Bayangin kamu login ke dashboard WordPress besok pagi, dan nemu… admin baru yang bukan kamu yang bikin. Atau lebih parah lagi: pelangganmu tiba-tiba ngeluh transaksi kartu kredit mereka bocor. Ini bukan skenario fiksi. Ini yang lagi terjadi di ribuan situs WordPress minggu ini.
Mei 2026 baru jalan setengah bulan, tapi udah jadi salah satu bulan paling brutal buat keamanan WordPress. Empat celah high-severity dengan total install base di atas 5 juta situs ditemukan dalam dua minggu pertama. Yang paling mengerikan: satu vulnerability CVSS 9.8 — skor nyaris sempurna — udah dieksploitasi lebih dari 7.400 kali dalam 24 jam pertama setelah publikasi.
Kita bakal bedah satu per satu plugin mana aja yang harus kamu update SEKARANG, apa risikonya kalau kamu tunda, dan langkah konkret yang bisa kamu lakuin dalam 15 menit ke depan buat ngamanin situsmu.
Data Singkat: Mei 2026 dalam Angka
| Severity | Jumlah | Sudah Dipatch | Catatan |
|---|---|---|---|
| Critical (9.0+) | 1 | 1 | Burst Statistics — CVSS 9.8, 200K+ installs |
| High (7.0-8.9) | 3 | 3 | Avada Builder, MonsterInsights, Form Maker |
| Medium (4.0-6.9) | 38 | 31 | Mayoritas XSS dan broken access control |
| Low (0.1-3.9) | 47 | 39 | Minor info disclosure |
89% tingkat patch dalam 2 minggu pertama — angka yang tinggi, sebagian berkat AI-assisted vulnerability research yang mempercepat siklus deteksi-ke-patch dari yang dulunya 60-180 hari jadi 19 hari buat kasus Burst Statistics. Tapi tetap aja: 11% celah medium-low masih belum dipatch.
🚨 1. Burst Statistics — CVSS 9.8, Admin Takeover Tanpa Login
- CVE: CVE-2026-8181
- CVSS: 9.8 (Critical)
- Versi Rentan: 3.4.0 — 3.4.1.1
- Patch: Versi 3.4.2 (rilis 12 Mei 2026)
- Install Base: 200.000+ situs
- Status Eksploitasi: Aktif dieksploitasi — 7.400+ percobaan serangan dalam 24 jam pertama
Apa yang terjadi: Plugin Burst Statistics — tools analytics yang cukup populer — punya bug di proxy autentikasi MainWP. Intinya: penyerang cuma perlu tahu username admin, masukin password sembarang, dan plugin langsung nganggep request itu valid. Akses admin penuh, tanpa perlu kredensial beneran.
Ditemukan oleh Wordfence PRISM pada 8 Mei 2026. Patch dirilis 12 Mei — cuma 4 hari setelah vendor dikasih tahu.
Yang harus kamu lakuin:
- Update Burst Statistics ke versi 3.4.2 — SEKARANG
- Rotasi semua password admin WordPress-mu
- Cek Users > All Users — ada admin asing yang kamu nggak kenal? Hapus langsung
- Cek log aktivitas sejak 23 April 2026 (tanggal kode vulnerable pertama kali di-ship)
Prioritas: #1 — Update detik ini juga.
🔓 2. Avada Builder — SQL Injection + File Read, wp-config Kamu Bocor
- CVE: CVE-2026-4798 (SQLi 7.5), CVE-2026-4782 (File Read 6.5)
- Versi Rentan: <= 3.15.1
- Patch: Versi 3.15.3 (⚠️ versi 3.15.2 NGGAK CUKUP)
- Install Base: 1.000.000+ situs
Apa yang terjadi: Dua vulnerability dalam satu rilis — SQL Injection yang bisa dipake buat narik user records, email, dan password hash dari database, plus arbitrary file read yang bisa ngambil isi wp-config.php (database credentials, authentication salts, semua kunci kerajaan WordPress-mu).
Detail teknis yang bikin menarik: SQLi ini cuma kena situs yang pernah install WooCommerce, bahkan kalau udah deactivate. Hook WooCommerce yang nyangkut tetap aktif dan jadi jalur eksploitasi.
Yang harus kamu lakuin:
- Update Avada Builder ke versi 3.15.3 — jangan berhenti di 3.15.2
- Kalau nemu jejak akses wp-config.php di log, rotasi database credentials
- Regenerate WordPress salts di wp-config.php
- Update semua password user — data udah mungkin terekspos
Prioritas: #2 — Update sekarang, terutama kalau kamu pernah install/pakai WooCommerce.
🔑 3. MonsterInsights — Token Google-mu Dicuri Subscriber Biasa
- CVE: CVE-2026-5371
- CVSS: 7.1 (High)
- Versi Rentan: <= 10.1.2
- Patch: Versi 10.1.3
- Install Base: 3.000.000+ situs
Apa yang terjadi: Ini vulnerability yang paling underrated tapi dampaknya bisa parah banget. Dua AJAX handler di MonsterInsights ngecek WordPress nonce (token keamanan), tapi nggak ngecek user capability. Artinya: user level Subscriber — yang bisa daftar sendiri di situsmu — bisa ngambil Google OAuth token live-mu.
