Welcome to our blog!

WordPress baru saja merilis update security pada hari Selasa, 7 Maret 2017, dimana update patch WordPress 4.7.3 terbaru ini memperbaiki banyak celah keamanan. Termasuk salah satunya adalah celah yang mempengaruhi REST API Endpoint, dimana celah ini mempengaruhi lebih dari satu juta website menjadi rentan untuk diserang. Update ini membuat patch untuk memperbaiki backport untuk semua versi sebelumnya, sehingga dampak dari bug ini menjadi lebih ter.2batas.

Celah dari bug pada REST API ini sebenarnya telah dirilis patch-nya secara diam-diam melalui WordPress 4.7.2. Namun sayangnya banyak website WordPress yang tidak segera mengupdatenya, setidaknya ada lebih dari satu juta website tidak mengupdatenya dan hacker bergerak cepat untuk melakukan serangan. Serangan ini segera diluncurkan tidak lama setelah WordPress 4.7.2 dirilis pada 27 Januari, hacker mengambil keuntungan dari website WordPress yang belum di patch dengan mengirimkan spam dan website phishing seperti solusi farmasi.

Patch WordPress 4.7.3 juga termasuk memperbaiki celah pada cross-site scripting yang ditemukan oleh perusahaan keamanan Sucuri, yang juga menemukan bug pada REST API. Celah ini dapat dieksploitasi oleh hacket untuk mendapatkan hak akses seperti sebagai contributor atau author. Hacket kemudian dapat memasukan kode malicious yang pendek pada postingan, yang dapat mem-bypass perlindungan cross-site scripting pada WordPress.

Sementara celah pada REST API memungkinkan hacker dengan satu baris kode exploit mendapatkan akses ke API dan mengganti konten website dan URL permalink. Isu ini berada pada pengaturan akses REST API, dengan menggunakan value GET dan POST. Semua request dengan huruf pada ID akan mem-bypass permission check dan hacker bisa mendapatkan hak akses admin.

Peneliti dari SiteLock mengatakan ada sekitar 20 hacker yang berbeda yang mencoba untuk menguangkan celah ini melalui defacement yang berisi link ke website phishing berbau farmasi.

Perbaikan lain yang dibawa oleh WordPress 4.7.3 adalah bug yang dilaporkan oleh Daniel Chatfield, dimana bug ini memungkinkan untuk mengontrol karakter yang mungkin membohongi redirect URL validation. Juga memperbaiki isu dimana file yang tidak diinginkan mungkin dihapus oleh admin website dengan menggunakan plugin dengan fungsi untuk menghapus. Bug cross-scripting via taxonomy dan cross-site request forgery yang dapat membuat sumber daya website habis juga telah diperbaiki pada WordPress 4.7.3.

Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.