Gara-gara Plugin Lemah, Jutaan Situs WordPress Harus Ditambal Paksa

JAKARTA - Selama beberapa hari terakhir, jutaan situs WordPress telah menerima update patch secara paksa. Ini karena terdapat kerentanan di UpdraftPlus, plugin populer yang memungkinkan pengguna membuat dan memulihkan cadangan situs web.

Pengembang UpdraftPlus meminta tambalan wajib, karena kerentanan akan memungkinkan siapa pun yang memiliki akun untuk mengunduh seluruh basis data situs web.

Basis data sering kali menyertakan informasi sensitif tentang pelanggan atau pengaturan keamanan situs, membuat jutaan situs rentan terhadap pelanggaran data serius yang menumpahkan kata sandi, nama pengguna, alamat IP, dan banyak lagi.

Bug ini ditemukan oleh peneliti keamanan Jetpack, Marc Montpas, selama audit keamanan plugin. "Bug ini cukup mudah untuk dieksploitasi, dengan beberapa hasil yang sangat buruk jika dieksploitasi," ungkap Montpas.

"Itu memungkinkan pengguna dengan hak istimewa rendah untuk mengunduh cadangan situs, yang mencakup cadangan basis data mentah," imbuhnya.

UpdraftPlus menyederhanakan proses pencadangan dan pemulihan basis data situs web dan merupakan plugin pencadangan terjadwal yang paling banyak digunakan di Internet untuk sistem manajemen konten WordPress.

Ini menyederhanakan pencadangan data ke Dropbox, Google Drive, Amazon S3, dan layanan cloud lainnya. Pengembangnya mengatakan itu juga memungkinkan pengguna untuk menjadwalkan pencadangan reguler dan lebih cepat dan menggunakan lebih sedikit sumber daya server daripada plugin WordPress yang bersaing.

Melansir Engadget, Senin, 21 Februari, setelah menemukan bug, Montpas langsung memberi tahu pengembang UpdraftPlus tentang bug pada Selasa minggu lalu. Mereka memperbaikinya sehari kemudian dan mulai menginstal tambalan secara paksa segera setelah itu.

Sebanyak 1,7 juta situs telah menerima tambalan dari 3 juta lebih pengguna. Dijelaskan Montpas, kelemahan utama pada UpdraftPlus tidak mengimplementasikan fungsi "detak jantung" WordPress dengan benar.

Plugin tersebut juga tidak memeriksa dengan benar untuk melihat apakah pengguna memiliki hak administratif. Masalah lainnya adalah variabel yang digunakan untuk memvalidasi admin yang dapat dimodifikasi oleh pengguna yang tidak tepercaya.

WordPress sebelumnya dibobol awal tahun ini, tetapi dilakukan secara tidak langsung melalui peretasan GoDaddy yang mengekspos 1,2 juta akun. Jika Anda menjalankan WordPress dengan plugin UpdraftPlus, Anda harus memastikan bahwa plugin diperbarui secara otomatis ke 1.22.4 atau lebih baru pada versi gratis, serta 2.22.4 dan lebih tinggi pada aplikasi premium.