Bug di WordPress memungkinkan peretas mendapatkan hak admin dan membersihkan data dari situs web yang rentan
Plugin tertentu dipasang di setidaknya 44.000 situs web, menurut perusahaan keamanan Wordfence, sehingga semua situs tersebut rentan.[2] Plugin ini menyediakan 466 tema dan template WordPress komersial untuk dijual, sehingga pelanggan dapat mengonfigurasi dan mengelola tema dengan lebih mudah.
Plugin ini bekerja dengan menyiapkan titik akhir REST-API WordPress, tetapi tanpa memeriksa apakah perintah yang dikirim ke REST API ini berasal dari pemilik situs atau pengguna yang berwenang atau tidak. Ini adalah bagaimana kode jarak jauh dapat dieksekusi oleh pengunjung yang tidak diautentikasi.
[3]Bug lain yang melibatkan tema WordPress ditemukan di plugin oleh ThemeGrill yang menjual tema situs web ke lebih dari 200.000 situs. Cacat ini memungkinkan penyerang untuk mengirim muatan tertentu ke situs-situs yang rentan tersebut dan memicu fungsi yang diinginkan setelah mendapatkan hak admin.[4]
Skema tema WordPress yang di-trojan yang mengarah ke server yang disusupi
Menurut analisis, kelemahan tersebut memungkinkan kompromi setidaknya 20.000 server web di seluruh dunia. Ini mungkin telah menyebabkan instalasi malware, paparan iklan berbahaya. Lebih dari seperlima dari server ini milik bisnis menengah yang memiliki lebih sedikit dana untuk dibuat lebih banyak situs web khusus, tidak seperti perusahaan besar, jadi insiden keamanan seperti itu juga lebih signifikan di kerusakan.
Memanfaatkan CMS yang banyak digunakan seperti itu mungkin sudah dimulai sejak tahun 2017. Peretas dapat mencapai tujuan mereka dan tanpa sadar membahayakan berbagai situs web karena kurangnya kesadaran keamanan korban. Selain plugin rentan yang disebutkan dan kelemahan lainnya, 30 situs web yang menawarkan tema dan plugin WordPress ditemukan.[5]
Paket tertrojan terinstal, dan pengguna menyebarkan file berbahaya tanpa mengetahui bahwa perilaku tersebut memungkinkan penyerang untuk mendapatkan kontrol penuh atas server web. Dari sana, menambahkan akun admin, memulihkan server web, dan bahkan mendapatkan akses ke sumber daya perusahaan menjadi mudah.
Selain itu, malware yang disertakan dalam serangan tersebut dapat:
- berkomunikasi dengan server C&C milik peretas;
- unduh file dari server;
- menambahkan cookie untuk mengumpulkan berbagai data pengunjung;
- mengumpulkan informasi tentang mesin yang terpengaruh.
Selain itu, penjahat yang terlibat dalam skema tersebut dapat menggunakan kata kunci, iklan berbahaya, dan teknik lainnya:
Dalam banyak kasus, iklan benar-benar jinak dan akan mengarahkan pengguna akhir ke layanan atau situs web yang sah. Namun dalam kasus lain, kami mengamati iklan pop-up yang meminta pengguna untuk mengunduh program yang mungkin tidak diinginkan.
WordPress adalah CMS paling populer di dunia
Laporan terbaru menunjukkan bahwa menggunakan CMS tidak lagi opsional dan terus meningkat. Khususnya untuk perusahaan perusahaan dan aplikasi tanpa kepala yang mengontrol konten yang terpisah dari lapisan tampilan awal atau pengalaman pengguna front-end.[6] Penelitian menunjukkan bahwa jika dibandingkan dengan sistem manajemen konten lainnya, penggunaan WordPress telah meningkat.
Selain itu, perusahaan jelas diuntungkan dengan menggunakan lebih dari satu CMS sekaligus, sehingga praktik ini menjadi semakin populer. Itu sangat berguna ketika datang ke masalah seperti kerentanan dan bug atau masalah yang berbeda mengenai layanan, privasi, dan keamanan situs web Anda dan data sensitif.
Kemungkinan langkah
Peneliti menyarankan organisasi dan admin untuk:
- hindari menggunakan perangkat lunak bajakan;
- mengaktifkan dan memperbarui Windows Defender atau solusi AV yang berbeda;
- jauhi penggunaan kembali kata sandi di seluruh akun;
- perbarui OS secara teratur
- mengandalkan tambalan yang tersedia untuk beberapa kerentanan tersebut dan pembaruan untuk plugin tertentu.