Token ini ngasih akses ke Google Analytics, Google Ads, dan Google Search Console yang terhubung. Lebih parah lagi: handler yang sama juga bisa ngereset integrasi Google Ads — jadi kamu bahkan nggak sadar token udah dicuri.
Siapa yang paling berisiko: Toko WooCommerce, membership site, atau situs apapun dengan open registration.
Yang harus kamu lakuin:
- Update MonsterInsights ke versi 10.1.3
- Buka Google Account > Security > Third-party apps — revoke akses MonsterInsights
- Reconnect ulang buat dapetin token baru yang bersih
- Audit Google Ads campaigns kamu — cek kalau ada perubahan aneh selama exposure window
Prioritas: #3 — Kritis kalau situsmu punya user registration.
💳 4. Funnel Builder — Skimmer Kartu Kredit di Halaman Checkout
- CVE: Belum ada identifier resmi
- Versi Rentan: < 3.15.0.3
- Patch: Versi 3.15.0.3 (rilis 14 Mei 2026)
- Install Base: 40.000+ situs
- Status Eksploitasi: Aktif dieksploitasi — payload menyamar sebagai Google Tag Manager
Apa yang terjadi: Ini nightmare scenario buat pemilik WooCommerce. Vulnerability di Funnel Builder — plugin buat kustomisasi checkout — memungkinkan penyerang nyuntikin JavaScript berbahaya ke halaman checkout tanpa autentikasi.
Payload-nya cerdik banget: menyamar sebagai Google Tag Manager / Google Analytics script (dari domain analytics-reports[.]com/wss/jquery-lib.js). Script ini buka WebSocket ke server penyerang dan mengirim data kartu kredit real-time — nomor kartu, CVV, billing address, semua data customer.
Ditemukan oleh Sansec (spesialis keamanan e-commerce) pada 15 Mei 2026. FunnelKit udah rilis patch keesokan harinya.
Yang harus kamu lakuin:
- Update Funnel Builder ke versi 3.15.0.3
- Buka Settings > Checkout > External Scripts — hapus SEMUA script yang nggak kamu kenali
- Cek apakah ada domain analytics-reports[.]com atau protect-wss[.]com di pengaturan
- Pantau transaksi kartu kredit mencurigakan selama periode exposure
- Kalau kamu nemu skimmer aktif, notifikasi pelanggan yang mungkin terdampak
Prioritas: #4 — KRITIS kalau kamu punya WooCommerce dengan Funnel Builder.
🗄️ 5. Form Maker by 10Web — SQL Injection Tanpa Login
- CVE: CVE-2026-3359
- CVSS: 7.5 (High)
- Versi Rentan: <= 1.15.42
- Patch: Versi 1.15.43
- Install Base: 60.000+ situs
Apa yang terjadi: SQL Injection klasik di parameter input form handler. Tanpa autentikasi. Satu request cukup buat narik user records, email, dan password hash WordPress. Yang bikin frustasi: Form Maker udah punya SQLi serupa di 2022 (CVE-2022-3300) — cuma beda parameter. Pola yang sama: percaya input eksternal, skip prepared statement. Ini kegagalan maintenance, bukan cuma security.
Yang harus kamu lakuin:
- Update Form Maker ke versi 1.15.43
- Kalau form-mu ngumpulin data personal (newsletter, support request, lead capture), anggap semua data selama exposure window mungkin terekspos
Prioritas: #5 — Update segera.
Plugin Lain yang Juga Perlu Dipantau Mei Ini
| Plugin | Install Base | Masalah | Severity |
|---|---|---|---|
| LiteSpeed Cache | 5.000.000+ | Authenticated stored XSS (CVE-2026-5050) | Medium (6.4) |
| WPForms | 6.000.000+ | Authenticated arbitrary file upload (CVE-2026-4633) | Medium |
| Elementor Pro | 12.000.000+ | Broken access control: Subscriber bisa ekspor template (CVE-2026-4901) | Medium |
| User Registration & Membership | 60.000+ | Admin account creation tanpa autentikasi (CVE-2026-1492) | Critical |
| Quick Playground | 10.000+ | Missing authorization di REST API endpoint — RCE (CVE-2026-1830) | Critical |
| W3 Total Cache | 1.000.000+ | Remote Code Execution, PoC udah dirilis (CVE-2025-9501) | Critical |
Pola yang Muncul: Kenapa Mei 2026 Begitu Brutal?
