Celah Keamanan Plugin WordPress WP HTML Mail Ancam 20,000+ Website!

Celah Keamanan Plugin WordPress WP HTML Mail Ancam 20,000+ Website!

SoPasti.Com

Vikra Alizanovic Vikra is a digital content writer at Niagahoster. He loves to confide and engage in people on hot topics regarding blogging, lifestyle, WordPress-stuffs, and other IT gimmicks. On his free time, he loves to read and watch One Piece.

2 min read

Ada celah keamanan pada plugin WP HTML Mail yang mengancam puluhan ribu pengguna. Dengan celah keamanan itu, hacker dapat melakukan aksi phising ke banyak pengguna.

Kalau Anda termasuk salah satu pengguna plugin tersebut di website, Anda perlu melakukan update sesegera mungkin.

Jangan khawatir! Pada artikel ini, kami akan menjelaskan apa yang terjadi, dan solusi dari ancaman celah keamanan WP HTML Mail. Silakan disimak!

Celah Keamanan Plugin WP HTML Mail

Pada 10 Januari 2022, tim keamanan Wordfence menemukan masalah celah keamanan pada plugin “WordPress Email Template Designer – WP HTML Mail” versi 3.0.9

Plugin ini umum digunakan untuk mendesain template email oleh pengguna WordPress dan diintegrasikan dengan plugin populer seperti WooCommerce, Ninja Forms, dan BuddyPress.

Tak kurang dari 20.000 website menggunakan plugin ini. Yang menjadi masalah, website tersebut rata-rata memiliki jumlah pengunjung yang besar.

Dengan kata lain, jika tidak segera ditanggulangi, celah keamanan ini bisa berdampak serius terhadap banyak pengguna internet secara umum.

Menurut Wordfence, celah keamanan plugin ini merupakan kerentanan terhadap serangan Cross-Site Scripting (XSS). Hal ini memungkinkan hacker untuk melakukan injeksi kode untuk menambahkan pengguna baru dengan role administrator. 

Dengan kata lain, hacker dapat mengambil alih kontrol website sepenuhnya.

Hacker kemudian dapat memodifikasi template email sehingga mengandung arbitrary data, yaitu data acak seperti string, nomor, atau skrip. Nantinya, hal itu bisa untuk melakukan phising terhadap siapapun yang datanya tercatat di website tersebut.

Apa Penyebabnya?

Karena WP HTML Mail dikembangkan untuk mendesain template email, plugin ini menambahkan dua rute REST-API yang berfokus pada fungsi /themesettings, yang dapat menerapkan dua fungsi berikut:

  • Fungsi getThemeSettings yang digunakan untuk mengakses setting template email.
  • Fungsi saveThemeSettings yang digunakan untuk mengupdate/mengubah dan menyimpan setting template email.

Celah keamanan ini disebabkan ujung rute REST-API yang tidak terlindungi.

Masalahnya, fungsi permission_callback yang digunakan pada ujung rute REST-API plugin ini diatur menjadi __return_true. Artinya, tidak ada verifikasi pada pengguna untuk menerapkan fungsi tersebut, sehingga siapapun dapat mengakses fungsi /themesettings untuk memodifikasi settingan template email.

Dengan akses modifikasi setting template email, pengguna yang tidak terverifikasi dapat melakukan berbagai tindakan yang berpotensi merugikan pengguna dan website itu sendiri.

Solusi Celah Keamanan Plugin WP HTML Mail

Untungnya, pada 13 Januari 2022, pihak pengembang plugin merespon celah keamanan WP HTML Mail ini dengan merilis patch update, yaitu versi 3.1.

Jika Anda pengguna website WordPress yang masih menggunakan versi lama plugin ini, segera update plugin guna terhindar dari ancaman celah keamanan yang dimiliki.

Untuk melakukan update secara manual, Anda bisa mengeceknya pada menu Updates di dashboard WordPress dulu. Kemudian, cek apakah ada plugin yang perlu diupdate pada bagian Plugins.

update wp html mail plugin lewat dashboard

Selain itu, Anda juga bisa mengatur update otomatis dengan membuka menu Plugins, lalu pada kolom plugin WP HTML Mail, klik opsi Enable auto-updates.

cegah celah keamanan wp html mail plugin dengan auto update

Yang istimewa, pengguna layanan Niagahoster punya solusi yang lebih mudah dengan memanfaatkan fitur Auto Update WordPress.

Anda cukup mengaktifkannya dengan mengklik tab Website pada halaman Member Area Niagahoster. Selanjutnya klik opsi Auto Update pada tab WordPress Management.

update otomatis member area niagahoster

Pilih opsi Lakukan Update disemua Versi yang Tersedia. Aktifkan juga Auto update WordPress Plugins serta Auto update WordPress Tema. Selanjutnya klik tombol Update.

Dengan mengaktifkan fitur ini, semua update untuk tema, plugin, dan core WordPress Anda akan berjalan secara otomatis. Tentunya keamanan website Anda pun jadi lebih terjamin.

Tingkatkan Keamanan Website Anda dengan Fitur Auto Update!

Ancaman terhadap website bisa datang dari mana saja, termasuk dari plugin. Contohnya terjadi pada plugin WP HTML Mail.

Celah keamanan yang ditemukan bisa membuat hacker melakukan phising sehingga bisa merugikan pengguna dan merusak kredibilitas website Anda.

Itulah mengapa penting untuk selalu memastikan keamanan website Anda terjaga. Salah satunya adalah dengan selalu melakukan update pada plugin dan core WordPress.

Fitur Auto Update pada Member Area Niagahoster bisa menjadi senjata  ampuh untuk melindungi keamanan website dari celah keamanan yang dimiliki plugin, tema dan inti WordPress.
Semoga informasi di atas bermanfaat, ya. Kalau Anda ingin tahu cara mengamankan website yang lebih lengkap, download ebook gratis: Langkah Ampuh Mengamankan Website.

ebook keamanan website

via Niagahoster

Disclaimer: Gambar, artikel ataupun video yang ada di web ini kadang kala berasal dari berbagai sumber media lain. Hak Cipta sepenuhnya dimiliki oleh sumber tersebut. Jika ada masalah terkait hal tersebut, Sobat dapat menghubungi kami disini.