Baru saja beberapa hari lalu Securi dan Yoast merilis informasi celah keamanan XSS pada Plugin WordPress dan kali ini ada lagi yang baru yaitu serangan XSS pada fitur komentar wordpress khususnya pada wordpress versi 4.2 (baca : Critical Persistent XSS 0day in WordPress)
Siapa saja yang terkena dampaknya?
Siapa saja yang menggunakan dan mengaktifkan fitur komentar wordpress akan beresiko dan terkena dampaknya. Hacker akan memanfaatkan celah bug ini untuk melakukan injeksi ke website wordpress anda dan meletakkan backdoor, malware, spam dan sejenisnya.
Bagaimana Cara XSS Bug ini bekerja?
Perhatikan ERD WordPress 3 Berikut ini.
Bug XSS ini bekerja dengan memanfaatkan celah tabel komentar pada field comment_content dengan jenis tipe data TEXT yang artinya maksimal panjang komentar adalah sebesar 65535 bytes data.
Exploitnya yang di posting pada komentar wordpress kurang lebih seperti ini
<a href=’x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)’>test</a>
ketika di database tampilannya akan seperti ini
<p><a href=’x onclick=alert(1) AAAAAAA</p>
tapi sebagian mungkin akan mendapat informasi kalau proses html tidak selesai tapi pada sebagian besar browser sudah tersedia patchnya secara otomatis.
Bug ini memungkinkan siapa saja untuk menyisipkan kode html termasuk javascript di dalamnya.
Bagaimana Cara Mengatasinya?
WordPress telah merilis update terbaru versi 4.2.1 silahkan segera update dan kami pula telah melakukan test di server pusathosting.com injeksi ini tidak bekerja karena server secara default terpasang website firewall Mod Security. Jadi apabila anda mencoba melakukan inject script menggunakan script diatas, maka yang akan anda dapatkan adalah halaman 403 forbidden artinya script tersebut berhasil di blokir oleh server secara otomatis.
Tapi lebih amannya update segera wordpress anda ke versi 4.2.1. Demikian informasi dari kami seputar Celah Keamanan XSS 0Day di Fitur Komentar WordPress 4.2 semoga bermanfaat.
sumber : https://blog.sucuri.net/2015/04/critical-persistent-xss-0day-in-wordpress.html
Sebetulnya kemarin mau diupdate ke 4.2.1 tapi ketika dicek eh udah update sendiri hehehe…. Ketika ditelusuri ternyata untuk yang udah v4.2 akan otomatis update sendiri ke 4.2.1 🙂
Tergantung waktu installasinya pak, kalau ingin auto update tinggal ditambahkan setting di wp-config seperti ini https://codex.wordpress.org/Configuring_Automatic_Background_Updates