WordPress adalah salah satu platform website yang paling populer di dunia. Namun, popularitasnya juga membuatnya menjadi sasaran empuk bagi para peretas yang ingin mencuri data, merusak situs, atau menyebarkan malware. Oleh karena itu, sebagai pengguna WordPress, Anda harus selalu waspada dan mengikuti perkembangan terbaru tentang keamanan WordPress.
Salah satu hal yang harus Anda perhatikan adalah plugin WordPress yang Anda gunakan. Plugin adalah perangkat lunak tambahan yang dapat meningkatkan fungsi dan fitur website WordPress Anda. Namun, plugin juga bisa menjadi celah masuk bagi peretas jika tidak diperbarui secara rutin atau memiliki kerentanan keamanan.
Baru-baru ini, telah ditemukan adanya kerentanan keamanan pada plugin WPCode – WordPress Code Manager. Plugin ini sebelumnya dikenal dengan nama Insert Headers and Footers by WPBeginner. Plugin ini berfungsi untuk memasukkan script PHP ke WordPress secara mudah. Plugin ini menyediakan beragam premade code, seperti Google Analytics, custom CSS, dan Facebook Pixel yang nantinya dapat ditempatkan di header, footer, maupun bagian lain pada website.
Plugin WPCode sangat populer dan telah diinstall lebih dari 1 juta kali oleh pengguna WordPress. Namun, sayangnya, plugin ini memiliki celah kerentanan yang bisa dimanfaatkan oleh peretas untuk menghapus file-file penting di dalam website Anda. Celah kerentanan ini berjenis Cross-Site Request Forgery (CSRF).
Apa itu CSRF dan bagaimana dampaknya bagi website WordPress Anda? Bagaimana cara mengatasi dan mencegah kerentanan plugin WPCode? Simak ulasan lengkapnya di bawah ini.
Apa Itu CSRF dan Bagaimana Dampaknya?
Cross-Site Request Forgery (CSRF) adalah jenis serangan yang memaksa pengguna website untuk melakukan aksi yang tidak diinginkan tanpa sepengetahuannya. Serangan ini memanfaatkan hak akses pengguna yang sedang login untuk melakukan perubahan pada website.
Cara kerja CSRF adalah sebagai berikut:
- Peretas membuat sebuah link atau form yang berisi permintaan jahat, misalnya menghapus file, mengubah password, atau mengirim email spam.
- Peretas mengirimkan link atau form tersebut kepada pengguna website melalui email, chat, atau media sosial.
- Pengguna website yang tidak curiga mengklik link atau mengisi form tersebut.
- Permintaan jahat tersebut akan dieksekusi oleh website dengan menggunakan kredensial pengguna yang sedang login.
- Peretas berhasil melakukan aksi yang diinginkannya tanpa diketahui oleh pengguna website.
Dalam kasus plugin WPCode, CSRF memungkinkan peretas untuk menghapus file log, maupun memastikan bahwa file tersebut ada pada folder yang semestinya. Cara kerjanya cukup sederhana. Di sini, peretas dapat memanfaatkan fungsi wpcode_activate_snippets untuk menghapus file log secara sembarangan, termasuk file-file lain di luar folder blog.
Hal ini diperkuat dengan uji coba sederhana WPScan, di mana mereka menggunakan fungsi wpcode_activate_snippets agar mengeksekusi satu baris kode.
<?php unlink(ABSPATH . 'wp-config.php'); ?>
Baris kode di atas akan menghapus file wp-config.php yang merupakan file konfigurasi utama WordPress. Jika file ini terhapus, maka website WordPress Anda tidak akan bisa berjalan dengan normal. Peretas juga bisa menghapus file-file lain yang penting, seperti file tema, plugin, atau konten.
Dampak dari serangan CSRF ini bisa sangat fatal bagi website WordPress Anda. Anda bisa kehilangan data, fungsi, atau bahkan seluruh website Anda. Oleh karena itu, Anda harus segera mengambil langkah-langkah untuk mengatasi dan mencegah kerentanan plugin WPCode.
Cara Mengatasi Kerentanan Plugin WPCode
Untuk mengatasi kerentanan plugin WPCode, Anda harus segera melakukan update plugin ke versi terbaru, yaitu versi 2.0.9. Versi ini telah memperbaiki celah CSRF yang ada di versi sebelumnya. Anda bisa melakukan update plugin WPCode melalui dashboard WordPress Anda dengan langkah-langkah berikut:
- Login ke dashboard WordPress Anda.
