Hati-hati bagi anda yang sering mengakses akun WordPress pribadi anda melalui WiFi di areal publik atau di tempat yang jaringannya tidak aman, karena mungkin anda bisa memancing kejahatan peretasan terhadap akun WordPress pribadi anda sendiri.
Terlepas apakah anda telah mengaktifkan moda pengamanan two-factor authentication pada akun anda atau beberapa banyak tindakan pencegahan kejahatan lain yang anda lakukan, bisa jadi anda tetap menjadi korban kejahatan.
Potensi kejahatan ini ditemukan oleh Staf Teknis Electronic Frontier Foundation, Yan Zhu, yang mengatakan bahwa server WordPress mengirimkan browser cookie yang penting di plain text, tanpa satu pun layar yang terenkripsi. Hal ini diungkapkan oleh Zhu pada blog pribadinya Jumat lalu, (23/05/14).
Cookie yang dimaksud oleh Zhu adalah tag wordpress logged in dan ini diatur ketika pengguna mengisi nama pengguna dan password WordPress yang valid. Maksudnya adalah bisa jadi seseorang mendapatkan akses istimewa ke item private messages, updates dan dashboard pemilik akun, jika cookie-nya dicuri.
Jika bagian cookie ini dikirim tanpa enkripsi, lalu cookie ini dengan mudah dapat disadap. Sehingga pembajak akan mendapatkan akses kepada blog WordPress, item post messages, delete content, dan bisa mengganti isi pada blog pengguna semaunya. Satu hal yang tidak mungkin dilakukan oleh pembajak adalah mengganti password, karena hal itu tergantung pada cookie lain yang dienkripsi.
Zhu menguji coba kejahatan ini dan berhasil, dia berhasil menapatkan cookie dari akunnya sendiri, lalu menyisipkan pada profil browser yang baru dan mengunjungi situs WordPress. Anehnya pada situs WordPress Zhu tidak diminta untuk log ini, walaupun langkah pengamanan dengan two-factor authentication telah diaktifkan untuk akunnya.
WordPress mengakui masalah keamanan ini dan berjanji akan merilis update dalam waktu dekat. Bagaimanapun, pihak perusahaan menyebutkan bahwa cookie bisa digunakan hingga masa berakhir. Mempertimbangkan hal tersebut sebenarnya sisa masa berlaku hinga tiga tahun, bukan merupakan sebuah solusi.
WordPress menyebutkan akan memperbaiki masalah ini pada update WordPress selanjutnya. Untungnya bagaimanapun, situs WordPress yang diurus secara individu pada server HTTPS tidak memiliki masalah keamanan selama pengguna memakai layer keamanan diaktifkan untuk tiap halaman
Terlepas apakah anda telah mengaktifkan moda pengamanan two-factor authentication pada akun anda atau beberapa banyak tindakan pencegahan kejahatan lain yang anda lakukan, bisa jadi anda tetap menjadi korban kejahatan.
Potensi kejahatan ini ditemukan oleh Staf Teknis Electronic Frontier Foundation, Yan Zhu, yang mengatakan bahwa server WordPress mengirimkan browser cookie yang penting di plain text, tanpa satu pun layar yang terenkripsi. Hal ini diungkapkan oleh Zhu pada blog pribadinya Jumat lalu, (23/05/14).
Cookie yang dimaksud oleh Zhu adalah tag wordpress logged in dan ini diatur ketika pengguna mengisi nama pengguna dan password WordPress yang valid. Maksudnya adalah bisa jadi seseorang mendapatkan akses istimewa ke item private messages, updates dan dashboard pemilik akun, jika cookie-nya dicuri.
Jika bagian cookie ini dikirim tanpa enkripsi, lalu cookie ini dengan mudah dapat disadap. Sehingga pembajak akan mendapatkan akses kepada blog WordPress, item post messages, delete content, dan bisa mengganti isi pada blog pengguna semaunya. Satu hal yang tidak mungkin dilakukan oleh pembajak adalah mengganti password, karena hal itu tergantung pada cookie lain yang dienkripsi.
Zhu menguji coba kejahatan ini dan berhasil, dia berhasil menapatkan cookie dari akunnya sendiri, lalu menyisipkan pada profil browser yang baru dan mengunjungi situs WordPress. Anehnya pada situs WordPress Zhu tidak diminta untuk log ini, walaupun langkah pengamanan dengan two-factor authentication telah diaktifkan untuk akunnya.
WordPress mengakui masalah keamanan ini dan berjanji akan merilis update dalam waktu dekat. Bagaimanapun, pihak perusahaan menyebutkan bahwa cookie bisa digunakan hingga masa berakhir. Mempertimbangkan hal tersebut sebenarnya sisa masa berlaku hinga tiga tahun, bukan merupakan sebuah solusi.
WordPress menyebutkan akan memperbaiki masalah ini pada update WordPress selanjutnya. Untungnya bagaimanapun, situs WordPress yang diurus secara individu pada server HTTPS tidak memiliki masalah keamanan selama pengguna memakai layer keamanan diaktifkan untuk tiap halaman