Tiga Kelemahan Plug In Untuk WordPress Dibongkar, Ratusan Ribu Situs Teksploitasi Peretas
Dalam seminggu terakhir, dua plug in untuk WordPress dibongkar kelemahannya oleh pihak yang menyebut dirinya sebagai security provider sebelum patch perbaikannya dirilis untuk pengguna plug in. Plug in tersebut adalah Yuzo Related Posts yang digunakan oleh 60.000 situs aktif, dan Yellow Pencil Visual Theme Customizer yang digunakan oleh 30.000 situs WordPress aktif. Setelah terekspos, kedua plug in tersebut dihapus dari WordPress sehingga situs yang menggunakannya pun juga otomatis harus menghapus plug in tersebut dari situsnya.
Ingin buat website yang menarik dan profesional pastikan ke velocity developer
Sebelumnya, sebuah plug in WordPress lainnya yaitu Social Warfare yang digunakan oleh 70.000 situs WordPress juga diekspos kelemahannya sebelum update patch dirilis. Sayangnya, telah terjadi serangan oleh peretas terhadap plug in ini sebelum isunya diatasi. Tiga hari setelah laporan kelemahan Yuzo dan Yellow Pencil muncul ke publik, Yellow Pencil kemudian merilis patch-nya sedangkan Yuzo masih belum terlihat aktivitasnya.
Biasanya, jika ada yang menemukan resiko keamanan pada sebuah plug in maka developer atau pengetes tersebut akan melaporkannya kepada si pembuat plug in untuk kemudian dipelajari dan dikeluarkan patch terbarunya. Etikanya adalah pengetes yang melaporkan kelemahan plug in yang disebut dengan “zero day/0day vulnerabilities” ini tidak merilis nota apapun kepada publik sampai patch baru dirilis.
Berbeda dengan yang dilakukan oleh pihak tertentu ini yang menyebabkan kehebohan dengan mengeksploitasi tiga zero day vulnerabilities dari plug in untuk WordPress sebelum patch-nya dirilis secara resmi. Kelemahan dari plug in yang disebarkan untuk umum dalam sebuah halaman situs Pluginvulnerabilities.com memudahkan para peretas untuk menyerang situs-situs yang menggunakan plug in tersebut karena dijelaskan dengan detail di mana saja bagian kelemahan yang ada pada plug in. Karena eksploitasi ini diketahui bahwa situs-situs yang menggunakan plug in tersebut di atas mengarahkan pengunjung untuk masuk ke dalam mengelabuhi dukungan teknisi dan bentuk pengelabuan online lainnya.
Serangan yang terjadi pada situs-situs yang menggunakan Yellow Pencil dan Social Warfare terjadi hanya dalam hitungan jam setelah eksploitasi zero day vulnerabilities terjadi. Dan butuh waktu 11 hari setelah Plug In Vulnerabilities “menjatuhkan bom” untuk Yuzo baru eskploitasi ini dilaporkan ke WordPress. Dari unggahan di situs tersebut, diklaim bahwa author dari Plug In Vulnerabilities sadar dengan efek eksploitasi yang disebabkan oleh publikasi zero day tersebut, namun ia menganggapnya sebagai bentuk protes dengan sikap moderator dari WordPress Support Forum melanjutkan perilaku yang “semena-mena”.
Menurutnya pihaknya bermaksud untuk memberi tahu developers setelah zero day dirilis, melalui WordPress Support Forum. Tetapi moderator di forum tersebut terlalu sering menghapus pesan-pesan yang diunggah oleh anggota forum tanpa memberikan peringatan sebelumnya. Identitas dari pemilik situs ataupun siapa yang menyebarkan zero day vulnerabilities dari tiga plug in ternama tidak diketahui dengan pasti.