Plugin AIOS atau All-In-One Security, plugin keamanan WordPress yang telah diinstal oleh lebih dari 1 juta situs web, telah melakukan update pada sistem keamanan mereka. Hal ini dilakukan setelah tiga minggu lalu plugin yang satu ini ketahuan mencatat kata sandi plaintext dan menyimpannya dalam database yang dapat diakses oleh user administrator.
Developer AIOS mengatakan bahwa pencatatan tersebut merupakan hasil dari bug yang diperkenalkan pada bulan Mei di versi 5.1.9. Versi 5.2.0 yang dirilis setelahnya sudah memperbaiki bug tersebut dan juga menghapus data yang bermasalah dari database. Database tersebut tersedia untuk orang-orang yang memiliki akses administratif ke website.
Daftar Isi
Pelanggaran Keamanan AIOS
Perwakilan dari AIOS menyampaikan dalam email kepada pengguna bahwa celah keamanan ini hanya bisa dimanfaatkan oleh pengguna dengan hak administratif khusus, atau menggunakan pengguna dengan level tertinggi di AIOS. Namun, hal ini tidak mengurangi kekhawatiran pengguna karena bisa saja data tersebut dieksploitasi oleh user admin yang tidak bertanggungjawab.
Para praktisi cybersecurity telah lama memperingatkan pihak AIOS untuk tidak pernah menyimpan kata sandi dalam bentuk plaintext. Hal ini karena plaintext password sama sekali tidak terenkripsi dan memudahkan hacker dalam membobol website serta mengambil data yang ada dalam website tersebut. Ini merupakan resiko keamanan yang sangat fatal dan bisa merugikan pengguna.
Cara terbaik untuk menyimpan password adalah dengan menggunakan fungsi hash kriptografik. Fungsi ini menghasilkan nilai hash dari password, dan membutuhkan waktu dan sumber daya komputasi yang lebih tinggi untuk dapat dipecahkan.
Tindakan pencegahan ini berfungsi sebagai semacam asuransi. Jika suatu database diretas, para peretas akan memerlukan waktu dan sumber daya komputasi yang tinggi untuk mengubah nilai hash menjadi teks biasa, sehingga memberikan waktu kepada pengguna untuk mengubah password mereka.
Ketika password memiliki kekuatan yang cukup—minimal 12 karakter, dihasilkan secara acak dan unik untuk setiap situs—umumnya sulit bagi kebanyakan peretas untuk memecahkannya ketika di-hash menggunakan algoritma yang lambat.
Proses login dari beberapa layanan yang lebih besar sering kali menggunakan sistem yang berusaha untuk melindungi konten plaintext, bahkan dari situs itu sendiri. Namun, masih tetap umum bagi banyak situs untuk memiliki akses singkat ke konten plaintext sebelum meneruskannya ke algoritme hashing.
Bug pencatatan kata sandi ini muncul beberapa minggu yang lalu di forum WordPress ketika seorang pengguna menemukan hal tersebut dan khawatir sistem perusahaan yang dikelolanya gagal dalam tinjauan keamanan oleh auditor.
Untuk merespon temuan tersebut, pihak AIOS menyampaikan bahwa ini adalah bug yang berasal dari rilis terakhir plugin mereka. Pihak AIOS juga menyarankan skrip untuk menghapus data yang tercatat, tapi pengguna melaporkan bahwa skrip tersebut tidak berfungsi. Karena hal ini, banyak pengguna yang terdampak dan mengajukan komplain kepada AIOS karena merasa dirugikan.
Perbaikan Celah Keamanan oleh AIOS
Baru-baru ini, AIOS telah memperbaiki celah keamanan ini dan meminta maaf pada semua pengguna yang terdampak. Mereka juga merilis versi 5.20 yang telah mengatasi kelemahan dari versi sebelumnya. Pihak AIOS juga meminta para pengguna untuk mengupdate versi plugin mereka menjadi yang terbaru agar lebih aman. Semua kerentanan yang berhasil ditemukan oleh komunitas pengguna dan developer telah disempurnakan di versi terbaru untuk menjaga keamanan website.
Plugin yang up to date sangat penting untuk menjaga keamanan website Anda. Sebagai pengguna WordPress, Anda bisa mendapatkan informasi tentang kebutuhan update plugin lewat dashboard WordPress Anda. Anda juga bisa menggunakan plugin lain seperti Easy Update Manager untuk membantu Anda mengupdate plugin secara otomatis.
Ubah semua kata sandi secara teratur, terutama jika Anda yakin bahwa kata sandi Anda telah dibobol. Hal ini akan mencegah siapa pun yang memiliki informasi login Anda untuk merusak situs Anda, atau mengakses data Anda.
Pentingnya Menjaga Keamanan Website
Selalu aktifkan autentikasi dua faktor pada akun Anda (WordPress dan lainnya). Lapisan perlindungan ekstra ini bekerja dengan memverifikasi login Anda melalui perangkat kedua seperti ponsel atau tablet. Ini adalah salah satu cara paling sederhana dan paling efektif untuk menjaga data Anda dari tangan peretas: dengan autentikasi dua faktor, kata sandi yang dicuri masih tidak memungkinkan penyerang untuk masuk ke akun. AIOS menyertakan modul autentikasi dua faktor untuk melindungi situs WordPress Anda.
Siapa pun yang menggunakan AIOS harus menginstal pembaruan sesegera mungkin agar terhindar dari resiko keamanan. End-user atau admin yang mencurigai bahwa kata sandi mereka telah ditangkap oleh sebuah situs web yang menggunakan AIOS harus mengubahnya sesegera mungkin agar tidak menyebabkan kerugian.
Penutup
Demikianlah penjelasan tentang celah keamanan plugin AIOS yang ditemukan beberapa minggu yang lalu. Semoga informasi ini dapat mengingatkan kita tentang pentingnya keamanan website dan data, ya. Untuk menjaga website Anda tetap aman, tidak cukup hanya mengupdate plugin secara teratur saja, lho. Gunakan layanan Anti-DDoS IDCloudHost untuk melindungi website Anda dari serangan DDoS. Coba sekarang!
