Situs web yang menggunakan platform WordPress sangat rentan terhadap kerusakan pada plugin kursus online. Menurut peneliti keamanan, puluhan ribu situs web yang menggunakan WordPress dapat terkena dampak dari kelemahan yang ditemukan pada plugin LearnPress. LearnPress adalah plugin sistem manajemen pembelajaran yang memungkinkan orang yang tidak memiliki pengetahuan coding untuk menjual kursus dan pelajaran online melalui situs web WordPress mereka.
Kerentanan yang ditemukan oleh PatchStack meliputi tiga jenis, yaitu:
- CVE-2022-47615, yang memungkinkan pelaku ancaman untuk melihat kredensial, token autentikasi, kunci API, dan informasi lainnya yang penting.
- CVE-2022-45808, yang merupakan kerentanan injeksi SQL yang tidak diautentikasi yang dapat menyebabkan eksekusi kode arbitrer.
- CVE-2022-45820, yang merupakan kerentanan injeksi SQL yang diautentikasi yang dapat menyebabkan eksfiltrasi data dan eksekusi kode arbitrer.
Perbaikan untuk kelemahan tersebut telah tersedia sejak lebih dari sebulan yang lalu, tetapi hingga saat ini hanya sebagian kecil situs web yang menerapkannya. Hal ini sangat membahayakan karena kelemahan ini dapat menyebabkan kerugian besar bagi situs web yang terkena dampaknya. Oleh karena itu, dianjurkan bagi admin web untuk segera menerapkan perbaikan atau menonaktifkan plugin sampai perbaikan tersebut diterapkan.
Dalam hal ini, WordPress merupakan platform pembuatan situs web paling populer di dunia. Namun, ini juga menjadi target yang menarik bagi penjahat dunia maya. Walaupun WordPress sendiri relatif aman, namun plugin yang digunakan, terutama plugin gratis, biasanya merupakan tautan terlemah. Oleh karena itu, webmaster harus sangat berhati-hati dalam memilih plugin yang digunakan dan selalu memastikan bahwa plugin tersebut selalu diperbarui.(hh)