Video: Tutorial Wordpress - Mengatur Menu, Membuat Halaman dan Kontak Form (Oktober 2024)
Jika Anda memiliki situs WordPress, pastikan Anda selalu mengikuti pembaruan - tidak hanya untuk platform inti, tetapi juga untuk semua tema dan plugin.
WordPress memiliki lebih dari 70 juta situs web di seluruh dunia, menjadikannya target yang menarik bagi penjahat cyber. Penyerang sering membajak instalasi WordPress yang rentan untuk meng-host halaman spam dan konten berbahaya lainnya.
Para peneliti telah menemukan sejumlah kelemahan serius dalam plugin WordPress populer ini selama beberapa minggu terakhir. Periksa dasbor administrator Anda dan pastikan Anda telah menginstal versi terbaru.
1. MailPoet v2.6.7 Tersedia
Para peneliti dari perusahaan keamanan Web Sucuri menemukan cacat unggah file jarak jauh di MailPoet, sebuah plugin yang memungkinkan pengguna WordPress membuat buletin, memposting pemberitahuan, dan membuat penjawab otomatis. Sebelumnya dikenal sebagai wysija-newsletters, plugin ini telah diunduh lebih dari 1, 7 juta kali. Pengembang menambal kelemahan dalam versi 2.6.7. Versi sebelumnya semuanya rentan.
"Bug ini harus ditanggapi dengan serius; memberikan potensi pengganggu kekuatan untuk melakukan apa pun yang dia inginkan di situs web korbannya, " Daniel Cid, kepala petugas teknologi Sucuri, mengatakan dalam posting blog Selasa. "Ini memungkinkan untuk setiap file PHP untuk diunggah. Ini dapat memungkinkan penyerang untuk menggunakan situs web Anda untuk umpan phishing, mengirim SPAM, hosting malware, menginfeksi pelanggan lain (pada server bersama), dan seterusnya!"
Kerentanan itu mengasumsikan siapa pun yang membuat panggilan khusus untuk mengunggah file itu adalah seorang administrator, tanpa benar-benar memverifikasi bahwa pengguna itu diautentikasi, Sucuri menemukan. "Ini kesalahan yang mudah dibuat, " kata Cid.
2. TimThumb v2.8.14 Tersedia
Pekan lalu, seorang peneliti merilis rincian kerentanan serius di TimThumb v2.8.13, sebuah plugin yang memungkinkan pengguna memotong, memperbesar, dan mengubah ukuran gambar secara otomatis. Pengembang di belakang TimThumb, Ben Gillbanks, memperbaiki kekurangan pada versi 2.8.14, yang sekarang tersedia di Google Code.
Kerentanan berada dalam fungsi WebShot dari TimThumb, dan memungkinkan penyerang (tanpa otentikasi) untuk menghapus halaman dari jauh dan memodifikasi konten dengan menyuntikkan kode berbahaya ke situs rentan, menurut analisis oleh Sucuri. WebShot memungkinkan pengguna mengambil halaman Web jarak jauh dan mengubahnya menjadi tangkapan layar.
"Dengan perintah sederhana, penyerang dapat membuat, menghapus, dan memodifikasi file apa pun di server Anda, " tulis Cid.
Karena WebShot tidak diaktifkan secara default, sebagian besar pengguna TimThumb tidak akan terpengaruh. Namun, risiko serangan eksekusi kode jarak jauh tetap ada karena tema WordPress, plugin, dan komponen pihak ketiga lainnya menggunakan TimThumb. Faktanya, peneliti Pichaya Morimoto, yang mengungkapkan kekurangan pada daftar Pengungkapan Penuh, mengatakan WordThumb 1.07, Plugin Galeri WordPress, dan Widget Slider Posting IGIT mungkin rentan, serta tema dari situs themify.me.
Jika Anda mengaktifkan WebShot, Anda harus menonaktifkannya dengan membuka tema atau file timthumb plugin dan mengatur nilai WEBSHOT_ENABLED menjadi false, Dianjurkan.
Sebenarnya, jika Anda masih menggunakan TimThumb, saatnya untuk mempertimbangkan untuk menghapusnya. Analisis terbaru oleh Incapsula menemukan bahwa 58 persen dari semua serangan inklusi file jarak jauh terhadap situs WordPress melibatkan TimThumb. Gillbanks belum mengelola TimThumb sejak 2011 (untuk memperbaiki zero-day) karena platform inti WordPress sekarang mendukung thumbnail postingan.
