Awas, Plugin Statistik Count Per Day Dihapus Oleh WordPress?

Hari ini aku kaget, setelah menyadari bahwa plugin statistik yang biasa aku install untuk mengetahui tingkat kunjungan dan analis di bebeberapa blogku ternyata sudah dihilangkan di web resmi wordpress.org, aku tidak mengerti apakah ini hanya sementara atau selamanya. Lalu pertanyaan berikutnya yang mengganggu pikiran sehatku adalah kenapa plugin yang sudah lama dan cukup populer itu dihilangkan dari direktori plugin wordpress?

plugin dihilangkan

Terpaksa dech aku cari bantuan mbah google, seperti biasa aku obok-obok tuh rumahnya. Dari berbagai variasi kata kunci yang aku pakai untuk mencari informasi tersebut, ternyata menemukan beberapa posting blog yang baru-baru ini dibuat, dalam blog tersebut dijelaskan bahwa plugin statistik count per day mengandung celah SQL injection, yaitu salah satu cara menghack sebuah website dengan perintah SQL.

Advisory ID: HTB23267
Product: Count Per Day WordPress plugin
Vendor: Tom Braider
Vulnerable Version(s): 3.4 and probably prior
Tested Version: 3.4
Advisory Publication:  July 1, 2015  [without technical details]
Vendor Notification: July 1, 2015
Vendor Patch: July 1, 2015
Public Disclosure: July 22, 2015
Vulnerability Type: SQL Injection [CWE-89]
CVE Reference: CVE-2015-5533
Risk Level: Medium
CVSSv2 Base Score: 6 (AV:N/AC:M/Au:S/C:P/I:P/A:P)
Solution Status: Fixed by Vendor
Discovered and Provided: High-Tech Bridge Security Research Lab ( https://www.htbridge.com/advisory/ )
Dalam penjelasan yang saya kutip di atas, juga diberi solusi untuk update plugin ke versi terbaru, tetapi link update tidak berjalan dan di halaman daftar plugin pada blog juga tidak ada link updatenya sama sekali. Sampai saat ini aku belum tahu sebab utama wordpress.org menghapusnya. Tapi ini menjadi alasan yang cukup kuat bagiku untuk menonaktifkan plugin tersebut dan menggantinya dengan plugin statistik lain yang tidak beresiko. Mungkin sudah ada korban yang melapor, seandainya tidak ada laporan kenapa bisa hilang dari direktori?
Jadi, sedikit ulasan ini bertujuan untuk mengingatkan teman-teman blogger yang menggunakan plugin visitor statistic Count Per Day => https://wordpress.org/plugins/count-per-day , sebaiknya segera ganti dengan plugin statistik yang lain untuk menghindari resiko buruk yang mungkin terjadi dari ulah hacker yang tidak pertanggung jawab, seperti kata pepatah “mencegah lebih baik daripada mengobati”.
Posting ini dibuat awal Agustus 2015, adapun perkembangan saat anda membaca posting ini belum tentu masih relevan, jadi seandainya anda mengetahui bahwa plugin statistik yang mengandung celah SQL injection ini sudah diupdate dan tersedia lagi di situs resmi wordpress.org mohon untuk meninggalkan komentar agar pembaca lain mengetahuinya.

Leave a Reply