Cyberthreat.id – WordPress sejauh ini menjadi platform paling banyak dipakai untuk membangun situs web. Menurut survei W3Techs, sekitar 35 persen dari semua situs web di internet dioperasikan dengan WordPress CMS (sistem manajemen konten).

Karena itulah, WordPress paling rentan dipindai peretas (hacker). Selama beberapa bulan terakhir, peretasan terhadap WordPress memang cenderung turun ketimbang tahun lalu.

Hanya, teknik serangan tidak langsung menyerang WordPress. Peretas kini mengeksploitasi kerentanan plug-in WordPress. Ini terjadi dalam beberapa pekan belakangan, tulis ZDNet, Senin (2 Maret 2020).

Sejumlah perusahaan keamanan siber (cybersecurity), terutama fokus pada keamanan WordPress, seperti Wordfence, WebARX, NinTechNet, telah menjumpai peningkatan serangan ke situs web berbasis WordPress.

Beberapa peretas juga menemukan dan mulai mengeksploitasi zero-day –istilah yang digunakan untuk menggambarkan kerentanan yang tidak diketahui oleh pembuat plug-in, tulis ZDNet.

Berikut sejumlah aksi peretas yang berusaha mengeksploitasi kerentanan plug-in WordPress selama Februari lalu:

Duplikator

Menurut Wordfence, sejak pertengahan Februari, peretas telah mengeksploitasi bug di Duplicator, sebuah plug-in yang memungkinkan administrator situs mengekspor konten Namun, bug tersebut telah diperbaiki pada versi 1.3.28.

Penyerang dapat mengekspor salinan situs, dapat mengekstrak kredensial basis data, dan kemudian membajak server WordPress.

Duplicator adalah salah satu plug-in paling populer di portal WordPress, dengan lebih dari satu juta pemasangan pada saat serangan dimulai atau sekitar 10 Februari lalu. Duplicator Pro, versi plug-in komersial dipasang pada 170.000 situs tambahan juga turut terpengaruh.

---

Berita Terkait:

• Ada Bug Kritis di Plug-in WordPress, Ayo Segera Tambal!
• 6 Langkah Mudah Amankan Situs Web Wordpress
• Hati-hati Unduh Tema WordPress Bajakan: Ada Spam Iklan!
• Nama Ratusan Website Wordpress Diubah Hacker
• Hacker Serang Situs WordPress Manfaatkan Bug Plugin Lawas
• Pengguna WordPress Waspadalah, Bahaya Mengintai phpMyAdmin

---

Profile Builder Plugin

Ada juga bug besar lainnya baik dalam versi gratis maupun pro dari plug-in ini. Bug ini memungkinkan peretas untuk mendaftarkan akun admin yang tidak sah di situs WordPress.

Bug telah ditambal pada 10 Februari lalu, tetapi serangan dimulai pada 24 Februari, pada hari yang sama ketika kode proof-of-concept dipublikasikan secara online. Setidaknya dua kelompok peretas diyakini mengeksploitasi bug ini, menurut ZDNet.

Lebih dari 65.000 situs (50.000 menggunakan versi gratis dan 15.000 menggunakan versi komersial) rentan terhadap serangan kecuali mereka memperbarui plug-in ke versi terbaru.

Importer Demo Themegrill

Ini plug-in pada tema yang dijual oleh ThemeGrill, pengembang tema WordPress komersial. Plug-in diinstal di lebih dari 200.000 situs. Bug pada plug-in ini memungkinkan penyerang menghapus situs web yang menjalankan versi rentan, dan bisa mengambil alih akun "admin".

Serangan, telah dikonfirmasi oleh Wordfence dan WebARX. Kode bukti konsep juga tersedia online. Pengguna disarankan memperbarui ke plug-in v1.6.3 sesegera mungkin.

Addon Themerex

Serangan juga terlihat menargetkan ThemeREX Addons, sebuah plug-in WordPress yang mengirimkan pra-instal dengan semua tema komersial dari ThemeREX.

Menurut Wordfence, serangan dimulai pada 18 Februari, ketika peretas menemukan kerentanan zero-day di plug-in dan mulai mengeksploitasinya untuk membuat akun admin gadungan di situs rentan. Meskipun ada serangan yang sedang berlangsung, tambalan tidak pernah dibuat. Administrator situs disarankan untuk menghapus plug-in dari situs mereka sesegera mungkin.

Flexible Checkout Field for Woocommerce

Serangan juga menargetkan situs yang menjalankan plug-in Flexible Checkout Field for WooCommerce yang telah diinstal pada lebih dari 20.000 situs e-commerce berbasis WordPress.

Peretas menggunakan kerentanan zero-day (yang sekarang telah ditambal) untuk menyuntikkan muatan XSS yang dapat dipicu di dasbor log-in administrator. Payload XSS memungkinkan peretas untuk membuat akun admin di situs rentan. Serangan telah berlangsung sejak 26 Februari.

Plug-in lain

Wordfence juga melaporkan plug in lain yang rentan ditargetkan, antara lain “Async JavaScript”, “Modern Event Calender Lite”, dan “10Web Map Builder for Google Maps”.

“Kampanye serangan ini mengeksploitasi kerentanan XSS di plug-in dan memungkinkan penyerang mengambil alih administrator dan menginstal backdoor,” tutur Wordfence.[]