Peretas telah menemukan metode yang belum pernah terlihat sebelumnya untuk memasang plugin yang disispi backdoor di situs web yang menjalankan WordPress, dan teknik baru ini bergantung pada penggunaan akun WordPress.com yang terlindungi secara lemah dan plugin Jetpack.
Teknik ini sangat kompleks, dan untuk mengkompromikan situs, peretas harus melalui berbagai langkah, di mana ada beberapa hal yang dapat mencegah serangan agar tidak berhasil.
Namun demikian, serangan telah terjadi sejak 16 Mei, menurut laporan dari perusahaan keamanan situs WordPress Wordfence dan beberapa posting di forum resmi WordPress.org dari pemilik situs yang situsnya dibajak.
Bagaimana serangan baru ini berhasil
Langkah pertama serangan ini terdiri dari peretas yang mengambil nama pengguna dan kata sandi dari pelanggaran publik dan mencoba masuk ke akun WordPress.com.
Pengguna yang menggunakan kata sandi yang sama di seluruh akun dan yang tidak mengaktifkan otentikasi dua faktor untuk profil mereka rentan terhadap upaya pengambilalihan akun ini.
Agar jelas, akun WordPress.com digunakan untuk mengelola blog profesional yang diselenggarakan oleh Automattic, dan berbeda dari akun WordPress.org dan akun admin untuk situs WordPress yang dihosting sendiri yang didasarkan pada CMS sumber terbuka.
Sementara CMS WordPress dikelola oleh komunitas WordPress, banyak pengembang Automattic berkontribusi pada proyek open-source dan selalu memiliki pengaruh besar dan hubungan dekat dengan CMS open-source. Inilah alasannya, beberapa tahun yang lalu, Automattic mengambil plugin analitik yang digunakan di WordPress.com dan merilisnya sebagai sebuah plugin open-source untuk situs WordPress yang dihosting sendiri.
Peretas menginstal plugin yang disisipi backdoor melalui Jetpack
Belakangan ini, modul analisis ini —yang disebut Jetpack— tumbuh dengan banyak fitur baru, dan sekarang menjadi salah satu plugin paling populer untuk situs WordPress.
Salah satu fitur plugin ini adalah kemampuannya untuk menghubungkan situs WordPress yang dihosting mandiri ke akun WordPress.com dan menggunakan panel Jetpack di dalam dashboard WordPress.com untuk mengelola puluhan atau ribuan situs WordPress yang dihosting sendiri melalui plugin Jetpack yang diinstal pada setiap situs.
Salah satu opsi yang disediakan Jetpack adalah kemampuan untuk memasang plugin di berbagai situs dari dashboard Jetpack WordPress.com.
Plugin bahkan tidak harus di-host atau disembunyikan di repositori WordPress.org resmi, dan penyerang dapat dengan mudah mengunggah file ZIP dengan kode berbahaya yang kemudian dikirim ke setiap situs.
Menurut Wordfence, peretas yang telah mengambil alih akun WordPress.com dan menemukan situs WordPress yang dihosting sendiri telah menyalahgunakan fitur manajemen jarak jauh ini untuk menerapkan plugin yang disisipi backdoor di seluruh situs yang sebelumnya aman.
Peretasan telah terjadi selama seminggu
Para ahli mengatakan bahwa serangan dimulai pada 16 Mei, dengan peretas menyebarkan plugin bernama “pluginsamonsters,” kemudian beralih ke plugin lain bernama “wpsmilepack” pada 21 Mei.
Jumlah situs yang disusupi tidak diketahui, dan mendeteksi situs yang disusupi juga sulit.
“Plugin ini terlihat di dashboard WordPress.com tetapi tidak terlihat pada daftar plugin situs WordPress target saat aktif,” kata tim Wordfence.
Untuk saat ini, peretas telah menggunakan backdoor ini untuk mengalihkan pengguna ke penipuan spam dan dukungan teknis palsu.
Pemilik situs WordPress yang dihosting mandiri yang telah menghubungkan plugin Jetpack mereka dengan akun WordPress.com didorong untuk meninjau plugin yang telah mereka sebar di situs yang di-hosting sendiri di dalam dashboard WordPress.com.
Jika mereka menemukan plugin yang mencurigakan, mereka harus segera mengubah kata sandi akun WordPress.com mereka, mengaktifkan otentikasi dua faktor untuk akun, dan memulai prosedur pembersihan situs.
Wordfence mengatakan bahwa aktor ancaman di balik teknik pembajakan situs baru ini telah menargetkan situs WordPress yang dihosting sendiri sebelumnya. Pada bulan Februari tahun ini, mereka menggunakan teknik yang disebut “credential stuffing” -menggunakan username & password combo yang ada dalam kebocoran publik- dalam upaya untuk menebak kredensial akun admin dan membajak situsWordPress yang dihosting mandiri langsung di sumbernya.
