Perhatian pengguna UpdraftPlus! Baru-baru ini, ditemukan ancaman keamanan serius yang memungkinkan pengguna yang tidak sah mengakses data cadangan plugin WordPress.
Masalah Keamanan Plugin UpdraftPlus Mempengaruhi 3 Juta Situs Web!
Masalah kerentanan ini jelas menjadi perhatian. Pasalnya, UpdraftPlus merupakan salah satu plugin terpopuler yang sudah terpasang di lebih dari 3 juta website!
Lalu bagaimana detail masalahnya? Bagaimana cara melindungi situs web Anda dari kerentanan UpdraftPlus?
Baca informasi ini sampai selesai!
Kerentanan di plugin UpdraftPlus
plugin updraftplus
Pada 17 Februari 2022, Wordfence, layanan keamanan khusus WordPress, melaporkan masalah keamanan dengan plugin UpdraftPlus. Masalah ini setidaknya mempengaruhi beberapa versi, yaitu 1.16.7 hingga 1.22.2.
Menurut peneliti Marc Montpas, kerentanan ini memungkinkan pengguna tingkat rendah seperti pelanggan untuk mengakses dan mengunduh data cadangan.
File cadangan, di sisi lain, diketahui menyimpan sejumlah besar informasi penting di situs web. Misalnya, data pribadi pengguna atau file konfigurasi lainnya untuk mengakses database situs web dan isinya.
Bayangkan file backup tersebut diketahui oleh pihak yang tidak bertanggung jawab. Mereka mengakses website secara bebas, mengenkripsi isinya dan bahkan menyalahgunakan informasi pribadi pemilik website untuk melakukan kejahatan.
Jadi apa “pelaku” kerentanan UpdraftPlus ini? Jawabannya ada di poin berikutnya!
Baca Juga: Perbaiki Kerentanan Keamanan Plugin PHP Everywhere dengan Cepat Sekarang!
Penyebab Masalah Keamanan UpdraftPlus Ditemukan!
Marc Montpas mengatakan bahwa kerentanan UpdraftPlus disebabkan oleh salah satu fiturnya. Yaitu, opsi penyimpanan jarak jauh yang dapat mengirim tautan cadangan melalui email.
Unduh cadangan melalui email
Sayangnya, implementasi fitur tersebut ternyata tidak aman. Karena pengguna tingkat rendah dapat mereplikasi struktur tautan. Jika strukturnya valid, Anda dapat mengunduh file cadangan di situs web.
Tetapi apakah semudah itu meniru struktur tautan? Tentu saja tidak. Pihak yang tidak bertanggung jawab harus menyerang beberapa fitur WordPress.
Dalam posisi login, mereka pertama-tama membidik fungsi detak jantung. Intinya adalah untuk mendapatkan log cadangan yang menyertakan cap waktu dan nonce. Nah, nonce adalah sejenis kode untuk melindungi URL dari perintah jahat.
Setelah menerima file nonce, penyerang memicu fungsi may_download_backup_from_email untuk merespons. Akibatnya, fungsi mengirimkan perintah ke titik akhir yang salah. Jadi di file admin-post.php.
Di sini, penyerang dapat dengan mudah mengelabui validasi yang dilakukan variabel $pagenow. Setelah itu, mereka hanya meneruskan nonce bersama dengan parameter tipe.
Pada akhirnya, permintaan pencadangan diindeks oleh log menggunakan stempel waktu. Ini menghasilkan tautan cadangan baru yang dapat dieksploitasi secara bebas oleh penyerang.
Untungnya, tim pengembangan UpdraftPlus bertindak cepat untuk memperbaiki masalah keamanan ini. Simak detailnya di poin selanjutnya!
Baca Juga: Waspadai Kerentanan Keamanan Plugin Elementor! Lebih dari 600 Ribu Situs Web Terancam!
Solusinya, update ke UpdraftPlus terbaru
Tak lama, UpdraftPlus segera menambal kerentanan dengan merilis versi baru 1.22.3. Faktanya, UpdraftPlus versi 1.22.4 yang tersedia saat ini hadir dengan perlindungan yang lebih baik.
Karena itu, pengguna plugin UpdraftPlus didorong untuk segera memperbarui. Ini sebagai langkah preventif agar website Anda tidak menjadi korban kejahatan dunia maya yang bisa terjadi kapan saja.
Bagaimana cara memperbarui UpdraftPlus? Caranya mudah, cukup kunjungi dashboard WordPress Anda dan pilih menu Updates.
Pembaruan dasbor WordPress
Di sini Anda dapat melihat versi terbaru dari UpdraftPlus. Segera sorot checklist dan klik Update Plugins.
perbarui plugin updraftplus
Akan ada pembaruan plugin. Jika berhasil, Anda akan melihat layar berikut:
Pembaruan Updraftplus berhasil
Senang! Anda telah berhasil memperbarui UpdraftPlus ke versi terbaru. Sekarang website Anda lebih aman dari kerentanan plugin ini.
Baca juga: Perhatian! Kerentanan di inti WordPress mengancam jutaan situs web
Apakah Anda ingin lebih aman? Aktifkan pembaruan otomatis
Memperbarui plugin itu mudah. Namun, jika harus melakukannya secara manual, tetap akan menjadi masalah. Untungnya, sudah ada solusi praktis, yaitu mengaktifkan fitur pembaruan otomatis.
Fitur ini tersedia untuk pelanggan Niagahoster. Aktivasi sangat mudah. Apa pun yang perlu Anda lakukan
LIHAT JUGA :