Jakarta (PARADE.ID)- Kecacatan (bug) parah ditemukan pada plugin resmi “Facebook Chat” untuk situs web WordPress. Kelemahan ini memungkinkan peretas mencegat pesan yang dikirim oleh pengguna ke pemilik situs web yang rentan.
Perlu diketahui, plugin “Facebook Chat” dipakai pemilik situs web berbasis WordPress untuk menanamkan pop-up obrolan dari pengunjung secara real-time via platform Facebook Messenger untuk Halaman Facebook.
Plugin tersebut dilengkapi dukungan transkrip obrolan sehingga mudah untuk mengatur balasan dan FAQ (tanya jawab) di luar jam kerja.
Dalam laporan yang diterbitkan Selasa (4 Agustus 2020), tim Threat Intelligence Wordfence, analis Chloe Chamberland, mengatakan, kerentanan tersebut ditemukan pada 26 Juni 2020.
Namun, setelah diberitahu tentang kerentanan itu, Tim Keamanan Facebook memperbaikinya dengan merilis pembaruan pada versi 1.6 pada 28 Juli—sebulan setelah menanggapi laporan awal Wordfence.
Pada situs web yang menjalankan versi rentan dari Facebook Chat resmi, peretas dapat “menghubungkan akun Facebook Messengermereka sendiri […] dan terlibat dalam obrolan dengan pengunjung situs…”
“Upaya eksploitasi yang menargetkan kerentanan ini dapat dengan mudah digunakan sebagai bagian dari serangan rekayasa sosial (social hacking) dengan menyamar sebagai pemilik situs yang meminta informasi pribadi, kredensial, atau informasi lainnya,” tutur Chamberland seperti dikutip dari BleepingComputer, diakses Rabu (5 Agustus 2020).
Meski plugin “Facebook Chat” versi 1.6 sudah dirilis, pengguna yang mengunduh baru 25.657 kali berdasarkan data unduhan historis yang disediakan oleh portal WordPress.
Ini berarti setidaknya 54.000 situs WordPress dengan pop-up Messenger Chat aktif masih rentan terkena serangan siber.
Pengguna plugin “Facebook Chat” sangat disarankan untuk memperbarui segera ke versi 1.6 sesegera guna mencegah peretas beraksi.
Wordfence juga melaporkan kerentanan Cross-Site Scripting (XSS) dan PHP Object Injection yang ditemukan dalam plugin “Newsletter WordPress” yang dapat membiarkan peretas menyuntikkan backdoor, membuat admin jahat, dan berpotensi mengambil alih situs yang terpengaruh.
Wordfence juga menemukan bug penting di plugin WordPress resmi Google—diperkirakan telah diinstal sebanyak 300.000 kali—yang memungkinkan penyerang mendapatkan akses pemilik ke Google Search Console situs web yang ditargetkan dan memfasilitasi kampanye Blackhat SEO—menaikkan trafik situs web dengan curang.
(Cyberthreat/PARADE.ID)