WordPress memiliki masalah keamanan lain! Baru-baru ini, kerentanan ditemukan di inti WordPress. Akibatnya, pengguna tingkat rendah seperti kontributor dapat menyuntikkan kode JavaScript berbahaya ke dalam posting blog.
WordPress diserang oleh masalah keamanan, jutaan situs web berisiko!
Masalah keamanan ini jelas meresahkan. Selain sangat rentan, WordPress juga merupakan CMS paling populer yang digunakan oleh jutaan pengguna. Ini membuat jutaan situs web berisiko dibajak oleh peretas!
Lantas seperti apa detail dari kejadian yang satu ini? Bagaimana cara melindungi situs web dari kerentanan inti WordPress?
Temukan jawabannya di artikel ini!
Masalah Keamanan Inti WordPress 5.9.0 dan 5.9.1
Pada 10 Maret 2022, layanan keamanan WordFence melaporkan masalah keamanan WordPress, khususnya di file inti. Masalah ini mempengaruhi dua versi WordPress yang relatif baru, yaitu 5.9.0 dan 5.9.1.
Kerentanan ini adalah yang kedua yang dialami WordPress dalam dua bulan. Sebelumnya, WordPress versi 3.7 hingga 5.8 juga mengalami masalah pada file inti karena bug pengembangan oleh tim internal WordPress.
Sementara itu, masalah inti WordPress yang satu ini memungkinkan pengguna tingkat rendah, tetapi akses ke panel admin, seperti:
Sebagai ilustrasi, Kontributor adalah peran pengguna yang dapat membuat, mengedit, dan menghapus posting mereka sendiri di WordPress. Namun, Anda harus menunggu izin admin untuk mempublikasikan postingan tersebut.
Kontributor untuk peran WordPress
Nah, kode berbahaya yang disuntikkan oleh kontributor bisa jadi merupakan tautan ke situs web berbahaya yang mengandung phishing atau malware. Sehingga dapat dengan mudah menangkap siapa saja yang mengklik link tersebut.
Untungnya, sejauh ini belum ada insiden nyata dari pengguna terkait masalah ini. Namun, ini jelas bermasalah bagi pengguna dengan peran melalui Kontributor, seperti B. Editor atau Administrator.
Alasan untuk ini adalah bahwa mereka perlu meninjau setiap kontribusi yang dibuat oleh kontributor. Pada saat yang sama, pastikan bahwa posting yang akan diterbitkan tidak mengandung skrip berbahaya.
Jadi apa detail masalah keamanan yang mengenai inti WordPress dan bagaimana cara kerjanya? Langsung saja ke poin berikutnya.
Baca Juga: Kerentanan Plugin WP Statistics Ancam 600.000 Website!
Analisis Masalah Kerentanan Inti WordPress
Seperti dikutip dari Wordfence, ada dua kerentanan yang menargetkan file inti di WordPress 5.9.0 dan 5.9.1, yaitu:
1. Contributor+ Stored Cross Site Scripting (XSS)
Cross Site Scripting (XSS) adalah masalah keamanan yang memungkinkan penyerang menyuntikkan kode berbahaya menggunakan alat situs web. Dalam hal ini, alat yang digunakan adalah halaman posting blog.
XSS yang disimpan sekarang adalah jenis XSS yang paling berbahaya. Ini karena kode yang disuntikkan dapat disimpan secara permanen di situs web korban. Nah bagaimana cara kerjanya?
Pada dasarnya, WordPress menggunakan fitur wp_filter_post_kses untuk memblokir perintah jahat. Omong-omong, beberapa versi WordPress yang lebih baru menggunakan fungsi wp_filter_global_styles_post untuk tujuan yang sama.
wp_filter_post_kses
Sayangnya fungsi wp_filter_global_styles_post dijalankan setelah wp_filter_post_kses. Ini menyebabkan kode berbahaya dengan mudah melewati wp_filter_post_kses dan memanfaatkan iterasi kedua decoding JSON.
wp_filter_global_styles_post
Pada dasarnya, penyerang dapat menyuntikkan kode JavaScript berbahaya saat membuat atau mengedit posting blog. Selain itu, perintah JavaScript akan dijalankan secara otomatis ketika admin memeriksa postingan.
Akhirnya, JavaScript yang disuntikkan oleh penyerang dapat menginfeksi semua komponen situs web korban. Ini termasuk menyerang database situs web yang disimpan di server hosting.
Baca Juga: Masalah Keamanan Plugin UpdraftPlus Mempengaruhi 3 Juta Website!
2. Polusi prototipe
Polusi prototipe adalah jenis kerentanan yang memungkinkan penyerang menyuntikkan nilai yang salah ke objek JavaScript. Faktanya, kerentanan yang satu ini lebih berbahaya ketika menginfeksi website berbasis Node.js.
Untungnya, WordPress adalah CMS berbasis PHP. Oleh karena itu, serangan Prototype Pollution di WordPress tidak berbahaya seperti Stored XSS. Meski demikian, ia harus berhati-hati agar tidak menulari dua komponen yang berbeda.
url wordpress gutenberg
Yaitu paket WordPress/URL Gutenberg dan perpustakaan jQuery. Cara kerjanya sama, yaitu memanfaatkan kecerobohan pengguna dengan mengklik link berbahaya yang disematkan di postingan blog.
perpustakaan jquery
Ini memungkinkan penyerang untuk membajak situs web korban. Tentu saja, ini hanya dapat terjadi jika ada kerentanan keamanan lain di situs web. Misalnya dengan menggunakan ayat yang lebih tua
LIHAT JUGA :