Apakah Anda menggunakan plugin WP Statistics untuk melihat data lalu lintas di situs web Anda? Jika demikian, awas! Kerentanan dalam plugin baru-baru ini ditemukan. Ini memungkinkan akses tidak sah ke database situs web.
Kerentanan Plugin Statistik WP Mengancam 600.000 Situs Web!
Masalah keamanan yang mengganggu Statistik WP cukup mengkhawatirkan. Pasalnya, plugin ini sangat populer dan digunakan oleh lebih dari 600.000 website.
Jadi apa masalah sebenarnya? Bagaimana Anda bisa mencegah situs web Anda menjadi korban kerentanan WP Statistics?
Baca selengkapnya di artikel ini!
Plugin statistik WP diserang oleh injeksi SQL
plugin statistik wp
Pada 10 Februari 2022, layanan keamanan Wordfence menerbitkan kerentanan di WP Statistics. Plugin ini berguna untuk menampilkan analytics dan statistik kunjungan website.
Namun sayangnya ada masalah keamanan yang menyerang WP Statistics versi 13.1.4 dan versi sebelumnya.
Menurut Cyku Hong, peneliti DEVCORE, kerentanan ini memungkinkan pengguna yang tidak sah meluncurkan serangan tipe injeksi SQL. Tujuannya adalah untuk mengakses database website.
Faktanya, database menyimpan semua informasi yang terkait dengan situs web. Termasuk yang bersifat rahasia seperti nama pengguna dan kata sandi, data pengunjung seperti alamat IP dan alamat atau kunci rahasia lainnya.
Bayangkan data sensitif jatuh ke tangan hacker. Anda dapat menggunakannya untuk mengambil alih situs web. Atau bahkan menyalahgunakan data untuk kejahatan yang lebih serius!
Lalu apa yang menyebabkan kerentanan pada plugin WP Statistics? Jawabannya ada di poin berikutnya!
Baca Juga: Masalah Keamanan Plugin UpdraftPlus Mempengaruhi 3 Juta Website!
Penyebab: Perintah SQL di fitur Record Exclusions
Statistik kunjungan situs web yang ditampilkan oleh WP Statistics diambil dari database menggunakan beberapa perintah SQL. Sayangnya, implementasi perintah yang tidak aman dapat memicu injeksi SQL.
Dan tentu saja. Dikutip dari Wordfence, akar masalah WP Statistics adalah karena adanya gap di salah satu fungsi. Yaitu, pengecualian catatan digunakan untuk menyaring statistik situs web berdasarkan periode waktu, halaman tertentu, atau kategori khusus lainnya.
Di dalamnya terdapat perintah Exclusion_reason yang berguna untuk memfilter jumlah kunjungan berdasarkan role pengguna. Jadi pemilik dan siapa saja yang dapat mengakses halaman admin tidak dihitung sebagai pengunjung situs.
Dengan kata lain, Anda bisa mendapatkan statistik pengunjung yang akurat.
Fungsi untuk mengecualikan rekaman
Namun, pada kenyataannya, perintah ini tidak menggunakan parameter apa pun untuk menghentikan logika SQL.
Akibatnya, penyerang dapat menambahkan perintah SQL berbahaya untuk memata-matai informasi sensitif dalam database. Ini dilakukan dengan menggunakan pernyataan SQL CASE dan perintah SLEEP() sambil memantau setiap respons yang muncul.
Meskipun metode ini cukup rumit, metode ini terbukti efektif dalam mendapatkan informasi yang diinginkan dalam database. Selain itu, penyerang situs web cenderung memiliki keterampilan meretas yang baik.
Untungnya, WP Statistics bereaksi cepat untuk menyelesaikan masalah ini. Detailnya dapat ditemukan di poin berikutnya!
Baca Juga: Peringatan Cracking: Kejahatan Cyber adalah Versi Peretasan yang Lebih Buruk
Solusi: Perbarui statistik WP ke versi terbaru
Belum lama ini, VeronicaLabs, pengembang WP Statistics, segera menambal kerentanan ini. Mereka melakukan ini dengan merilis versi 13.1.5. Sudah tersedia hari ini WP Statistics versi 13.1.6 dengan perlindungan yang diperpanjang.
Karena itu, pengguna WP Statistics didorong untuk memperbarui plugin sekarang. Ini adalah tindakan pencegahan untuk mencegah situs web Anda menjadi korban serangan injeksi SQL.
Sangat mudah untuk memperbarui. Cukup kunjungi dashboard WordPress lalu pilih menu Updates.
Pembaruan dasbor WordPress
Di menu ini Anda dapat melihat versi terbaru dari plugin WP Statistics. Cukup buat daftar periksa dan klik Perbarui Plugin.
versi terbaru dari plugin statistik wp
Pembaruan sedang berlangsung, harap tunggu prosesnya. Jika sudah, akan muncul layar berikut:
Perbarui plugin WP Statistics berhasil
Senang! Anda telah berhasil memperbarui Statistik WP ke versi terbaru. Ini akan melindungi situs web Anda dari kerentanan plugin ini.
Baca Juga: Perbaiki Kerentanan Keamanan Plugin PHP Everywhere dengan Cepat Sekarang!
Aktifkan pembaruan otomatis, situs web lebih aman
Memperbarui plugin WordPress itu mudah. Namun, ini masih membosankan karena Anda harus melakukannya secara manual. Untungnya, kami memiliki solusi praktis, yaitu mengaktifkan fitur pembaruan otomatis.
sel
LIHAT JUGA :