Sekira 86 persen dari situs yang dibuat dengan WordPress mengandung scripting (XSS) berbahaya yang dapat menginjeksi komputer pengunjung situs. Hal ini dinyatakan oleh seorang insinyur program Jouk Pynnonen yang menganggap bahwa ini adalah bug yang paling serius dalam lima tahun ini.
Seperti dikutip dari Theregister, Senin (24/11/2014), bug yang terdapat dalam WordPress memungkinkan penyerang untuk masuk ke dalam komputer pengunjung, melalui kolom komentar yang diletakkan oleh pengguna dalam situsnya.
Lubang keamanan yang ada berada dalam WP-Plugin Statistik mengandung kode JavaScript ke komentar yang akan langsung menginvasi komputer pembaca dan termasuk komputer administrator. Bug ini juga dikatakan telah ada selama sekitar empat tahun yang berada dalam versi 3.0 hingga versi 3.9.2. Namun sudah diperbaiki pada versi 4.0.
“Seorang penyerang bisa mengeksploitasi kerentanan dengan memasukkan komentar ‘hati-hati’ yang sebelumnya berisi program dalam halaman posting situs yang dibuat dengan WordPress. Karena pengaturan default dalam kolom komentar dapat dimasukkan oleh siapapun tanpa adanya otentikasi khusus,” jelas Jouk Pynnonen.
Namun seperti yang disebutkan diatas, perbaikan ini telah dilakukan dalam versi 4.0 yang sudah dilakukan beberapa penambalan kerentanan XSS yang tidak memungkinkan lagi penyerang untuk memodifikasi situs HTML.
Okezone
WordPress Gampang di-Hack Selama 5 Tahun Terakhir ?