Lebih dari tiga juta situs web WordPress berisiko! Hal ini disebabkan oleh kerentanan di plugin All In One SEO Pack (AIOSEO).
Jika Anda menggunakan plugin ini, Anda harus mendengarkan artikel ini sampai akhir. Karena disini kami akan menjelaskan celah keamanan yang baru-baru ini ditemukan pada plugin All In One SEO Pack serta cara mengatasinya.
Tanpa basa-basi lagi, berikut informasi lengkapnya!
Daftar isi
Kerentanan Plugin Paket All In One SEO
Pada 26 Januari 2023, penyedia layanan keamanan Wordfence diterbitkan masalah keamanan dengan plugin All In One SEO Pack. Bukan hanya satu, tapi dua lubang kerentanan menangkap plugin!
Menurut Wordfence, setiap kerentanan diberi skor 6.4 dan 4.4 (rata-rata). Selain itu, dua kerentanan di atas menyerang plugin All In One SEO Pack versi 4.2.9 ke bawah.
Sekedar informasi, All In One SEO Pack adalah salah satu plugin SEO WordPress terbaik untuk membantu Anda mengoptimalkan SEO website Anda, sehingga Anda bisa mendapatkan lebih banyak lalu lintas.
Selain itu, pengaturan All In One SEO Pack juga cukup mudah. Maka tak heran, plugin ini memiliki diinstal di lebih dari 3 juta situs web WordPressdan dapatkan klasifikasi 4.7.
Sayangnya, ini bukan pertama kalinya plugin All In One SEO Pack terkena masalah kerentanan. Tahun lalu, kelemahan keamanan All In One SEO mendarat di beberapa versi antara 4.00 dan 4.1.5.2.
Kembali lagi, dua isu kerentanan All In One SEO Pack kali ini ada beberapa Scripting Lintas Situs Tersimpan (XSS). XSS yang disimpan cukup mengkhawatirkan, karena dapat menyerang situs web dengan skrip berbahaya.
Ingin tahu detailnya? Yuk scroll ke bawah!
Scripting Lintas Situs Tersimpan di Paket SEO All In One
Berikut adalah penjelasan lengkap dari dua kerentanan Stored XSS yang mengancam plugin All In One SEO Pack:
1. XSS Level Kontributor Terotentikasi Tersimpan
Versi terpengaruh: 4.2.9 dan sebelumnya
Skor kerentanan: 6,4 (rata-rata)
Kerentanan Stored XSS pertama memungkinkan pengguna dengan setidaknya tingkat akses Kontributor menyuntikkan kode yang mengancam situs web. Bagaimana?
Pada dasarnya, All In One SEO Pack menyediakan berbagai form untuk diisi saat mengoptimasi halaman atau postingan. Misalnya seperti SEO Title, Meta Description, dan masih banyak lainnya.
Namun, formulir di atas tidak secara ketat memvalidasi data masukan. Hasilnya, pengguna yang memiliki akses ke editor WordPress, seperti Kontributor, dapat menyuntikkan kode JavaScript ke dalam beberapa formulir ini.
Nantinya, skrip berbahaya tersebut akan dieksekusi di browser saat administrator situs mengedit postingan kontributor. Hal ini dibuktikan dengan hasil tes sederhana berikut dari Wordfence:
Bukti menambahkan skrip XSS Tersimpan ke plugin All In One SEO Pack saat memasukkan Judul Posting
2. XSS disimpan di Tingkat Administrator yang Diautentikasi
Versi terpengaruh: 4.2.9 dan sebelumnya
Skor kerentanan: 4,4 (rata-rata)
Sama seperti poin pertama, masalah Stored XSS ini juga memungkinkan pengguna yang tidak bertanggung jawab menambahkan kode berisi malware ke dalam website. Bedanya, kerentanan ini membutuhkan setidaknya hak akses Administrator.
Di sini, administrator situs web dapat mengubah pengaturan pada menu Tampilan Pencarian dan Jejaring Sosial, serta memasukkan skrip berbahaya ke dalamnya.
Jika pengelola situs mengedit atau melihat daftar kiriman, kode akan dijalankan secara otomatis. Nah, berikut adalah hasil eksperimen Wordfence pada Stored XSS Level Administrators:
Coba tambahkan skrip Stored XSS ke menu Search Appearance di plugin All In One SEO Pack
Wah serem banget kan dua isu kerentanan XSS di plugin All In One SEO Pack ini? Untungnya, masalah ini telah berhasil diselesaikan. Bagaimana?
Jawabannya ada di poin selanjutnya!
Perbarui Plugin All In One SEO Pack ke Versi Terbaru!
Selang beberapa hari, tepatnya pada tanggal 6 Februari 2023, developer perbarui plugin All In One SEO Pack ke versi 4.3.0. Pembaruan ini difokuskan pada mengatasi masalah keamanan yang ada di versi sebelumnya.
Bahkan, kini sudah tersedia All In One SEO Pack versi 4.3.2 dengan keamanan lebih. Jika Anda menginstal plugin, kami sangat menyarankan Anda meningkatkan ke versi terbaru agar website WordPress Anda selalu terlindungi.
Anda dapat memperbarui plugin secara manual melalui menu Pembaruan yang tersedia di dasbor WordPress.
Jika Anda malas mengupdate plugin secara manual, masih ada opsi otomatis. Caranya dengan mengaktifkan Pembaruan Otomatis WordPress. Anda dapat menikmati fitur ini jika berlangganan hosting Niagahoster, Misalnya Hosting WordPress.
Cara mengaktifkannya juga sangat mudah! Anda cukup login Area Anggota Baru, lalu klik Kelola Layanan tentang layanan hosting menggunakan WordPress.
Di halaman berikutnya, klik manajemen WordPress. Setelah itu, temukan bagian itu Versi WordPress lalu geser penggeser Apakah ini mengaktifkan pembaruan otomatis? ke kanan. Sangat praktis bukan?
menariknya, fitur Pembaruan Otomatis WordPress Niagahoster Anda dapat menggunakannya untuk memperbarui plugin, tema, bahkan versi WordPress sekaligustertawa terbahak-bahak!
Simak informasi berikut untuk membuat website WordPress Anda lebih aman!
Plugin All In One SEO Pack sekali lagi penuh dengan masalah keamanan. Untungnya, dengan memperbarui plugin ke versi terbaru, masalah kerentanan yang ada berhasil diselesaikan.
Meski begitu, memperbarui plugin secara teratur hanyalah salah satu dari banyak cara untuk menjaga keamanan situs WordPress Anda. Masih ada beberapa hal yang perlu Anda lakukan, seperti mengganti kata sandi secara berkala, atau memasang plugin keamanan.
Ingin tahu lebih detail? Tenang, semua tips bisa kamu dapatkan dengan membaca ebook 25 Langkah Ampuh untuk Mengamankan Situs WordPress Anda. Ayo unduh sekarang, gratis!