Apakah Anda pengguna plugin Ninja Forms untuk membuat formulir di situs web Anda? Jika demikian, berhati-hatilah! Baru-baru ini, masalah keamanan ditemukan di plugin. Akibatnya, peretas dapat menjalankan kode yang dapat mengocok situs web korban.
Terlebih lagi, Ninja Forms adalah salah satu plugin WordPress paling populer di dunia. Buktinya, aplikasi ini telah diinstal di lebih dari satu juta situs web!
Lantas, seperti apa detail dari masalah kerentanan Ninja Forms ini? Bagaimana cara melindungi situs web saya dari masalah plugin? Berikut informasi selengkapnya!
Plugin Ninja Forms Menyerang Masalah Kerentanan Injeksi Kode
Pada 16 Juni 2022, penyedia layanan keamanan Wordfence mengumumkan kerentanan di plugin Ninja Forms. Ninja Forms adalah plugin WordPress yang populer untuk membuat berbagai jenis formulir dengan drag & drop dengan mudah.
Menurut tim analis Wordfence, masalah keamanan ini memengaruhi beberapa versi Ninja Forms, seperti:
- Versi 3.6 hingga 3.6.10
- Versi 3.5 hingga 3.5.8.3
- Versi 3.4 hingga 3.4.34.1
- Versi 3.3 hingga 3.3.21.3
- Versi 3.2 hingga 3.2.27
- Versi 3.1 hingga 3.1.9
- Versi 3.0 hingga 3.0.34.1
Bahkan dari skala 0-10, Wordfence menilai masalah kerentanan Ninja Forms ini dengan skor 9.8, yang artinya sangat berbahaya. Pasalnya celah keamanan ini memungkinkan pihak yang tidak bertanggung jawab melancarkan serangan jenis Code Injection.
Kamu harus tahu, Code Injection adalah salah satu jenis kerentanan yang paling mengerikan saat ini. Dengan Injeksi Kode ini, peretas dapat menjalankan beberapa kode berbahaya secara berantai untuk merusak situs web korban.
Tidak hanya itu, Code Injection juga menjadi dalang di balik serangan lain yang lebih spesifik. Sebut saja SQL Injection, Cross Site Scripting (XSS), Server Side Template Injection, dan Object Injection.
Kembali ke Formulir Ninja, dari mana masalah keamanan plugin berasal? Jawabannya ada di poin berikutnya!
Ternyata, penyebab celah kerentanan plugin Ninja Forms adalah Cacat fitur Gabung Tag. Pada dasarnya, Gabung Tag memungkinkan formulir untuk mengambil data dari formulir lain. Jadi, pengunjung tidak perlu menginput data berulang-ulang.
Namun sayangnya, fitur yang satu ini ternyata menjadi titik lemah dari Ninja Forms. Karena, Merge Tags dapat memanggil berbagai Class di dalam plugin. Inilah yang justru digunakan peretas untuk meretas situs WordPress korban.
Begini Cara kerjanya. Di dalam fitur Gabung Tag ada fungsi bernama is_callable (). Fungsi ini berguna untuk memeriksa setiap Menandai mengandung Kelas dan metode ditelepon.
Masalahnya adalah, ada Kelas bernama NF_MergeTags_Other yang akan selalu dipanggil selama proses pemeriksaan. Kelas ini dapat digunakan oleh peretas untuk menyematkan kode berbahaya.
Jika demikian, mereka dapat meluncurkan serangkaian serangan untuk menginfeksi berbagai Kelas lainnya. Salah satunya adalah NF_Admin_Processes_ImportForm dimana hacker dapat mengambil alih website korban melalui metode Remote Code Injection (RCE).
Seberapa buruk? Tapi untungnya, Ninja Forms bertindak cepat untuk menambal kerentanan. Seperti apa detailnya? Mari kita pergi ke poin berikutnya!
