Cyberthreat.id – Kelompok peretas (hacker)dilaporkan telah mengeksploitasi kerentanan sekitar sepuluh plugin WordPress. Mereka membuat akun admin jahat di situs web WordPress.

Serangan itu bagian dari kampanye peretasan yang dimulai Juli lalu. Peretas mengeksploitasi kerentanan dalam plugin untuk menanam kode berbahaya di situs yang diretas. Kode ini dimaksudkan untuk menampilkan iklan sembulan (popup ads) atau untuk mengarahkan pengunjung yang masuk ke situs web lain.

Dua pekan lalu, kelompok di balik serangan ini mengubah taktiknya. Mikey Veenstra, analis perusahaan cybersecurity Defiant, mengatakan kepada ZDNet, yang diakses Minggu (1 September 2019), bahwa mulai 20 Agustus lalu, kelompok peretas memodifikasi kode jahat.

Alih-alih hanya menyisipkan munculan iklan dan mengalihkan pengunjung, kode berbahaya itu juga menjalankan fungsi untuk menguji apakah pengunjung situs memiliki kemampuan untuk membuat akun pengguna di situs, fitur yang hanya tersedia untuk akun admin WordPress.

Pada dasarnya, kode jahat ini menunggu pemilik situs mengakses situs web mereka sendiri. Ketika mereka melakukannya, kode jahat membuat akun admin baru bernama wpservices, menggunakan alamat email wpservices@yandex.com, dan kata sandi w0rdpr3ss.

Dengan membuat akun-akun ini, kelompok peretas di balik kampanye ini mengubah taktik dari mengeksploitasi situs demi uang juga menambahkan jalan belakang (backdoor) untuk dipakai di lain wakut.

Menurut Veenstra, serangan baru-baru ini menargetkan kerentanan lawas pada plugin seperti berikut ini:

• Bold Page Builder
• Blog Designer
• Live Chat with Facebook Messenger
• Yuzo Related Posts
• Visual CSS Style Editor
• WP Live Chat Support
• Form Lightbox
• Hybrid Composer
• All former NicDark plugins (nd-booking, nd-travel, nd-learning dll)

Sejumlah plugin memiliki celah berbeda-beda. Disarankan pemilik situs web segera memperbarui plugin juga memeriksa nama pengguna admin yang terdaftar di situsnya.

Menghapus akun mencurigakan, kata ZDNet, sangat penting karena satu-satunya tujuan mereka adalah untuk membuat jalan kembali ke situs web setelah pengguna memperbarui plugin yang rentan.

“Membersihkan situs WordPress yang terinfeksi bisa sangat rumit, karena pemilik situs juga harus memindai situs web mereka dengan plugin keamanan WordPress untuk mencari berbagai mekanisme backdoor lain yang mungkin ditinggalkan oleh peretas,” tulis ZDNet. Pengguna non-teknis disarankan untuk mencari bantuan profesional.