Situs WordPress adalah salah satu platform web yang paling populer di dunia, tetapi juga menjadi sasaran serangan hacker yang ingin memanfaatkan celah keamanan atau konfigurasi yang lemah. Baru-baru ini, sebuah kampanye peretasan berskala luas terungkap, di mana situs WordPress yang diretas digunakan untuk menyuntikkan skrip jahat yang memaksa browser pengunjung untuk melakukan serangan bruteforce terhadap akun di situs lain.
.
Serangan bruteforce adalah metode yang digunakan hacker untuk mencoba masuk ke sebuah akun dengan menggunakan berbagai kombinasi kata sandi hingga menemukan yang benar. Dengan memiliki akses ke akun, hacker dapat mencuri data, menyuntikkan skrip jahat, atau mengenkripsi file di situs tersebut.
Serangan bruteforce adalah metode yang digunakan hacker untuk mencoba masuk ke sebuah akun dengan menggunakan berbagai kombinasi kata sandi hingga menemukan yang benar. Dengan memiliki akses ke akun, hacker dapat mencuri data, menyuntikkan skrip jahat, atau mengenkripsi file di situs tersebut.
.
Kampanye peretasan ini pertama kali terdeteksi oleh Sucuri, sebuah perusahaan keamanan situs web, yang telah melacak seorang aktor ancaman yang dikenal karena meretas situs untuk menyuntikkan skrip drainer dompet kripto. Skrip drainer dompet kripto adalah skrip jahat yang mencuri semua kripto dan aset saat seseorang menghubungkan dompet mereka ke situs. Skrip ini telah menjadi sangat umum selama setahun terakhir, dengan aktor ancaman membuat situs Web3 palsu dengan skrip drainer dompet. Mereka kemudian meretas akun X, membuat video YouTube, atau mengambil iklan Google dan X untuk mempromosikan situs dan mencuri kripto pengunjung.
Kampanye peretasan ini pertama kali terdeteksi oleh Sucuri, sebuah perusahaan keamanan situs web, yang telah melacak seorang aktor ancaman yang dikenal karena meretas situs untuk menyuntikkan skrip drainer dompet kripto. Skrip drainer dompet kripto adalah skrip jahat yang mencuri semua kripto dan aset saat seseorang menghubungkan dompet mereka ke situs. Skrip ini telah menjadi sangat umum selama setahun terakhir, dengan aktor ancaman membuat situs Web3 palsu dengan skrip drainer dompet. Mereka kemudian meretas akun X, membuat video YouTube, atau mengambil iklan Google dan X untuk mempromosikan situs dan mencuri kripto pengunjung.
.
Peneliti Sucuri melaporkan bahwa aktor ancaman tersebut meretas situs WordPress yang dikompromikan untuk menyuntikkan skrip drainer dompet AngelDrainer dalam beberapa gelombang dari beberapa URL, yang terakhir adalah ’ dynamiclink [.]lol/cachingjs/turboturbo.js.’ Pada akhir Februari, aktor ancaman beralih dari drainer dompet ke pembajakan browser pengunjung untuk melakukan serangan bruteforce terhadap situs WordPress lainnya. menggunakan skrip jahat dari domain yang baru didaftarkan ’ dynamic-linx [.]com/chx.js '.
Peneliti Sucuri melaporkan bahwa aktor ancaman tersebut meretas situs WordPress yang dikompromikan untuk menyuntikkan skrip drainer dompet AngelDrainer dalam beberapa gelombang dari beberapa URL, yang terakhir adalah ’ dynamiclink [.]lol/cachingjs/turboturbo.js.’ Pada akhir Februari, aktor ancaman beralih dari drainer dompet ke pembajakan browser pengunjung untuk melakukan serangan bruteforce terhadap situs WordPress lainnya. menggunakan skrip jahat dari domain yang baru didaftarkan ’ dynamic-linx [.]com/chx.js '.
.
