Ahad 20 Feb 2022 13:20 WIB

Jutaan Situs WordPress Terima Pembaruan Paksa

Peneliti keamanan menemukan bug yang mudah dieksploitasi di WordPress.

Rep: Meiliza Laveda/Noer Qomariah/ Red: Dwi Murdaningsih
Wordpress.
Wordpress.

REPUBLIKA.CO.ID, JAKARTA – Jutaan situs blog WordPress telah menerima pembaruan paksa selama beberapa hari terakhir. Pembaruan ini untuk memperbaiki kerentanan kritis dalam sebuah plugin bernama UpdraftPlus.

Bagian software, patch, datang atas permintaan pengembang UpdraftPlus karena tingkat keparahan kerentanan yang memungkinkan pelanggan dan orang lain yang tidak tepercaya untuk mengunduh basis data pribadi situs selama mereka memiliki akun di situs yang rentan.

Baca Juga

Basis data sering kali menyertakan informasi sensitif tentang pengguna atau pengaturan keamanan situs. Ini membuat jutaan situs rentan terhadap pelanggaran data serius terkait kata sandi, nama pengguna, alamat IP, dan banyak lagi.

Hasil buruk, mudah dieksploitasi

UpdraftPlus menyederhanakan proses pencadangan dan pemulihan basis data situs web dan merupakan plugin pencadangan terjadwal yang paling banyak digunakan di internet untuk sistem manajemen konten WordPress. Ini menyederhanakan pencadangan data ke Dropbox, Google Drive, Amazon S3, dan layanan cloud lainnya.

Pengembang mengatakan itu juga memungkinkan pengguna untuk menjadwalkan pencadangan reguler dan lebih cepat serta menggunakan lebih sedikit sumber daya server. Peneliti keamanan yang menemukan kerentanan bernama Marc Montpas mengatakan bug ini cukup mudah untuk dieksploitasi dengan beberapa hasil yang sangat buruk jika dieksploitasi.

“Itu memungkinkan pengguna dengan hak istimewa rendah untuk mengunduh cadangan situs yang mencakup cadangan basis data mentah. Akun dengan hak istimewa rendah bisa berarti banyak hal seperti pengguna reguler, pengguna di situs e-commerce, dan lain-lain,” kata Montpas.

Montpas yang juga peneliti di perusahaan keamanan situs web Jetpack Scan menemukan kerentanan selama audit keamanan plugin dan memberikan rincian kepada pengembang UpdraftPlus pada Selasa lalu. Esoknya, pengembang menerbitkan perbaikan dan setuju untuk menginstalnya secara paksa di situs WordPress yang telah menginstal plugin.

 

Advertisement
Berita Terkait
Berita Lainnya
Advertisement
Terpopuler
Advertisement
Advertisement