Celah Keamanan Content Injection di WordPress

Minggu lalu ribuan web yang dibangun dengan wordpress dihack. Termasuk blog kampus 🙁 Penyebabnya adalah celah keamanan content injection di wordpress versi 4.7.0. dan 4.7.1. Dengan memanfaatkan celah keamanan ini penyerang dapat merubah isi dari sebuah post dan halaman pada web yang dibangun dengan wordpress, tanpa perlu login.

WordPress REST API

Penyebabnya adalah fitur baru WordPress REST API yang mulai digunakan oleh wordpress pada versi WordPress 4.7.0. REST (representational state transfer) adalah fitur untuk mempermudah komunikasi/interaksi antara dua aplikasi di Internet.  Caranya dengan menyediakan web service dalam bentuk API. Fitur WordPress REST API ini digunakan untuk dapat melihat, mengedit, menghapus dan membuat post melalui web service. Sayangnya fitur ini memiliki celah keamanan yang dapat dimanfaatkan oleh penyerang untuk mengedit isi post tanpa harus login. Celah keamanan ini ditemukan pada WordPress versi 4.7.0 or 4.7.1.

Dengan memanfaatkan celah keamanan ini penyerang dapat mengirimkan sebuah rikues ke seperti berikut ini  /wp-json/wp/v2/posts/123?id=456ABC untuk mengganti isi sebuah post dengan  ID = 456 tanpa perlu login. Kemudian penyerang dapat menambahkan sebuah plugin yang bisa digunakan untuk menambahkan iklan pada web korban, dll. Bahkan dengan cara ini penyerang juga dapat menjalankan sebuah kode PHP pada web korban

Sucuri

Celah keamanan ini pertama kali ditemukan oleh tim peneliti dari perusahaan keamanan Sucuri. Tim dari Sucuri telah melaporkan temuan celah keamanan ini ke WordPress. WordPress juga telah menangani laporan tersebut dan mengeluarkan patch untuk menutup celah keamanan ini. Untuk menangani celah keamanan ini WordPress telah mengeluarkan patch dalam WordPress versi 4.7.2.

Bila anda menggunakan WordPress pada web anda sebaiknya segera update!

Penjelasan lengkap tentang celah keamanan ini dapat dilihat pada blog Marc-Alexandre Montpas dari tim Sucuri:

https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

https://sucuri.net/guides/how-to-clean-hacked-wordpress

Penjelasan dari wordpress tentang celah keamanan ini

https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/

Berita tentang kasus ini

http://thehackernews.com/2017/02/wordpress-exploit-patch.html

http://thehackernews.com/2017/02/wordpress-hack-seo.html

http://www.bbc.com/news/technology-38930428

https://threatpost.com/1-5m-unpatched-wordpress-sites-hacked-following-vulnerability-disclosure/123691/

Semoga Bermanfaat!

Silahkan tuliskan tanggapan, kritik maupun saran