Membangun Tentara Bruteforce
Membangun Tentara Bruteforce
Menurut laporan baru dari Sucuri, aktor ancaman tersebut menggunakan situs WordPress yang dikompromikan untuk memuat skrip yang memaksa browser pengunjung untuk melakukan serangan bruteforce terhadap kredensial akun di situs web lain. Sebagai bagian dari kampanye peretasan ini, aktor ancaman meretas situs WordPress untuk menyuntikkan kode jahat ke dalam template HTML. Saat pengunjung mengakses situs web, skrip dimuat di browser mereka dari https://xxxxxxxxx[.]com/chx.js. Skrip ini akan menyebabkan browser menghubungi server aktor ancaman diam-diam di ’ https://xxxxxxxxx[.]com/getTask.php ’ untuk menerima tugas bruteforce. Tugas ini berupa file JSON yang berisi parameter untuk serangan bruteforce: sebuah ID, URL situs web, nama akun, nomor yang menunjukkan batch kata sandi saat ini yang akan dilalui, dan seratus kata sandi untuk dicoba. Contoh tugas JSON bruteforce Sumber: BleepingComputer Setelah tugas diterima, skrip akan menyebabkan browser pengunjung mengunggah file menggunakan antarmuka XMLRPC situs WordPress menggunakan nama akun dan kata sandi dalam data JSON.
.
Jika salah satu kombinasi berhasil, skrip akan mengirimkan hasilnya ke server aktor ancaman di ’ https://xxxxxxxxx [.]com/submit.php ’ dengan parameter ’ success '. Jika tidak, skrip akan meminta tugas baru dengan parameter ’ failed '. Dengan cara ini, aktor ancaman dapat memanfaatkan daya komputasi dan bandwidth browser pengunjung untuk mencoba ribuan kata sandi tanpa meninggalkan jejak di situs WordPress yang diretas.
Jika salah satu kombinasi berhasil, skrip akan mengirimkan hasilnya ke server aktor ancaman di ’ https://xxxxxxxxx [.]com/submit.php ’ dengan parameter ’ success '. Jika tidak, skrip akan meminta tugas baru dengan parameter ’ failed '. Dengan cara ini, aktor ancaman dapat memanfaatkan daya komputasi dan bandwidth browser pengunjung untuk mencoba ribuan kata sandi tanpa meninggalkan jejak di situs WordPress yang diretas.
.
Cara Melindungi Situs WordPress Anda
Cara Melindungi Situs WordPress Anda
Serangan bruteforce adalah salah satu ancaman paling umum yang dihadapi oleh situs WordPress, karena banyak pengguna yang menggunakan kata sandi yang lemah atau bawaan. Untuk melindungi situs WordPress Anda dari serangan semacam ini, ada beberapa langkah yang dapat Anda lakukan, antara lain:
- Gunakan kata sandi yang kuat dan unik untuk akun Anda, dan ubah secara berkala. Anda dapat menggunakan manajer kata sandi untuk membuat dan menyimpan kata sandi dengan aman.
- Batasi jumlah percobaan masuk yang diizinkan dari alamat IP yang sama. Anda dapat menggunakan plugin keamanan seperti [Limit Login Attempts Reloaded] atau [Wordfence Security] untuk mengatur batas ini.
- Aktifkan otentikasi dua faktor (2FA) untuk akun Anda, yang membutuhkan kode tambahan yang dikirim ke perangkat Anda saat masuk. Anda dapat menggunakan plugin seperti [Google Authenticator] atau [Two Factor Authentication] untuk menambahkan fitur ini.
- Perbarui WordPress, tema, dan plugin Anda secara teratur untuk memperbaiki celah keamanan yang mungkin ada. Anda dapat mengaktifkan pembaruan otomatis untuk komponen ini di pengaturan WordPress Anda.
- Cadangkan situs Anda secara berkala untuk memulihkan data jika terjadi sesuatu. Anda dapat menggunakan plugin seperti [UpdraftPlus] atau [BackupBuddy] untuk membuat cadangan otomatis dan menyimpannya di penyimpanan cloud.