- Pilih menu Plugins > Installed Plugins.
- Cari plugin WPCode – WordPress Code Manager.
- Jika ada notifikasi update, klik link Update Now.
- Tunggu proses update selesai.
Anda juga bisa melakukan update plugin WPCode secara manual dengan langkah-langkah berikut:
- Download file plugin WPCode versi 2.0.9 dari situs resminya.
- Ekstrak file plugin tersebut di komputer Anda.
- Login ke cPanel hosting Anda.
- Buka File Manager dan masuk ke folder wp-content/plugins.
- Hapus folder wpcode yang ada di sana.
- Upload folder wpcode yang baru dari komputer Anda ke folder wp-content/plugins.
- Pastikan folder wpcode memiliki permission 755 dan file-file di dalamnya memiliki permission 644.
Setelah Anda berhasil melakukan update plugin WPCode, Anda sudah mengatasi kerentanan CSRF yang ada di plugin tersebut. Namun, Anda juga harus melakukan beberapa langkah tambahan untuk memastikan bahwa website WordPress Anda aman dari serangan lainnya.
Cara Mencegah Kerentanan Plugin WPCode
Selain melakukan update plugin WPCode, Anda juga harus mencegah kerentanan plugin WPCode dengan cara-cara berikut:
- Backup website WordPress Anda secara rutin. Backup adalah proses menyimpan salinan data website Anda di lokasi yang aman. Jika terjadi sesuatu yang tidak diinginkan, Anda bisa mengembalikan website Anda ke kondisi sebelumnya dengan mudah. Anda bisa melakukan backup website WordPress Anda secara manual atau menggunakan plugin seperti UpdraftPlus, BackupBuddy, atau Duplicator.
- Scan website WordPress Anda secara berkala. Scan adalah proses memeriksa website Anda dari segi keamanan, kinerja, dan SEO. Anda bisa mengetahui apakah ada file yang rusak, malware, atau masalah lainnya yang bisa membahayakan website Anda. Anda bisa melakukan scan website WordPress Anda menggunakan plugin seperti Wordfence, Sucuri, atau iThemes Security.
- Update WordPress, tema, dan plugin lainnya secara teratur. Update adalah proses menginstal versi terbaru dari WordPress, tema, dan plugin yang Anda gunakan. Update biasanya membawa perbaikan bug, fitur baru, dan peningkatan keamanan. Anda bisa melakukan update WordPress, tema, dan plugin lainnya melalui dashboard WordPress Anda atau secara manual melalui cPanel hosting Anda.
- Gunakan password yang kuat dan unik untuk akun WordPress Anda. Password adalah kunci untuk mengakses dashboard WordPress Anda. Jika password Anda mudah ditebak atau dicuri oleh peretas, maka website Anda bisa diretas dengan mudah. Anda harus menggunakan password yang kuat dan unik untuk akun WordPress Anda, yaitu password yang terdiri dari kombinasi huruf besar, huruf kecil, angka, dan simbol. Anda juga bisa menggunakan plugin seperti Limit Login Attempts, Login LockDown, atau WP Limit Login Attempts untuk membatasi jumlah percobaan login yang salah.
- Gunakan SSL untuk mengenkripsi data yang dikirim dan diterima oleh website Anda. SSL adalah protokol keamanan yang membuat data yang dikirim dan diterima oleh website Anda menjadi terenkripsi dan tidak bisa dibaca oleh pihak ketiga. SSL juga membuat website Anda lebih dipercaya oleh pengunjung dan mesin pencari. Anda bisa mendapatkan SSL gratis dari penyedia hosting Anda atau menggunakan plugin seperti Really Simple SSL, WP Force SSL, atau Easy HTTPS Redirection.
Dengan melakukan cara-cara di atas, Anda bisa mencegah kerentanan plugin WPCode dan menjaga keamanan website WordPress Anda. Anda juga bisa meningkatkan pengalaman pengguna, kinerja, dan peringkat website Anda.
Kesimpulan
Plugin WPCode – WordPress Code Manager adalah plugin yang berfungsi untuk memasukkan script PHP ke WordPress secara mudah. Namun, plugin ini memiliki celah kerentanan hacker.