Setelah ngelihat data dari 89+ vulnerability disclosures dalam dua minggu pertama, tiga pola jelas muncul:
1. AI Mempercepat Siklus Temukan → Patch
Burst Statistics dari kode vulnerable shipped (23 April) ke patch (12 Mei) cuma 19 hari. Wordfence PRISM — platform AI-assisted vulnerability research — nemuin bug ini di hari ke-15. Dua tahun lalu, bug sekelas ini bisa ngendon 60-180 hari sebelum ketahuan. AI nge-cut waktu itu drastis — tapi ini pedang bermata dua: penyerang juga bisa pakai AI buat nemuin celah lebih cepet.
2. Authentication Bugs Jadi Kelas Dominan
Tiga dari empat high-severity disclosure bulan ini adalah authentication atau authorization failure — bukan classical memory-safety atau code-execution bug kayak di software tradisional. Ini mencerminkan realita cara plugin WordPress ditulis: kebanyakan kode adalah “lem” antara HTTP request dan database row, jadi kebanyakan bug ada di lapisan access-control-nya.
3. Plugin Premium =/= Lebih Aman
Ini wake-up call penting: Avada Builder adalah plugin berbayar dari vendor tema besar. MonsterInsights punya tier berbayar dari perusahaan well-funded. Form Maker dijual lewat situs komersial 10Web. Harga premium nggak mencegah satupun bug ini. Bahkan dalam kasus Avada: vendor ngerilis partial fix (3.15.2) dan mengklaimnya sebagai “complete” — padahal file read vulnerability masih terbuka sampai 3.15.3 sebulan kemudian.
Action Plan 15 Menit: Yang Harus Kamu Lakuin Sekarang
Buka dashboard WordPress-mu, dan ikutin checklist ini sekarang juga:
| Step | Aksi | Waktu |
|---|---|---|
| 1 | Buka Dashboard > Updates — update SEMUA plugin yang ada notifikasi kuning/merah | 2 menit |
| 2 | Cari 6 plugin di atas satu per satu di Plugins > Installed Plugins. Kalau versimu di bawah versi patch, update sekarang | 5 menit |
| 3 | Kalau kamu pakai Avada Builder: pastikan versi 3.15.3, bukan 3.15.2 | 1 menit |
| 4 | Kalau kamu pakai Burst Statistics: update ke 3.4.2, lalu cek Users > All Users — ada admin mencurigakan? | 2 menit |
| 5 | Kalau kamu punya WooCommerce + Funnel Builder: buka Settings > Checkout > External Scripts — ada script asing? | 2 menit |
| 6 | Kalau kamu pakai MonsterInsights: revoke Google OAuth token dari Google Account settings setelah update | 3 menit |
Tool Otomatis: Biar Nggak Harus Cek Manual Tiap Bulan
Kalau kamu kelola lebih dari 2-3 situs WordPress, tracking 90+ vulnerability disclosure per bulan secara manual itu nggak realistis. Satu situs yang kamu lupa bisa aja jalanin MonsterInsights versi vulnerable, bocorin Google Ads token ke penyerang yang daftar sebagai customer, dan kamu nggak bakal tahu sampai budget iklanmu jebol.
Solusi yang bisa kamu pakai:
- Wordfence / Patchstack — vulnerability scanner + firewall real-time
- WP Vanguard — scanner otomatis yang cross-reference plugin kamu dengan vulnerability database
- Solid Security (iThemes) — security hardening + brute force protection + file change detection
- NitroPack / Cloudflare WAF — Web Application Firewall yang bisa ngeblok exploit attempt bahkan sebelum patch tersedia
Rule of thumb: scan keamanan otomatis minimal seminggu sekali di setiap situs yang kamu kelola. Ini pekerjaan yang terlalu repetitif dan detail-heavy buat dikerjain manual — kecuali kamu mau jadi full-time security auditor.
Kesimpulan: Jangan Jadi Statistik Bulan Depan
Mei 2026 ngasih kita dua pelajaran mahal: pertama, plugin premium bukan jaminan keamanan. Kedua, authentication bugs — bukan RCE — yang sekarang jadi ancaman paling dominan di ekosistem WordPress.
Yang paling menakutkan: Burst Statistics CVSS 9.8 dengan 7.400+ exploit attempt dalam 24 jam pertama. Funnel Builder yang dipakai curi kartu kredit real-time. Ini bukan vulnerability teoretis yang cuma dibahas di forum — ini serangan aktif yang lagi berlangsung sekarang.
Situsmu adalah aset. Update plugin itu bukan tugas “nanti aja” — ini pertahanan lini pertama. 15 menit sekarang bisa nyelamatin kamu dari berbulan-bulan sakit kepala (dan kerugian finansial) nanti.
—
Udah cek situsmu? Ada plugin di atas yang terinstall? Share di kolom komentar — atau tanya kalau kamu butuh bantuan identifikasi versi yang vulnerable. Kita bantu satu sama lain.
Dan biar nggak ketinggalan update keamanan WordPress tiap bulannya, subscribe newsletter Hadezuka's Sharing. Nggak spam, cuma alert + panduan praktis yang langsung bisa kamu action. Amankan situsmu sebelum diserang, bukan setelah. ✌️
