Ngeri! Masalah Keamanan Plugin Ninja Forms Ancam Jutaan Website


Pada tanggal 16 Juni 2022, penyedia layanan keamanan Wordfence mengumumkan adanya kerentanan di plugin Ninja Forms. Ninja Forms yaitu plugin WordPress untuk membuat jenis form dengan drag dan drop secara mudah.

Menurut tim analis Wordfence, masalah keamanan tersebut menyerang versi Ninja Forms, seperti:

  • Versi 3.6 hingga 3.6.10
  • Versi 3.5 hingga 3.5.8.3
  • Versi 3.4 hingga 3.4.34.1
  • Versi 3.3 hingga 3.3.21.3
  • Versi 3.2 hingga 3.2.27
  • Versi 3.1 hingga 3.1.9
  • Versi 3.0 hingga 3.0.34.1

Bahkan dari skala 0-10, pihak Wordfence ini menilai isu kerentanan Ninja Forms dengan skor 9.8, yang artinya berbahaya. Alasannya, celah keamanan tersebut memungkinkan pihak tidak bertanggung jawab melancarkan serangan berjenis Code Injection.

Perlu kamu ketahui, Code Injection yaitu salah satu jenis kerentanan yang paling mengerikan saat ini. Dengan Code Injection, hacker bisa menjalankan kode berbahaya secara berantai untuk merusak website korbannya.

Tidak hanya itu, Code Injection juga dalang dibalik serangan yang lebih spesifik. Sebut saja SQL Injection, Server Side Template Injection, Cross Site Scripting (XSS), dan Object Injection.

Kembali ke Ninja Forms, dari manakah asal masalah keamanan plugin itu? Jawabannya ada di poin berikutnya!

Penyebab Masalah: Kecacatan Fitur Merge Tags

Ternyata, penyebab kerentanan plugin Ninja Forms yaitu kecacatan fitur Merge Tags. Sejatinya, Merge Tags ini memungkinkan sebuah form mengambil data dari form lain. Sehingga, pengunjung tak perlu menginput data berulang-ulang.

fitur merge tags ninja forms
Sumber : www.niagahoster.co.id

Namun sayangnya, fitur ini ternyata menjadi titik kelemahan Ninja Forms. Sebab, Merge Tags bisa memanggil berbagai Class di plugin itu. Hal inilah yang dimanfaatkan hacker untuk mengobrak-abrik website WordPress korban.

Cara kerjanya seperti ini. Dalam fitur Merge Tags ada fungsi bernama is_callable(). Fungsi itu berguna untuk melakukan pengecekan pada setiap Tag berisi Method dan Class yang dipanggil.

Yang jadi masalah yaitu ada sebuah Class bernama NF_MergeTags_Other yang selalu dipanggil saat proses pemeriksaan. Class ini yang bisa dimanfaatkan oleh hacker untuk menanamkan kode berbahaya.

Jika sudah begitu, mereka bisa melancarkan serangan untuk menjangkiti Class lain. Salah satunya yaitu NF_Admin_Processes_ImportForm di mana hacker bisa mengambil alih website si korban lewat metode Remote Code Injection (RCE).

Parah sekali kan? Namun untungnya, pihak Ninja Forms ini bertindak cepat menambal masalah kerentanan itu.

Solusi Mutlak: Update Plugin Ninja Forms ke Versi Terbaru

Selang beberapa jam setelah isu keamanan tersebut merebak, Saturday Drive selaku perusahaan Ninja Forms langsung memperbaiki masalah itu. Caranya dengan merilis versi baru dengan rincian sebagai berikut:

  • Ninja Forms 3.0.34.2
  • Ninja Forms 3.1.10
  • Ninja Forms 3.2.28
  • Ninja Forms 3.3.21.4
  • Ninja Forms 3.4.34.2
  • Ninja Forms 3.5.8.4
  • Ninja Forms 3.6.11

Untungnya lagi, pihak WordPress ini juga langsung memberlakukan update paksa untuk seluruh website yang menggunakan Ninja Forms. Karena mereka menganggap hal ini sebagai kejadian yang luar biasa yang dapat mengancam penggunanya.

Namun tetap saja, kamu yang menginstall Ninja Forms ini diimbau untuk tetap memeriksa status update plugin itu di website. Hal ini adalah tindakan pencegahan, siapa tahu website kamu masih memakai Ninja Forms versi lama.

Lantas, bagaimana cara untuk update plugin Ninja Forms? Gampang, kamu cukup masuk ke Dashboard WordPress. Jika sudah  lalu, klik menu Updates yang ada pada Sidebar.

dashboard wordpress update
Sumber : www.niagahoster.co.id

Setelahnya kamu akan dibawa ke halaman Updates. Di sini, akan muncul versi yang terbaru plugin Ninja Forms. Lalu, langsung saja klik tanda checklist dan tekan Update Plugins.

versi terbaru plugin ninja forms
Sumber : www.niagahoster.co.id

Silakan tunggu, proses update plugin yang akan berjalan. Jika berhasil, kamu akan melihat tampilan di bawah. Mudah kan cara memperbarui plugin Ninja Forms?

update plugin ninja forms berhasil
Sumber : www.niagahoster.co.id

Meski cukup mudah, mengupdate plugin dengan metode ini sebenarnya sedikit merepotkan. Sebab, kamu harus mengecek halaman Updates secara berkala, kemudian melakukan update secara manual.

Untungnya, sekarang ada solusi yang praktisnya. Yaitu, dengan mengaktifkan fitur Auto Update WordPress.

Auto Update WordPress bisa kamu manfaatkan untuk mengupdate tema, plugin, dan core WordPress secara otomatis.

Baca Juga :  7+ Manfaat VPS Murah Bulanan yang Harus Anda Tahu