WordPress SEO by Yoast Berpotensi Menjadi Pintu Masuk Hacker!

thehackernews.com-  Kabar buruk bagi pengguna plugin WordPress SEO Yoast! Terhitung tanggal 11 Maret 2015 kemarin, situs berita keamanan networking terkenal, the hacker news melaporkan bahwa plugin WordPress SEO yang dikembangkan oleh yoast.com memiliki celah keamanan Blind SQL Injection!

wordpress seo yoast

Plugin SEO yang telah digunakan oleh lebih dari 1 milyar user diseluruh dunia tersebut berpotensi memicu serangan SQL Injection. Celah keamanan tersebut ditemukan oleh pengembangn plugin keamanan wordpress WP SCAN, . Ryan menemukan celah keamanan tersebut pada WP SEO by Yoast versi .

SQL Injection sendiri merupakan celah keamanan yang kritis karena memungkinkan penyerang tak bertanggung jawab memanipulasi bahkan menghapus isi database website Anda dengan mengeksekusi perintah (query) SQL tertentu melalui url laman yang terjangkit celah keamanan tersebut.

Bagaimana Cara Kerja Serangan Tersebut?

Celah keamanan pada plugin SEO tersebut adalah pada file p. File tersebut memang harus diakses melalui previllage  administrator. Namun, attacker dapat mempraktekkan sedikit social engineering. Dengan mengarahkan user tidak berpengalaman untuk mengklik link eksploitasi yang berisi kode serangan berdasarkan celah keamanan tersebut.

Ryan juga merilis PoC (proof of concept) dari celah keamanan tersebut. PoC dari Ryan pada dasarnya adalah menyisipkan query SQL pada URL yang berisi perintah dari laman p seperti pada block quote berikut.

Perintah SQL tersebut memerintahkan WordPress untuk mengakses database dan menampilkan judul posting berdasarkan tanggal posting tersebut diterbitkan.

Cara Patching Celah Keamanan WP SEO  Yoast

Cara menutup celah keamanan tersebut adalah mengupdate plugin WordPress SEO Yoast pada versi yang lebih baru dari versi 1.7.3, yakni versi 1.7.4 yang diklaim oleh pihak Yoast telah bersih dari celah keamanan terkait.

Untuk memperbaharui plugin, Anda tinggal mengakses menu Plugin>Installed>Update Available. Pilih Plugin wordpress yang akan Anda update dan pada menu drop down, pilih Update atau Perbaharui. Setelah itu, klik Terapkan atau Apply.

celah keamanan pada wordpress seo yoast
Mengupdate plugin WordPress Secara Massal

Penutup

Akhir kata, there’s no system perfectly safe! Anda harus terus memonitor celah keamanan pada website Anda. Baik dengan memonitor langsung, atau dengan mengupdate informasi keamanan Anda pada situs penyedia vulnerability repost seperti 0day, the hacker news atau situs lainnya.

Dan cara paling ampuh untuk mencegah serangan hacker wannabe, Anda harus rajin mengupdate plugin dan themes wordpress yang Anda miliki secara berkala.

Semoga artikel ini dapat membantu Anda!

 

Leave a Reply

Your email address will not be published. Required fields are marked *