Security

Celah di Plugin Post SMTP Ancam 200.000+ Situs WordPress, Berpotensi Diambil Alih

July 27, 2025
1 minute read
Celah di Plugin Post SMTP Ancam 200.000+ Situs WordPress, Berpotensi Diambil Alih
Celah di Plugin Post SMTP Ancam 200.000+ Situs WordPress, Berpotensi Diambil Alih

Lebih dari 200.000 situs WordPress terancam akibat kerentanan serius pada plugin Post SMTP, yang memungkinkan penyerang mengambil alih situs melalui serangan unauthenticated stored Cross-Site Scripting (XSS). Kerentanan ini dilaporkan oleh tim keamanan Wordfence dan telah diklasifikasikan dengan tingkat keparahan tinggi (CVSS 8.3).

Tentang Plugin Post SMTP

Post SMTP adalah plugin populer untuk WordPress yang menangani pengiriman email melalui protokol SMTP, sering digunakan sebagai solusi pengganti fungsi email default WordPress yang kurang andal. Plugin ini banyak dipakai oleh pemilik situs, toko online, dan organisasi yang membutuhkan pengiriman email yang stabil dan terverifikasi.

Versi yang terdampak adalah sebelum 2.8.8, yang mengandung celah di fitur debug log. Masalahnya terletak pada minimnya validasi input, sehingga memungkinkan penyerang menyisipkan skrip berbahaya tanpa perlu otentikasi.

Potensi Serangan dan Dampaknya

Kerentanan ini memungkinkan penyerang menyisipkan skrip JavaScript berbahaya ke dalam halaman admin WordPress. Jika seorang administrator mengakses halaman tersebut, skrip dapat dijalankan di browser mereka, membuka peluang serangan seperti:

  • Pengambilalihan akun admin
  • Penggantian pengaturan situs
  • Pengunggahan plugin atau tema berbahaya
  • Pencurian data pengguna atau pengalihan traffic situs

Karena ini adalah stored XSS, payload berbahaya akan tersimpan secara permanen di database situs, menjadikannya lebih berbahaya daripada serangan XSS biasa.

Patch Sudah Tersedia, Segera Perbarui

Developer plugin telah merilis versi 2.8.8 yang menambal kerentanan ini. Pengguna Post SMTP sangat dianjurkan untuk segera memperbarui plugin mereka ke versi terbaru guna menghindari potensi eksploitasi.

Bagi situs yang belum menggunakan sistem pembaruan otomatis, penting untuk memeriksa versi plugin secara manual melalui dasbor admin WordPress. Jika situs Anda telah diretas, disarankan untuk melakukan audit keamanan menyeluruh dan mengganti kredensial penting.

Sumber: Post SMTP plugin flaw exposes 200K WordPress sites to hijacking attacks

Tags
July 27, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button