You are currently viewing Plugin LiteSpeed Cache WordPress Mengalami Kerentanan yang Membahayakan Jutaan Situs

Plugin LiteSpeed Cache WordPress Mengalami Kerentanan yang Membahayakan Jutaan Situs

Sebuah celah keamanan ditemukan pada plugin LiteSpeed Cache, yang digunakan oleh jutaan situs WordPress, memungkinkan penyerang untuk mencuri informasi sensitif, seperti cookie pengguna, dan berpotensi mengambil alih situs.

Apa yang Terjadi?

Kerentanan ini, yang diberi kode CVE-2024-44000, muncul karena plugin LiteSpeed Cache secara tidak sengaja menyimpan informasi sensitif dalam file log debug. Ketika pengguna melakukan login, plugin dapat mencatat “cookie”—data yang digunakan untuk mengingat sesi pengguna—dalam log tersebut. Jika log ini dapat diakses oleh publik, penyerang yang tidak memiliki otorisasi dapat melihat dan mengambil cookie tersebut.

Dengan mendapatkan cookie ini, penyerang dapat menyamar sebagai pengguna lain, bahkan administrator, yang memberi mereka kemampuan untuk mengendalikan situs yang terkena dampak.

Bagaimana Kerentanan Ini Bisa Dimanfaatkan?

Kerentanan ini hanya terjadi jika fitur debug pada plugin diaktifkan. Secara default, fitur debug ini biasanya dinonaktifkan, tetapi jika pernah diaktifkan, dan log debug tidak dibersihkan, situs tetap berisiko. Fitur lain, seperti “Log Cookies,” juga dapat membocorkan informasi login jika diaktifkan.

Patchstack, perusahaan yang pertama kali melaporkan masalah ini, menganggap kerentanan ini sangat serius karena dapat mempengaruhi banyak situs yang menggunakan plugin ini dengan fitur debug yang aktif setidaknya sekali.

Langkah Perbaikan

Untuk memperbaiki kerentanan ini, pengembang LiteSpeed Cache telah membuat beberapa perubahan:

  • File log debug kini dipindahkan ke folder khusus plugin.
  • Nama file log menjadi lebih sulit ditebak dengan penggunaan string acak.
  • Pengaturan “Log Cookies” dihapus.
  • Informasi terkait cookie tidak lagi dicatat dalam header respons.
  • Ditambahkan file “index.php” palsu di folder debug untuk melindungi data.

Patch untuk kerentanan ini telah dirilis pada 4 September dengan update LiteSpeed Cache versi 6.5.0.1. Namun, jutaan situs mungkin masih belum memperbarui plugin mereka dan tetap rentan terhadap serangan ini. Data dari WordPress menunjukkan plugin ini telah diunduh sekitar 1,5 juta kali dalam dua hari terakhir, tetapi dengan total lebih dari 6 juta instalasi, ada sekitar 4,5 juta situs yang mungkin belum mendapatkan perbaikan ini.

Pentingnya Keamanan dalam Proses Debugging

Patchstack menekankan pentingnya memastikan keamanan selama proses debugging, terutama dalam menentukan data apa yang tidak boleh dicatat dan bagaimana log tersebut dikelola. Mereka sangat tidak menyarankan plugin atau tema untuk menyimpan data sensitif yang terkait dengan login atau autentikasi dalam file log debug.

LiteSpeed Cache adalah plugin yang populer untuk meningkatkan kecepatan situs WordPress dengan menyediakan caching di tingkat server dan berbagai fitur pengoptimalan lainnya. Meski bermanfaat, pengguna perlu memastikan keamanan dengan selalu memperbarui plugin ke versi terbaru dan berhati-hati dalam mengelola pengaturan debug.