Pengguna WordPress tampaknya harus lebih waspada. Baru-baru ini ditemukan celah keamanan serius di plugin LiteSpeed Cache, salah satu plugin optimasi performa paling populer yang sudah digunakan di lebih dari 7 juta situs aktif di seluruh dunia.
Baca Juga : 10+ Plugin Mempercepat WordPress Terbaik, Tanpa Ribet Setting
Celah ini tergolong vulnerabilitas Cross-Site Scripting (XSS) dan telah terdaftar secara resmi dengan kode CVE-2025-12450. Menurut laporan dari Trustwave, bug ini berpotensi dimanfaatkan oleh penyerang untuk menanamkan skrip berbahaya ke halaman situs WordPress yang menggunakan plugin tersebut.
Apa yang Sebenarnya Terjadi?
LiteSpeed Cache dikenal sebagai plugin andalan untuk mempercepat waktu muat situs lewat sistem caching dan optimasi server. Tapi ironisnya, bug yang baru ditemukan justru membuka celah yang bisa membuat situs kehilangan keamanannya.
Masalahnya ada pada proses penanganan URL di plugin ini. Versi terdahulu LiteSpeed Cache tidak melakukan pembersihan data input (input sanitization) dan output escaping dengan benar. Akibatnya, penyerang bisa menyisipkan skrip berbahaya lewat URL khusus yang kemudian dijalankan oleh browser pengguna.
Ketika pengguna, terutama administrator situs mengklik tautan berbahaya tersebut, skrip akan otomatis aktif di browser mereka. Dampaknya? Bisa mulai dari pencurian informasi sensitif, cookie sesi login, sampai pengambilalihan akun (account hijacking).
Jenis Serangan yang Terjadi
Kasus ini tergolong reflected XSS attack, di mana skrip berbahaya dieksekusi hanya setelah pengguna berinteraksi dengan tautan tertentu. Meskipun tingkat keparahannya tidak setinggi stored XSS (yang berjalan otomatis di server), ancamannya tetap nyata karena melibatkan jutaan situs aktif.
Biasanya, tautan berbahaya seperti ini disebarkan lewat email phishing, media sosial, atau situs yang sudah disusupi. Pengguna yang tidak waspada dan sedang login ke dasbor WordPress bisa langsung jadi korban begitu mengklik tautan tersebut.
Siapa yang Menemukan dan Apa Solusinya?
Celah keamanan ini pertama kali dilaporkan oleh Nicholas Giemsa dari Trustwave SpiderLabs. Ia menemukan bahwa semua versi LiteSpeed Cache hingga 7.5.0.1 terdampak oleh bug ini.
Kabar baiknya, tim pengembang LiteSpeed telah merilis pembaruan versi 7.6 yang memperbaiki masalah dengan menambahkan proses sanitasi input dan escaping output yang sesuai standar keamanan web.
Detail resmi:
-
CVE ID: CVE-2025-12450
-
CVSS Score: 6.1 (Medium)
-
Jenis kerentanan: Improper Neutralization of Input (Cross-Site Scripting)
-
Versi terdampak: Hingga 7.5.0.1
-
Versi aman: 7.6 atau yang lebih baru
Apa yang Harus Dilakukan Pengguna WordPress?
Kalau kamu menggunakan LiteSpeed Cache, update sekarang juga ke versi 7.6 atau lebih baru lewat dasbor plugin WordPress. Ini langkah paling penting untuk menutup celah keamanan tersebut.
Selain itu, ada baiknya juga:
-
Pantau aktivitas situs untuk mendeteksi hal mencurigakan lebih awal.
-
Gunakan Web Application Firewall (WAF) agar situs punya lapisan keamanan tambahan terhadap serangan XSS.
-
Hindari mengklik tautan mencurigakan, terutama yang dikirim melalui email atau media sosial.
Baca Juga : 8+ Plugin Iklan WordPress Terbaik untuk Meningkatkan Pendapatan Blog
Celah ini memang dikategorikan berisiko menengah (CVSS 6.1), tapi karena skala penggunaannya sangat besar, dampaknya bisa jadi luas jika pemilik situs terlambat memperbarui plugin.
Buat kamu yang mengandalkan LiteSpeed Cache untuk optimasi situs, pastikan plugin sudah di-update dan tetap rutin melakukan pemeriksaan keamanan. Kadang, update kecil bisa mencegah masalah besar, apalagi kalau menyangkut jutaan situs di seluruh dunia.
