Vault Keamanan Plugin Email HTML WordPress WP Mengancam Lebih dari 20.000 Situs Web!

Ada kerentanan dalam plugin email HTML WP yang mengancam puluhan ribu pengguna. Kerentanan ini memungkinkan peretas untuk melakukan tindakan phishing pada banyak pengguna.

Vault Keamanan Plugin Email HTML WordPress WP Mengancam Lebih dari 20.000 Situs Web!

Jika Anda salah satu pengguna plugin di situs tersebut, Anda harus memperbaruinya sesegera mungkin.

Vault-Keamanan-Plugin-Email-HTML-WordPress-WP-Mengancam-Lebih-dari-20.000-Situs-Web!

Jangan khawatir! Pada artikel ini kami menjelaskan apa yang terjadi dan solusi untuk kerentanan WP HTML Mail. Tolong dengarkan!

Keamanan Vault dari WP-HTML Mail Plugin

Pada 10 Januari 2022, tim keamanan Wordfence menemukan kerentanan di plugin “WordPress Email Template Designer – WP HTML Mail” versi 3.0.9.

Biasanya digunakan untuk mendesain template email oleh pengguna WordPress, plugin ini terintegrasi dengan plugin populer seperti WooCommerce, Ninja Forms, dan BuddyPress.

Tidak kurang dari 20.000 situs web menggunakan plugin ini. Masalahnya, website tersebut rata-rata memiliki banyak pengunjung.

Dengan kata lain, jika kerentanan ini tidak segera diperbaiki, hal itu dapat berdampak serius pada banyak pengguna internet pada umumnya.

Menurut Wordfence, kerentanan plugin ini adalah kerentanan serangan cross-site scripting (XSS). Ini memungkinkan peretas untuk melakukan injeksi kode untuk menambahkan pengguna baru dengan peran admin.

Dengan kata lain, peretas dapat mengambil kendali penuh atas situs web.

Peretas kemudian dapat memodifikasi template email agar berisi data arbitrer, yaitu data acak seperti string, angka, atau skrip. Kemudian, dapat digunakan untuk phish siapa saja yang rinciannya dicatat di situs web.
Apa yang dipicu?

Karena WP HTML Mail dirancang untuk mendesain template email, plugin ini menambahkan dua rute REST API yang berpusat pada fungsi /themesettings, yang dapat mengimplementasikan dua fungsi berikut:

Fungsi getThemeSettings digunakan untuk mengakses pengaturan template email.
Fungsi saveThemeSettings digunakan untuk memperbarui/mengubah dan menyimpan pengaturan template email.

Kerentanan ini disebabkan oleh ujung rute REST API yang tidak terlindungi.

Masalahnya adalah fungsi permission_callback yang digunakan di akhir rute REST API plugin ini disetel ke __return_true . Artinya tidak ada verifikasi pengguna untuk menerapkan fitur tersebut, sehingga siapa pun dapat mengakses fitur /themesettings untuk mengubah pengaturan template email.

Dengan akses ke pengaturan template email yang dimodifikasi, pengguna yang belum diverifikasi dapat melakukan berbagai tindakan yang berpotensi merugikan pengguna dan situs web itu sendiri.
Solusi Retak Keamanan Plugin Email WP HTML

Untungnya, pada 13 Januari 2022, pengembang plugin menanggapi kerentanan ini di WP HTML Mail dengan merilis pembaruan tambalan, yaitu versi 3.1.

Jika Anda pengguna website WordPress yang masih menggunakan versi lama dari plugin ini, segera update plugin untuk menghindari risiko kerentanan keamanan yang Anda miliki.

Untuk melakukan update secara manual, Anda bisa mengeceknya terlebih dahulu dari menu Updates di dashboard WordPress. Kemudian periksa apakah ada plugin yang perlu diperbarui di bagian Plugin.
Perbarui plugin surat HTML wp dari dasbor

Selain itu, Anda juga dapat mengatur pembaruan otomatis dengan membuka menu Plugins kemudian mengklik opsi Enable Automatic Updates di kolom WP HTML Mail Plugin.
Cegah kerentanan plugin email wp html dengan pembaruan otomatis

Yang membuatnya istimewa: Pengguna layanan Niagahoster memiliki solusi yang lebih mudah dengan menggunakan fitur WordPress Auto Update.

Anda mengaktifkannya cukup dengan mengklik tab website di halaman member area Niagahoster. Kemudian klik opsi Pembaruan otomatis di bawah tab administrasi WordPress.
pembaruan otomatis area anggota Commerce

Pilih opsi Perbarui ke semua versi yang tersedia. Aktifkan juga Auto-Update WordPress Plugins dan Auto-Update WordPress Themes. Kemudian klik tombol Segarkan.

Jika Anda mengaktifkan fitur ini, semua pembaruan tema, plugin, dan inti WordPress Anda akan dilakukan secara otomatis. Tentu saja, keamanan situs web Anda terjamin.
Tingkatkan keamanan situs web Anda dengan fitur pembaruan otomatis!

Ancaman terhadap situs web bisa datang dari mana saja, termasuk plugin. Contoh dapat ditemukan di plugin email WP HTML.

Kerentanan yang terdeteksi dapat mengelabui peretas untuk melakukan phishing, yang dapat membahayakan pengguna dan memengaruhi kredibilitas situs web Anda.

Itu sebabnya

LIHAT JUGA :

jasa penulis artikel terpercaya