Celah keamanan yang ditemukan pada plugin PHP Everywhere mengancam lebih dari 30,000 website. Celah tersebut memungkinkan adanya RCE (Remote Command Execution) yang mampu mengambil alih website korbannya.
Melakukan update plugin tentu merupakan sebuah solusi. Namun, apa sebenarnya yang terjadi? Yuk simak penjelasan selengkapnya!
Potensi Bahaya RCE dari PHP Everywhere
Pada 4 Januari 2022, tim keamanan dari Wordfence menemukan celah keamanan pada plugin PHP Everywhere versi 2.0.3.
Plugin ini sebenarnya cukup membantu pengelola website menjalankan kode PHP di website. Sebagai contoh, membuat contact form dan memproses data yang diinputkan di form itu.
Namun, adanya celah keamanan PHP Everywhere membuat Anda harus waspada ketika menggunakannya. Sebab, ada risiko bahwa semua pengguna website yang terverifikasi dapat menjalankan kode PHP tertentu.
Hal ini bisa menjadi kesempatan hacker melakukan Remote Command Execution. Dengannya, hacker tak hanya bisa mengambil alih website, tapi juga menguasai data di dalamnya.
Berdasarkan laporan dari Wordfence, potensi serangan RCE ini dapat dijalankan melalui tiga metode, yakni melalui shortcode, metabox, dan gutenberg block. Ini dia penjelasannya..
1. Shortcode
Plugin PHP Everywhere bisa menjalankan snippet kode PHP melalui shortcode WordPress, kode pendek untuk menampilkan elemen pada postingan.
WordPress secara default mengizinkan pengguna yang terverifikasi untuk menjalankan shortcode melalui fungsi parse-media-shortcode pada AJAX WordPress.
Sayangnya, penyerang jadi bisa menjalankan kode PHP pada website dengan mengirim permintaan [php_everywhere]
Hanya berbekal akses pengguna biasa, hacker bisa menguasai penuh website layaknya seorang administrator. Tak heran, celah shortcode inilah yang paling berbahaya dari plugin PHP Everywhere.
2. Metabox
Penyerang juga mampu melakukan RCE melalui metabox, yaitu sebuah interface pada sistem back-end WordPress. Metabox berbentuk HTML form yang berisi keterangan seperti kategori, tags, featured image, dan sebagainya.
Plugin PHP Everywhere mengizinkan semua pengguna yang memiliki akses edit_posts untuk menggunakan metabox ini.
Artinya, siapapun dengan level contributor dapat menjalankan kode PHP yang membahayakan website. Penyerang cukup membuat post baru, lalu mencantumkan kode PHP pada metabox plugin PHP Everywhere, dan melakukan preview post.
3. Gutenberg Block
Tak jauh beda dengan MetaBox, hacker juga bisa menyerang website sebagai contributor dengan memanfaatkan Gutenberg, editor baru WordPress berbasis blok.
Sebenarnya hak akses edit_posts bisa diatur hanya untuk admin website. Sayangnya, pada plugin versi 2.0.3, proses verifikasi hanya bisa berjalan ketika Gutenberg non aktif.
Kondisi ini membuat pengguna dengan contributor level pun mampu menjalankan kode PHP pada website. Caranya, dengan membuat post baru, menambahkan blok PHP Everywhere dan mencantumkan kode di dalamnya, serta melakukan preview post.
Solusi yang Perlu Anda Ambil
Untuk mengatasi masalah celah keamanan PHP Everywhere ini, Anda perlu melakukan update ke patch terbaru, yakni versi 3.0.0.
Sayangnya, solusi patch ini hanya berlaku untuk pengguna Gutenberg saja. Jika masih menggunakan Classic Editor, Anda harus uninstall plugin PHP Everywhere dan mencari plugin lain sementara.
Nah, agar bisa selalu menggunakan versi plugin terbaru untuk alasan keamanan, Anda bisa mengaktifkan update otomatis pada plugin yang digunakan.
Caranya, melalui menu Plugins pada Dashboard WordPress,klik opsi Enable auto-updates pada tiap plugin.
Nah, langkah yang jauh lebih mudah tersedia bagi pengguna layanan Niagahoster. Dengan fitur Auto Update WordPress, Anda tak perlu ribet mengaktifkan auto update satu per satu.
Langkahnya, login ke halaman Member Area Niagahoster, lalu klik tab Website. Selanjutnya, klik opsi Auto Update pada tab WordPress Management.
Pilih opsi Lakukan Update di semua Versi yang Tersedia. Jangan lupa juga untuk mengaktifkan toggle Auto update WordPress Plugins dan Auto update WordPress Tema menjadi on. Kemudian tinggal klik tombol Update.
Yang istimewa, fitur ini tidak hanya melakukan update otomatis pada plugin, tapi juga tema dan file Core WordPress.
Lindungi Website Anda dengan Update Plugin!
Memastikan website Anda selalu aman dari berbagai celah keamanan adalah langkah penting. Terutama, untuk menghindari potensi bahaya seperti terjadi pada plugin PHP Everywhere di atas.
Salah solusi terbaik adalah dengan selalu mengupdate plugin, tema, dan core WordPress Anda. Untungnya, fitur Member Area Niagahoster memberikan kemudahan pengguna untuk mendapatkan versi terbaru secara otomatis.
Tak hanya itu, di Member Area Niagahoster juga terdapat menu untuk melakukan staging, yaitu menggunakan versi duplikat website untuk memastikan update plugin aman, sebelum menerapkannya di website utama.
Dalam contoh di atas, update plugin yang aman ternyata tidak kompatibel dengan Classic editor.
Oh ya, mengingat banyaknya jenis kejahatan online yang berpotensi menyerang website Anda, upaya mengamankan website Anda harus lebih optimal.
Anda bisa mencoba langkah-langkah pengamanan website yang sudah kami rangkum secara lengkap. Cukup download ebook gratis di bawah ini!
via Niagahoster
