WordPress adalah salah satu platform website paling populer di dunia.
Tapi tahukah kamu? Banyak situs WordPress jadi sasaran empuk serangan CSRF (Cross-Site Request Forgery) karena plugin yang tidak aman.
Di artikel ini, kita akan bahas:
-
Apa itu CSRF?
-
Bagaimana plugin WordPress bisa jadi celah?
-
7 plugin populer yang pernah rawan CSRF (dan solusinya)
🔍 Apa Itu CSRF?
CSRF adalah serangan di mana penyerang menyuruh browser korban untuk melakukan sesuatu di website tanpa izin — misalnya mengganti password, menghapus data, atau menambah admin baru.
Karena WordPress memakai cookie login otomatis, jika tidak ada proteksi CSRF, serangan seperti itu bisa berjalan mulus tanpa diketahui pengguna.
🧨 Kenapa Plugin WordPress Bisa Rawan?
Banyak plugin WordPress:
-
Membuat form untuk mengubah data
-
Menyediakan fungsi AJAX
-
Mengakses panel admin
Kalau developer plugin lupa menambahkan CSRF token, maka semua fitur itu bisa disalahgunakan oleh penyerang.
🔥 7 Plugin WordPress yang Pernah Rawan CSRF
⚠️ Catatan: Daftar ini berdasarkan laporan keamanan di masa lalu. Pastikan plugin kamu sudah versi terbaru karena banyak yang sudah diperbaiki!
1. Contact Form 7
-
🔎 Masalah: Endpoint form bisa dimanipulasi tanpa token
-
💡 Solusi: Update ke versi terbaru. Versi baru sudah pakai nonce (token WordPress)
2. Yoast SEO (versi lama)
-
🔎 Masalah: Beberapa pengaturan bisa diubah tanpa token CSRF
-
💡 Solusi: Pastikan kamu pakai versi 15.1 ke atas
3. WP Fastest Cache
-
🔎 Masalah: Penghapusan cache bisa dilakukan via CSRF
-
💡 Solusi: Update dan pastikan hanya admin bisa akses fungsi ini
4. All-in-One WP Migration
-
🔎 Masalah: Fungsi export/import bisa dipicu lewat CSRF
-
💡 Solusi: Pastikan semua request admin memakai
check_admin_referer()atauwp_nonce_field()
5. Duplicator
-
🔎 Masalah: File backup bisa diakses dan didownload lewat CSRF
-
💡 Solusi: Update plugin dan hapus file backup yang tidak digunakan
6. Elementor (versi lama)
-
🔎 Masalah: Akses langsung ke AJAX endpoint bisa dimanipulasi
-
💡 Solusi: Gunakan versi terbaru dan aktifkan proteksi nonce
7. WP Statistics
-
🔎 Masalah: Pengaturan bisa diubah lewat permintaan palsu
-
💡 Solusi: Versi terbaru sudah memperbaiki dengan
check_ajax_referer()
🛡️ Cara Mencegah CSRF di WordPress
Untuk Pengguna:
-
✅ Selalu update plugin dan tema
-
🔒 Gunakan plugin keamanan seperti Wordfence atau Sucuri
-
❌ Jangan instal plugin bajakan atau tidak dikenal
Untuk Developer:
-
Gunakan
wp_nonce_field()di form -
Periksa token dengan
check_admin_referer()ataucheck_ajax_referer() -
Batasi akses hanya untuk user yang berhak
🧾 Kesimpulan
CSRF masih jadi ancaman nyata di dunia WordPress — terutama lewat plugin yang belum dipatch.
Ingat, satu form tanpa proteksi bisa jadi jalan masuk penyerang untuk mengambil alih situs kamu.
Selalu perbarui plugin, cek log keamanan, dan gunakan CSRF token di semua form sensitif.
Penulias : Muhammad Aditya Alkhawarizmi
Nim : 23156201023
jurusan : Sistem Komputer
