plugin, hanyalah salah satu langkah dalam menjaga keamanan website.
Terdapat langkah-langkah lain yang juga perlu kamu lakukan untuk melindungi website WordPress-mu.
Salah satu langkah yang dapat kamu ambil adalah menghindari penggunaan plugin WordPress yang tidak aman. Pilihlah plugin yang berasal dari sumber terpercaya dan pastikan plugin tersebut selalu diperbarui oleh pengembangnya.
Selain itu, penting untuk mengganti password situs secara berkala dan menggunakan kombinasi yang kuat untuk mencegah akses yang tidak sah.
Selalu batasi akses administrator hanya kepada pihak yang berkepentingan dan waspadai tautan yang terlihat mencurigakan, terutama saat menerima email atau pesan yang tidak kamu kenal.
Dengan mengikuti langkah-langkah tersebut, kamu dapat meningkatkan keamanan website WordPress-mu.
