Cyberthreat.id – Lagi, dan lagi, WordPress menjadi target para hacker.

Sehari sebelum tutup 2022, perusahaan keamanan siber Doctor Web (Dr. Web) mengeluarkan analisis terbaru terkait perangkat lunak jahat (malware) yang menyerang situsweb berbasis WordPress.

Peneliti menemukan dua program Linux jahat yang menargetkan Content Management System (CMS) WordPress.

“Program jahat ini mengeksploitasi 30 kerentanan di sejumlah plug in dan theme untuk WordPress,” tulis Dr.Web di blog perusahaan, pekan lalu  yang diakses Selasa (3 Januari 2023).

Alat tersebut termasuk kategori trojan. Ada dua malware yang ditemukan, yaitu Linux.BackDoor.WordPressExploit.1 dan Linux.BackDoor.WordPressExploit.2. Nama trojan itu sesuai dengan klasifikasi layanan antivirus Dr.Web.

 “Malware ini menargetkan Linux versi 32-bit, tapi juga dapat berjalan pada versi 64-bit,” ujar Dr.Web.

Sebagai pintu belakang (backdoor), trojan itu dikendalikan dari jarak jauh oleh hacker. Atas perintah mereka, trojan dapat melakukan, seperti menyerang web page tertentu (situsweb), beralih ke mode standby, mematikan diri sendiri, dan menjeda setiap pencatatan tindakan.

Dr.Web mengatakan fungsi utama trojan tersebut adalah menyuntikkan skrip berbahaya ke halaman web yang ditargetkan.

Cara hacker menyisipkan skrip itu adalah dengan mengeksploitasi kerentanan plugin dan theme yang dipakai oleh situsweb tersebut.

Untuk trojan versi 1, plugin dan theme yang ditargetkan, antara lain:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

“Jika satu atau lebih kerentanan berhasil dieksploitasi, halaman yang ditargetkan akan disuntikkan dengan JavaScript berbahaya yang diunduh dari server jarak jauh,” kata Dr.Web.

Maka, setiap kali pengguna mengklik, di halaman yang terinfeksi (entah apa bentuknya tergantung skenario peretas), mereka akan dialihan ke situsweb peretas.

Menurut Dr.Web, trojan itu mengumpulkan statistik serangan, kerentanan yang berhasil dijebol, juga memberi tahu server peretas tentang semua kerentanan yang belum ditambal yang telah dipindai.

Ada pun terkait trojan versi 2, Dr.Web menuturkan, bahwa dalam versi terbaru, hacker membuat perbedaan-perbedaan dari sebelumnya, bahkan menambah target kerentanan plugin, antara lain:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

Untuk mencegah serangan tersebut, Dr. Web merekomendasikan agar pemilik situs web berbasis WordPress selalu memperbarui semua komponen platform, termasuk add-on dan tema pihak ketiga, dan juga menggunakan login dan kata sandi yang kuat dan unik.

Sebelum temuan Dr.Web tersebut, perusahaan keamanan siber Fortinet FortiGuard Labs juga merinci botnet lain yang disebut GoTrim yang dirancang untuk menyerang CMS WordPress.

Desember lalu, perusahaan keamanan siber, Sucuri, juga menemukan lebih dari 15.000 situsweb WordPress telah diretas, lalu korban dialihkan ke portal Q&A palsu. Jumlah infeksi aktif saat ini mencapai 9.314, tulis Hacker News.

Perusahaan keamanan milik GoDaddy itu, pada Juni 2022, juga membagikan informasi tentang sistem pengarahan lalu lintas (traffic direction systems/TDS) yang dikenal sebagai Parrot yang lagi-lagi menargetkan situsweb WordPress dengan menginfeksi JavaScript jahat.[]