"Saya belum menggunakan TimThumb dalam tema WordPress sejak sebelum eksploitasi keamanan TimThumb sebelumnya pada 2011, " kata Gillbanks.
3. Paket SEO All in One v2.1.6 Tersedia
Pada awal Juni, para peneliti Sucuri mengungkapkan kerentanan peningkatan hak istimewa dalam All in ONE SEO Pack. Plugin ini mengoptimalkan situs WordPress untuk mesin pencari, dan kerentanannya akan memungkinkan pengguna memodifikasi judul, deskripsi, dan metatag bahkan tanpa hak administrator. Bug ini dapat dirantai dengan cacat eskalasi hak istimewa kedua (juga diperbaiki) untuk menyuntikkan kode JavaScript berbahaya ke halaman situs dan "melakukan hal-hal seperti mengubah kata sandi akun admin untuk meninggalkan beberapa pintu belakang di file webiste Anda, " kata Sucuri.
Menurut beberapa perkiraan, sekitar 15 juta situs WordPress menggunakan Paket SEO All in One. Sempre Fi, perusahaan yang mengelola plugin, mendorong perbaikan 2.1.6 bulan lalu.
4. Login Rebuilder v1.2.3 Tersedia
US-CERT Cyber Security Bulletin minggu lalu menyertakan dua kerentanan yang memengaruhi plugin WordPress. Yang pertama adalah cacat pemalsuan permintaan lintas situs di plugin Login Rebuilder yang akan memungkinkan penyerang membajak otentikasi pengguna yang sewenang-wenang. Pada dasarnya, jika pengguna melihat halaman berbahaya saat masuk ke situs WordPress, penyerang akan dapat membajak sesi. Serangan itu, yang tidak memerlukan otentikasi, dapat mengakibatkan pengungkapan informasi, modifikasi, dan gangguan situs secara tidak sah, menurut Database Kerentanan Nasional.
Versi 1.2.0 dan yang lebih awal rentan. Pengembang 12net merilis versi baru 1.2.3 minggu lalu.
5. JW Player v2.1.4 Tersedia
Masalah kedua yang termasuk dalam buletin US-CERT adalah kerentanan pemalsuan permintaan lintas situs dalam plugin JW Player. Plugin ini memungkinkan pengguna menyematkan klip audio dan video Flash dan HTML5, serta sesi YouTube, di situs WordPress. Penyerang akan dapat membajak otentikasi administrator dari jarak jauh untuk mengunjungi situs jahat dan menghapus pemutar video dari situs tersebut.
Versi 2.1.3 dan yang lebih awal rentan. Pengembang memperbaiki kesalahan dalam versi 2.1.4 minggu lalu.
Pembaruan Reguler Penting
Tahun lalu, Checkmarx menganalisis 50 plugin yang paling banyak diunduh dan 10 plugin e-commerce teratas untuk WordPress dan menemukan masalah keamanan umum seperti injeksi SQL, skrip lintas situs, dan pemalsuan permintaan lintas situs di 20 persen dari plugin.
Sucuri pekan lalu memperingatkan bahwa "ribuan" situs WordPress telah diretas dan halaman spam ditambahkan ke direktori inti wp-include di server. "Halaman SPAM disembunyikan di dalam direktori acak di dalam wp-include, " Cid memperingatkan. Halaman dapat ditemukan di bawah / wp-include / finance / paydayloan, misalnya.
Sementara Sucuri tidak memiliki "bukti definitif" tentang bagaimana situs-situs ini dikompromikan, "dalam hampir setiap contoh, situs web menjalankan instalasi WordPress usang atau cPanel, " tulis Cid.
WordPress memiliki proses pembaruan yang cukup tanpa rasa sakit untuk pluginnya dan juga file inti. Pemilik situs perlu memeriksa dan menginstal pembaruan untuk semua pembaruan secara berkala. Anda juga perlu memeriksa semua direktori, seperti wp-include, untuk memastikan bahwa file yang tidak dikenal belum masuk.
"Hal terakhir yang diinginkan pemilik situs web adalah untuk mengetahui nanti bahwa merek dan sumber daya sistem mereka telah digunakan untuk tindakan jahat, " kata Cid.
