Kerentanan yang ditemukan di plugin PHP Everywhere mengancam lebih dari 30.000 situs web. Kerentanan ini memungkinkan RCE (Remote Command Execution) untuk membajak situs web korban.
Perbaiki Kerentanan Keamanan Plugin PHP Everywhere Sekarang!
Memperbarui plugin tentu saja merupakan solusi. Tapi apa yang sebenarnya terjadi? Yuk simak penjelasan lengkapnya!
Potensi Bahaya RCE dari PHP Di Mana Saja
Pada 4 Januari 2022, tim keamanan Wordfence menemukan kerentanan di plugin PHP Everywhere versi 2.0.3.
Plugin ini sebenarnya sangat membantu pengelola situs web untuk menjalankan kode PHP di situs web. Misalnya, pembuatan formulir kontak dan pemrosesan data yang dimasukkan ke dalam formulir.
Namun, adanya kerentanan PHP Everywhere memaksa Anda untuk waspada saat menggunakannya. Karena ada resiko semua pengguna website terverifikasi bisa menjalankan kode PHP tertentu.
Hal ini bisa menjadi peluang bagi para hacker untuk melakukan Remote Command Execution. Ini tidak hanya memungkinkan peretas untuk mengambil alih situs web, tetapi juga mengontrol data yang dikandungnya.
Berdasarkan laporan Wordfence, potensi serangan RCE ini dapat dilakukan melalui tiga metode yaitu shortcode, metabox dan blok Gutenberg. Berikut penjelasannya..
1. Kode Pendek
Plugin PHP Everywhere dapat menjalankan potongan kode PHP melalui shortcode WordPress, shortcode untuk menampilkan elemen dalam posting.
Secara default, WordPress mengizinkan pengguna terverifikasi untuk menjalankan shortcode melalui fungsi parse-media-shortcode di WordPress AJAX.
Sayangnya, penyerang dapat mengeksekusi kode PHP di situs web dengan mengirimkan permintaan [php_everywhere]<any PHP>[/php_everywhere] dalam bentuk shortcode.
Dengan hanya akses pengguna biasa, peretas dapat sepenuhnya mengontrol situs seperti administrator. Tidak mengherankan, kerentanan kode pendek ini adalah yang paling berbahaya dari plugin PHP Everywhere.
2. Kotak Meta
Penyerang juga dapat menjalankan RCE melalui metabox, yang merupakan antarmuka ke sistem backend WordPress. Metabox adalah bentuk HTML yang berisi informasi seperti kategori, tag, gambar unggulan, dll.
Plugin PHP Everywhere memungkinkan siapa saja dengan akses edit_posts untuk menggunakan metabox ini.
Artinya siapapun dengan level kontributor dapat menjalankan kode PHP yang akan merugikan website. Penyerang cukup membuat postingan baru, lalu menempelkan kode PHP ke metabox plugin PHP Everywhere dan mempratinjau postingan tersebut.
3. Blok Gutenberg
Tidak jauh berbeda dengan MetaBox, peretas juga dapat menargetkan situs web sebagai kontributor menggunakan Gutenberg, editor WordPress berbasis blok baru.
Faktanya, izin edit_posts hanya dapat diatur untuk admin situs. Sayangnya, pada plugin versi 2.0.3, proses verifikasi hanya dapat dilakukan ketika Gutenberg dinonaktifkan.
Kondisi ini memungkinkan pengguna tingkat kontributor untuk menjalankan kode PHP di situs web. Caranya adalah dengan membuat postingan baru, tambahkan blok PHP Everywhere, paste kode di dalamnya, dan preview postingan tersebut.
Solusi yang harus Anda ambil
Untuk memperbaiki kerentanan ini di PHP Everywhere, Anda harus memperbarui ke patch terbaru, versi 3.0.0.
Sayangnya, solusi patch ini hanya berlaku untuk pengguna Gutenberg. Jika Anda masih menggunakan Editor Klasik, Anda harus menghapus plugin PHP Everywhere dan mencari plugin lain untuk sementara.
Jadi untuk selalu menggunakan plugin versi terbaru untuk alasan keamanan, Anda dapat mengaktifkan pembaruan otomatis untuk plugin yang Anda gunakan.
Caranya: Dari menu Plugin di dashboard WordPress, klik opsi “Turn on automatic updates” untuk setiap plugin.
Aktifkan pembaruan otomatis untuk mencegah kerentanan PHP di mana-mana
Kini, langkah yang jauh lebih mudah tersedia bagi pengguna layanan Niagahoster. Dengan fitur Pembaruan Otomatis WordPress, Anda tidak perlu repot mengaktifkan pembaruan otomatis satu per satu.
Langkahnya adalah login ke halaman Area Anggota Niagahoster lalu klik tab Website. Selanjutnya, klik opsi Pembaruan otomatis di bawah tab administrasi WordPress.
Fitur update otomatis dari member area niagahoster
Pilih opsi Perbarui ke semua versi yang tersedia. Jangan lupa untuk mengaktifkan tombol “Auto-update WordPress plugins” dan “Auto-update WordPress theme”. Kemudian cukup klik tombol Segarkan.
Fitur khusus: Fungsi ini tidak hanya memperbarui plugin secara otomatis, tetapi juga tema WordPress dan file inti.
Lindungi situs web Anda dengan PL
IHAT JUGA :