WordPress adalah salah satu platform pembuatan situs web paling populer di dunia, tetapi juga menjadi sasaran favorit para peretas. Baru-baru ini, para peneliti keamanan menemukan sebuah malware baru yang menyerang situs WordPress dengan menyamar sebagai plugin caching yang sah. Malware ini dapat membuat akun admin palsu untuk mengambil alih situs web dan melakukan berbagai aktivitas jahat.
Malware ini ditemukan oleh analis keamanan dari Defiant, perusahaan yang membuat plugin keamanan Wordfence untuk WordPress. Mereka menemukan malware ini pada bulan Juli ketika membersihkan sebuah situs web yang terinfeksi. Setelah menganalisis pintu belakang ini, mereka melihat bahwa malware ini memiliki komentar pembukaan yang terlihat profesional yang dirancang untuk tampak seperti plugin caching yang nyata.
Malware ini disebut WP-Cache-Manager dan mengklaim dirinya sebagai plugin caching yang dapat meningkatkan kinerja situs web. Namun, sebenarnya malware ini tidak melakukan apa-apa selain menghubungi server perintah dan kontrol (C2) yang dimiliki oleh peretas. Server C2 ini dapat mengirimkan perintah kepada malware untuk melakukan berbagai tindakan, seperti:
- Membuat akun admin baru dengan nama supportuser dan kata sandi acak. Akun ini dapat digunakan oleh peretas untuk masuk ke situs web dan mengubah pengaturan, konten, atau plugin.
- Menyembunyikan akun admin palsu dari daftar pengguna agar tidak terdeteksi oleh pemilik situs web.
- Mengganti konten postingan atau halaman dengan konten yang disediakan oleh server C2. Konten ini dapat berisi iklan, tautan, atau kode jahat.
- Mengalihkan pengguna ke lokasi yang ditentukan oleh server C2. Lokasi ini dapat berisi halaman phishing, malware, atau penipuan lainnya.
- Mengelola plugin yang diinstal pada situs web1. Malware ini dapat mengaktifkan, menonaktifkan, atau menghapus plugin sesuai keinginan peretas.
Malware ini dirancang untuk lolos dari pemeriksaan manual dengan meniru plugin caching yang sah. Namun, ada beberapa tanda yang dapat membantu mengidentifikasi keberadaannya, seperti:
- Nama file malware adalah wp-cache.php, tetapi nama file plugin caching asli adalah wp-cache-manager.php.
- Ukuran file malware adalah sekitar 28 KB, sedangkan ukuran file plugin caching asli adalah sekitar 6 KB.
- File malware tidak memiliki fungsi caching apa pun, tetapi hanya berisi kode untuk berkomunikasi dengan server C2.
Para peneliti keamanan menyarankan para pemilik situs WordPress untuk memeriksa plugin mereka dan mencari tanda-tanda malware ini. Jika ditemukan, mereka harus segera menghapusnya dan mengubah kata sandi akun admin mereka. Mereka juga harus memperbarui plugin dan tema mereka ke versi terbaru untuk mencegah serangan lain.
WordPress adalah platform yang hebat untuk membuat situs web, tetapi juga rentan terhadap serangan peretas. Oleh karena itu, penting bagi para pemilik situs WordPress untuk menjaga keamanan situs web mereka dengan cara-cara berikut:
- Menggunakan plugin keamanan yang dapat mendeteksi dan mencegah malware, seperti Wordfence.
- Menggunakan kata sandi yang kuat dan unik untuk akun admin mereka.
- Menggunakan otentikasi dua faktor untuk melindungi akun admin mereka.
- Membuat cadangan situs web mereka secara berkala agar dapat memulihkannya jika terjadi sesuatu.
- Menghindari menginstal plugin atau tema dari sumber yang tidak tepercaya atau tidak dikenal.
Dengan cara-cara ini, Anda dapat melindungi situs WordPress Anda dari malware WP-Cache-Manager dan ancaman lainnya.
sumber
gambar
