Jika anda adalah seorang admin dari sebuah situs berbasis WordPress, hati-hati dengan plugin Jetpack yang anda pasang.
Kolom Gadget – Jetpack adalah salah satu plugin yang sangat populer. Dibuat oleh Automattic, plugin ini menghadirkan fitur yang awalnya hanya tersedia di WordPress.com ke WordPress.org. Namun cross-site scripting (XSS) yang ada didalam plugin ini membuat lebih dari satu juta situs berbasis WordPress terancam bahaya.
Perusahaan keamanan telah menemukan adanya kerentanan pada plugin tersebut yang yang disebabkan oleh XSS. Kerentanan ini akan membuka celah pada situs WordPress begitu pengguna mengaktifkan modul Jetpack Shortcode Embeds. Parahnya, modul ini akan diaktifkan secara default disetiap instalasi baru Jetpack.
Bagi penyerang yang terampil, mereka bisa saja memasukkan SEO spam pada situs, termasuk memasang redirect untuk mencuri visitor sebuah situs.
Masalah ini telah dilaporkan oleh Sucuri pada 12 Mei, dan Automattic menambal celah ini dengan merilis Jetpack versi 4.0.3 pada 26 Mei.
Leave a Reply