Jutaan Situs WordPress Terima Pembaruan Paksa
Peneliti keamanan menemukan bug yang mudah dieksploitasi di WordPress.
REPUBLIKA.CO.ID, JAKARTA – Jutaan situs blog WordPress telah menerima pembaruan paksa selama beberapa hari terakhir. Pembaruan ini untuk memperbaiki kerentanan kritis dalam sebuah plugin bernama UpdraftPlus.
Bagian software, patch, datang atas permintaan pengembang UpdraftPlus karena tingkat keparahan kerentanan yang memungkinkan pelanggan dan orang lain yang tidak tepercaya untuk mengunduh basis data pribadi situs selama mereka memiliki akun di situs yang rentan.
Basis data sering kali menyertakan informasi sensitif tentang pengguna atau pengaturan keamanan situs. Ini membuat jutaan situs rentan terhadap pelanggaran data serius terkait kata sandi, nama pengguna, alamat IP, dan banyak lagi.
Hasil buruk, mudah dieksploitasi
UpdraftPlus menyederhanakan proses pencadangan dan pemulihan basis data situs web dan merupakan plugin pencadangan terjadwal yang paling banyak digunakan di internet untuk sistem manajemen konten WordPress. Ini menyederhanakan pencadangan data ke Dropbox, Google Drive, Amazon S3, dan layanan cloud lainnya.
Pengembang mengatakan itu juga memungkinkan pengguna untuk menjadwalkan pencadangan reguler dan lebih cepat serta menggunakan lebih sedikit sumber daya server. Peneliti keamanan yang menemukan kerentanan bernama Marc Montpas mengatakan bug ini cukup mudah untuk dieksploitasi dengan beberapa hasil yang sangat buruk jika dieksploitasi.
“Itu memungkinkan pengguna dengan hak istimewa rendah untuk mengunduh cadangan situs yang mencakup cadangan basis data mentah. Akun dengan hak istimewa rendah bisa berarti banyak hal seperti pengguna reguler, pengguna di situs e-commerce, dan lain-lain,” kata Montpas.
Montpas yang juga peneliti di perusahaan keamanan situs web Jetpack Scan menemukan kerentanan selama audit keamanan plugin dan memberikan rincian kepada pengembang UpdraftPlus pada Selasa lalu. Esoknya, pengembang menerbitkan perbaikan dan setuju untuk menginstalnya secara paksa di situs WordPress yang telah menginstal plugin.
Statistik yang disediakan oleh WordPress.org menunjukkan 1,7 juta situs menerima pembaruan pada Kamis dan lebih dari 287 ribu telah menginstalnya pada rilis UpdraftPlus. WordPress mengatakan plugin memiliki lebih dari tiga juta pengguna.
“Jika situs WordPress Anda mengizinkan pengguna yang tidak tepercaya untuk memiliki login WordPress dan jika Anda memiliki cadangan yang ada, maka Anda berpotensi rentan terhadap pengguna yang mencari cara untuk mengunduh cadangan yang ada. Situs yang terpengaruh akan berisiko kehilangan atau pencurian data melalui penyerang yang mengakses salinan cadangan situs Anda,” kata UpdraftPlus.
“Anda harus segera memperbarui dan kami tetap menyarankan memperbarui dalam hal apa pun,” tambahnya.
Dikutip Ars Technica, Ahad (20/22), Montpas mengatakan kerentanan itu berasal dari beberapa kekurangan. Yang pertama adalah implementasi UpdraftPlus dari fungsi Hearbeat WordPress. UpdraftPlus tidak memvalidasi dengan benar bahwa pengguna yang mengirim permintaan memiliki hak administratif. Itu mewakili masalah serius karena fungsinya mengambil daftar semua pekerjaan pencadangan aktif dan tanggal pencadangan terbaru situs. Termasuk dalam nonce khusus yang digunakan plugin untuk mengamankan cadangan.
“Penyerang dapat membuat permintaan jahat yang menargetkan panggilan balik Heartbeat ini untuk mendapatkan akses ke informasi tentang cadangan terbaru situs hingga saat ini yang antara lain akan berisi nonce cadangan,” ujar Montpas.
Kekurangan kedua ada di fungsi may_download_backup_from_email. Variabel fungsi yang digunakan untuk memvalidasi bahwa pengguna adalah admin sebelum mengizinkan mereka mengunduh cadangan rentan terhadap peretasan yang memungkinkannya dimodifikasi oleh orang yang tidak tepercaya.
Jika Anda mengoperasikan situs yang berjalan di CMS WordPress dan sudah menginstal UpdraftPlus, kemungkinan besar situs tersebut telah diperbarui. Untuk memastikannya, periksa apakah nomor rilis plugin adalah 1.22.4 atau lebih baru untuk versi gratis atau 2.22.4 atau lebih baru untuk versi premium.