Solusi Absolut: Perbarui Plugin Ninja Forms ke Versi Terbaru
Beberapa jam setelah masalah keamanan ini menyebar, Saturday Drive sebagai perusahaan di balik Ninja Forms segera memperbaiki masalah tersebut. Berikut cara merilis beberapa versi baru dengan detail sebagai berikut:
- Bentuk Ninja 3.0.34.2
- Bentuk Ninja 3.1.10
- Bentuk Ninja 3.2.28
- Bentuk Ninja 3.3.21.4
- Bentuk Ninja 3.4.34.2
- Bentuk Ninja 3.5.8.4
- Bentuk Ninja 3.6.11
Untungnya lagi, pesta WordPress juga segera menerapkan pembaruan paksa ke semua situs web yang menggunakan Formulir Ninja. Karena mereka menganggap ini sebagai peristiwa luar biasa yang bisa mengancam penggunanya.
Tetapi tetap saja, Anda yang menginstal Ninja Forms disarankan untuk terus memeriksa status pembaruan plugin di situs web. Ini untuk berjaga-jaga, siapa tahu website Anda masih menggunakan Ninja Forms versi lama.
Jadi, bagaimana cara memperbarui plugin Ninja Forms? Gampang, kamu masuk saja ke Dasbor WordPress. Jika sudah, klik menu Pembaruan bertempat di Bilah samping.
Anda kemudian akan dibawa ke halaman Pembaruan. Di sini, versi terbaru dari plugin Ninja Forms akan muncul. Kemudian, cukup klik tanda daftar periksa dan tekan tombol Perbarui Plugin.
Harap tunggu, proses pembaruan plugin akan dimulai. Jika berhasil, Anda akan melihat tampilan di bawah ini. Mudah bukan cara update plugin Ninja Forms?
Meski terkesan mudah, memperbarui plugin dengan cara ini sebenarnya agak merepotkan. Oleh karena itu, sebaiknya Anda memeriksa halaman Updates secara berkala, kemudian melakukan update secara manual.
Untungnya, sekarang ada solusi praktis. Yaitu dengan mengaktifkan fitur Perbarui Otomatis WordPress. Fitur ini kami hadirkan khusus untuk Anda pelanggan setia Niagahoster.
Anda dapat menggunakan Pembaruan Otomatis WordPress untuk memperbarui plugin, tema, dan inti WordPress secara otomatis. Cara mengaktifkannya juga sangat mudah.
Pertama, Anda hanya masuk ke Area Anggota Niagahoster. Jika demikian, gulir ke bawah untuk menemukan bagiannya layanan Anda. Di sini, klik tombol Kelola Hosting di situs web yang menggunakan WordPress.
Kemudian di halaman Pengaturan Hosting, pilih tab Manajemen WordPress. Kemudian, pilih menu Pembaruan Otomatis dan lakukan konfigurasi berikut:
Bagaimana, jauh lebih praktis daripada update manual? Kini, website WordPress Anda lebih aman karena selalu menggunakan komponen terbaru.
Ingin Website Anda Lebih Aman? Simak Info Pentingnya Disini!
Dalam artikel ini, Anda telah memahami detail kerentanan plugin Ninja Forms dan konsekuensinya bagi situs web. Untungnya, Anda juga telah mempraktekkan sendiri bagaimana menyelesaikan masalah tersebut.
Namun, memperbarui plugin secara teratur ke versi baru hanyalah sebagian kecil dari cara mengamankan situs web Anda. Ada hal lain yang lebih penting, yaitu memperhatikan faktor keamanan dari server hosting yang Anda gunakan.
Jika Anda membutuhkan hosting dengan fitur keamanan yang lengkap, Niagahoster melalui paket Hosting WordPress bisa menjadi pilihan. Sebagai tambahan Perbarui Otomatis WordPress yang telah kami sebutkan, ada juga fitur Patch Rentan Waktu Nyata yang tak kalah canggih.
Fitur ini berfungsi untuk memblokir semua serangan berbahaya, seperti malware, spam, dan DDoS agar tidak menginfeksi situs web Anda. Lebih kuat, Patching Rentan Realtime akan diaktifkan secara otomatis setelah Anda berlangganan paket Hosting WordPress!
Jadi tunggu apa lagi, ayo nikmati website yang lebih aman dengan Hosting WordPress Niagahoster!
Sumber:
PSA: Kerentanan Kritis Ditambal di Ninja Forms WordPress Plugin, Niagahoster
