Bahasa Indonesia | English

Celah Keamanan ditemukan di Plugin WordPress

03 March 2014 824


[caption id="attachment_598" align="aligncenter" width="300"]http://i.imgur.com/POy9s.jpg http://i.imgur.com/POy9s.jpg[/caption]

Sebuah celah keamanan ditemukan di salah satu plugin pada WordPress yang telah diunduh 1,7 juta orang, yang dapat memudahkan penyerang mengambil alih blog yang menggunakan plugin tersebut. Kelemahan terletak di MailPoet Newsletters plugin, sebelumnya dikenal sebagai wysija-newsletter dan ditemukan oleh peneliti dari perusahaan keamanan web, Sucuri.

Bug ini harus ditanggapi dengan serius, karena memberi penyusup kekuatan untuk melakukan sesuatu sesuai kehendaknya di website korbannya,” tulis Daniel Cid, Kepala Teknologi Sucuri di blognya pada hari selasa. “Bug ini memungkinkan setiap file PHP untuk diunggah. Ini memungkinkan penyerang menggunakan website korban untuk umpan phising, mengirim spam, hosting malware, menginfeksi pengguna lain (melalui server bersama), dan lainnya”.

Kerentanan ditambal di MailPoet versi 2.6.7, yang dirilis Selasa, sehingga semua administrator blog WordPress harus meng-upgrade plugin ke versi terbaru sesegera mungkin jika mereka menggunakannya. Cacat yang merupakan hasil dari pengembang MailPoet salah mengasumsikan bahwa "admin_init" hook di WordPress hanya dipicu ketika administrator mengunjungi halaman dari panel administrasi, kata Cid.

Para pengembang MailPoet menggunakan “admin_init” untuk memverifikasi apakah pengguna aktif diperbolehkan untuk mengunggah file, tapi karena bug ini sebenarnya juga dipicu oleh halaman yang diakses oleh pengguna yang tidak berkepentingan, fungsi upload file plugin yang dibuat tersedia untuk hampir di setiap orang.

Dikarenakan sangat mudahnya untuk membuat kesalahan ini maka diharapkan semua pengembang plugin harus memperhatikan perilaku ini, kata Cid. "Jika anda seorang pengembang, jangan pernah menggunakan admin_init() atau is_admin() sebagai metode otentikasi."

Situs WordPress adalah target konstan untuk penyerang dan mereka yang bisa dikompromikan sering digunakan untuk meng-host halaman spam atau konten berbahaya sebagai bagian dari serangan lainnya. Penjahat cyber menjalankan scan di Internet setiap hari untuk mengidentifikasi instalasi WordPress dipengaruhi oleh kerentanan seperti yang ditemukan di MailPoet. (BPPTIK/JF/rie/hdn)

Sumber : http://www.pcworld.com/article/2450280/critical-vulnerability-in-popular-wordpress newsletter-plugin-endangers-many-blogs.html