Sistem Pembaruan WordPress dan Joomla Diretas

Sistem Pembaruan WordPress dan Joomla Diretas – Peretas berhasil membajak sistem pembaruan resmi dari plugin populer Smart Slider 3 Pro, baik untuk platform WordPress maupun Joomla.

Melalui pembajakan ini, penyerang menyisipkan versi berbahaya yang berisi berbagai pintu belakang (backdoor) yang sangat canggih.

Smart Slider 3 sendiri merupakan plugin yang digunakan oleh lebih dari 900.000 situs web untuk membuat tampilan visual yang responsif. Namun, peneliti keamanan menekankan bahwa ancaman ini khusus menyerang versi Pro 3.5.1.35.

Serangan ini dikategorikan sebagai Supply Chain Attack (serangan rantai pasok) karena malware didistribusikan langsung melalui jalur pembaruan resmi vendor pada tanggal 7 April lalu.

Senjata Multi-Lapis di Balik Layar

Hasil analisis dari para peneliti keamanan mengungkapkan bahwa malware yang disisipkan bukanlah skrip sederhana.

Ini adalah perangkat lengkap (toolkit) multi-lapis yang tertanam di dalam file utama plugin, namun tetap mempertahankan fungsi normal Smart Slider agar pemilik situs tidak merasa curiga.

Beberapa fitur berbahaya yang ditemukan di dalamnya meliputi:

• Eksekusi Perintah Tanpa Login: Penyerang jarak jauh dapat menjalankan perintah pada server tanpa perlu melakukan otentikasi, hanya dengan mengirimkan header HTTP khusus yang telah dimodifikasi.
• Pencurian Kredensial Otomatis: Malware ini dirancang untuk mencuri informasi sensitif dan kredensial situs secara diam-diam.
• Admin Tersembunyi: Salah satu lapisan persistensi utamanya adalah pembuatan akun administrator tersembunyi (sering kali dengan awalan wpsvc_) yang tersimpan langsung di dalam database.

Sulit Dideteksi, Sulit Dihapus

Malware ini sangat licin karena memasang “jangkar” di berbagai lokasi agar tetap aktif meskipun pemilik situs mencoba menghapusnya. Peneliti mencatat beberapa metode persistensi yang sangat cerdas:

• Must-Use (MU) Plugins: Malware membuat direktori mu-plugins dan menyisipkan file yang menyamar sebagai komponen caching resmi. Plugin jenis ini berbahaya karena dimuat secara otomatis oleh WordPress, tidak dapat dinonaktifkan dari dasbor, dan tidak muncul di daftar plugin biasa.
• Injeksi Tema: Malware menanamkan kode di file functions.php pada tema yang sedang aktif. Selama tema tersebut digunakan, pintu belakang akan tetap terbuka.
• Mimikri Kelas Inti WordPress: Penyerang menyuntikkan file PHP di direktori wp-includes dengan nama yang meniru kelas inti WordPress. Hebatnya, backdoor ini tidak bergantung pada database; ia membaca kunci otentikasinya sendiri dari file .cache_key. Artinya, meskipun Anda mengganti kata sandi database, backdoor ini akan tetap berfungsi sepenuhnya.

Tindakan Darurat bagi Administrator Situs

Vendor telah merilis versi 3.5.1.36 sebagai perbaikan. Jika Anda mendeteksi penggunaan versi Pro 3.5.1.35 pada sistem Anda, Anda harus mengasumsikan bahwa seluruh situs telah dikompromi secara total.

Berikut adalah panduan pembersihan yang direkomendasikan:

1. Restorasi Backup: Cara teraman adalah mengembalikan cadangan situs (backup) dari tanggal 5 April atau sebelumnya untuk memastikan tidak ada kode berbahaya yang terbawa.
2. Pembersihan Manual: Jika cadangan tidak tersedia, hapus plugin yang terinfeksi dan instal versi bersih (3.5.1.36). Hapus semua pengguna admin yang tidak dikenal dan periksa entri database secara teliti.
3. Instalasi Ulang Total: Instal ulang inti WordPress/Joomla, semua plugin, dan tema dari sumber resmi yang tepercaya untuk memastikan tidak ada file sisa yang disisipkan.
4. Rotasi Kredensial: Ganti semua kata sandi, mulai dari admin WordPress, database, FTP/SSH, akun hosting, hingga email terkait.
5. Regenerasi Salt: Perbarui kunci keamanan (salts) WordPress untuk memutuskan semua sesi masuk yang aktif saat ini.

Penguatan Pertahanan

Kasus Smart Slider 3 Pro menjadi pengingat pahit bahwa ancaman bisa datang dari jalur resmi yang kita percayai. Langkah terakhir yang tidak kalah penting adalah melakukan pengerasan (hardening) pada situs Anda.

Aktifkan otentikasi dua faktor (2FA), batasi akses administratif hanya untuk pihak yang memerlukan, dan gunakan kata sandi kuat yang unik.

Kecepatan merespons adalah kunci dalam menghadapi serangan rantai pasok. Pastikan Anda selalu memantau log aktivitas situs dan segera memperbarui komponen ke versi terbaru setelah verifikasi keamanan dilakukan.

Baca artikel lainnya:

• Peretas Kini Serang Lewat Obrolan dan Kode QR
• Pentingnya Layanan IT Terkelola dan Peran AI
• Celah Zero-Day Zimbra Meretas Email & Kata Sandi
• CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
• Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
• Email Phising AI Tipu Semua Orang
• Dua Spyware Android Mengintai Pengguna Signal dan ToTok
• Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
• Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur
• Lindungi Anak dari Spyware dan Stalkerware

Sumber berita:

Prosperita IT News