Pertengahan Februari ini ada kabar kurang mengenakan dari plugin ThemeGrill Demo Importer. Plugin ini berguna untuk Anda yang memiliki themes dari ThemeGrill untuk melakukan import themes seperti yang ada di demo mulai dari tampilan, widget dan pengaturan dalam satu klik saja. Jadi plugin ini memudahkan dalam kustomisasi themes WordPress dari salah satu pengembang themes WordPress ternama ThemeGrill.
ThemeGrill Demo Importer
Plugin ini sudah diinstall lebih dari 200.000 pengguna aktif website CMS WordPress, parahnya lagi pada versi sebelum update, plugin ini memiliki celah yang bisa dieksploitasi oleh peretas untuk menghapus website dan mendapatkan akses admin utama. WebARX dalam investigasinya untuk versi yang rentan mulai dari versi 1.3.4 sampai 1.6.1. Jadi untuk Anda yang saat ini masih menggunakan versi tersebut segeralah update ke versi 1.6.2 yang sudah aman dari bug.
Menurut laporan dari WebARX, ketika Anda sudah install plugin ThemeGrill Demo Importer, plugin akan menjalankan beberapa fungsi dengan mengeksekusi fungsi tanpa melakukan cek autentikasi sebagai admin. Bug ini akhirnya membuat peretas dengan mudah masuk sebagai admin tanpa adanya autentikasi keamanan. Serangan ini dilakukan dari jarak jauh dengan cara mengirimkan payload yang ditujukan pada website-website yang menggunakan plugin ThemeGrill.
Pada gambar script code diatas kita bisa melihat tidak adanya proses autentikasi keamanan, hanya ada parameter do_reset_wordpress saja.
Dilihat dari data download plugin ini setelah adanya pengumuman update versi terbaru untuk mengatasi bug, jumlah download plugin ThemeGrill Demo Importer meningkat pesat. Berikut grafiknya.
Dan untuk active install berkurang cukup banyak karena kekhawatiran pengguna akan keamanan plugin ini. Berikut grafiknya.
Kabar dari plugin WordPress ThemeGrill Importer ini menjadi bug plugin WordPress kedua pada awal tahun 2020 ini yang memungkinkan para peretas untuk menghapus database WordPress. Bulan sebelumnya, tim dari Wordfence mengungkapkan masalah yang sama ditemui pada plugin “WP Database Reset” yang diinstall lebih dari 80.000 pengguna aktif.
Cara Mengatasi Bug Plugin WordPress
Untuk itu Anda perlu melakukan beberapa tindakan antisipasi agar tidak terjadi masalah yang sama, berikut beberapa cara mengatasi bug plugin WordPress:
1. Selalu lakukan backup
Untuk Anda yang malas melakukan backup harian, silahkan cari provider hosting yang menyediakan layanan backup harian. Salah satu rekomendasi dari kami adalah Qwords.com, Qwords memiliki layanan daily backup database mulai dari paket hosting termurah sekalipun, jadi Anda tidak perlu khawatir kehilangan website, tinggal menghubungi team teknis kami untuk melakukan restore database seperti semula.
2. Rubah username dan password
Pada kasus dari plugin ThemeGrill Demo Importer tersebut, yang menjadi korban adalah username yang masih standart menggunakan nama “admin”, jadi untuk Anda mulai sekarang jangan menggunakan username standart, silahkan rubah agar lebih aman. Selain itu dalam pengunaan password, gunakan kombinasi dengan angka dan karakter agar lebih kuat.
3. Selalu lakukan update plugin
Update plugin bertujuan untuk mengatasi permasalahan dan bug pada versi sebelumnya. Sama halnya yang terjadi pada plugin ThemeGrill Demo Importer tersebut setelah dilakukan update ke versi 1.6.2, bug keamanan sudah bisa ditutup, jadi Anda sebagai pengguna bisa merasa lebih aman.
4. Hapus plugin yang tidak terpakai
Selain memberi efek load semakin berat pada website, plugin yang tidak terpakai menjadi lebih rawan dari ancaman bug atau permasalahan keamanan lainnya. Dalam menggunakan plugin usahakan jangan menginstall plugin yang memiliki fungsi sama, biasanya akan terjadi konflik yang menyebabkan error pada fungsi WordPress.
5. Gunakan themes/plugin resmi
Nah ini juga perlu diperhatikan, jangan sampai menggunakan plugin atau themes WordPress illegal. Plugin dan themes yang resmi saja bisa masih memiliki celah keamanan apalagi plugin dan themes illegal yang sudah dimodifikasi, sangat berpeluang sekali untuk disisipi program jahat yang berbahaya untuk website Anda.
6. Cek rating dan active install
Rating dan active install menjadi salah satu indikator dalam melakukan install plugin. Semakin bagus rating dan semakin banyak active install berarti semakin terpercaya plugin tersebut, tetapi jangan lupa untuk selalu melakukan update rutin setiap ada versi terbaru dirilis.
7. Cek review plugin
Yang terakhir adalah masalah review plugin, silahkan baca review dari pengguna apakah puas atau tidak. Selain itu dari hasil review Anda sudah bisa menemukan gambaran tentang plugin yang akan diinstall apakah sesuai atau tidak.
Nah demikian pembahasan mengenai bug WordPress ThemeGrill Demo Importer dan cara mengatasi bug di WordPress. Untuk lebih amannya Anda bisa mengaplikasikan 7 cara diatas agar lebih aman dari kejadian serupa. Perlu diketahui bahwa setiap sistem yang dibuat pasti memiliki celah keamanan yang bisa dieksploitasi oleh para peretas, tetapi Anda bisa mencegahnya dengan seperti beberapa hal diatas tersebut.
Terima kasih