Ada yang baru nih guys, ribuan situs WordPress kena hack, gara-gara ada plugin yang lagi bermasalah. Plugin-nya namanya tagDiv Composer, udah pada tahu kan? Nah, ini jadi bahan eksploitasi buat para peretas.
Plugin itu penting banget buat dua tema keren, yaitu Newspaper dan Newsmag. Kedua tema ini bisa diunduh di Theme Forest dan Envato, udah lebih dari 155.000 unduhan, loh!
Celah Keamanan Plugin Tagdiv, Ribuan Website Diretas!
Kerentanannya tuh namanya CVE-2023-3169, katanya sih masalahnya ada di Cross Site Scripting (XSS). Intinya, peretas atau hacker bisa nge-embed-in kode jahat ke halaman web tanpa sepengetahuan kita. Nih, info penting, kerentanannya di level 7,1 dari 10, loh! Bahaya juga ya.
Berita baiknya, peneliti keamanan dari Vietnam, Truoc Phan, nemuin masalah ini. Dia laporin dan sekarang udah diperbaiki sebagian di tagDiv Composer versi 4.1 dan sepenuhnya di versi 4.2.
Menurut Info dari postingan Denis Sinegubko, peneliti keamanan tentang serangan cyber, serang ini pake trik jahat. Jadi, pelaku ancaman ini bener-bener maksa kerentanan di situs-situs buat nge-embed skrip web yang bikin pengunjung diarahin ke situs penipuan.
Hasilnya? Situs-situs jadi jadi ajang penipuan teknis palsu, lotere bohongan, sama tipu-tipu push notification. Terakhir itu nih, mereka pura-pura tampilin dialog captcha palsu buat narik pengunjung buat subscribe push notification.
Perlu kamu tau, push notification itu kayak pesan singkat atau pemberitahuan yang muncul di layar ponsel atau komputer kamu, meskipun aplikasi atau situs webnya nggak lagi dibuka. Intinya, notifikasi ini ‘dipaksa’ masuk ke perangkat kamu buat nunjukin info atau update terbaru dari aplikasi atau situs tertentu. Bayangin klo itu dari situs penipuan atau judi online, ganggu banget kan?
Sucuri, tempat si Denis Sinegubko kerja, udah tracking tuh serangan malware sejak 2017, dinamain Balada. Nah, menurut Sucuri, dalam enam tahun terakhir, Balada udah berhasil nyusup ke lebih dari 1 juta situs. Bulan lalu aja, lebih dari 17.000 lokasi kena suntik Balada, hampir dua kali lipat dari bulan sebelumnya. Lebih dari 9.000 infeksi baru muncul gara-gara eksploitasi kerentanan CVE-2023-3169.
Sucuri udah nge-track enggak kurang dari enam gelombang suntikan yang eksploitasi kerentanan. Walaupun tiap gelombang beda-beda, tapi semuanya nyelipin skrip yang dimasukin ke dalam tag berikut:
<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>Serangan jahat ini pake kode yang diacak biar susah dideteksi. Tempat dia nongkrong biasanya di database yang dipake sama situs WordPress, khususnya di opsi “td_live_css_local_storage” di tabel wp_options.
Si pelaku ancaman Balada selalu berusaha buat dapetin kontrol yang tetap atas situs-situs yang berhasil dia kompromi. Cara paling umum yang dia lakukan itu dengan memasang script yang bikin akun dengan hak akses administrator. Kalo admin beneran bisa nangkep dan hapus script redirect-nya tapi biarin akun palsu admin tetep ada, pelaku ancaman bakal pake kontrol administratifnya buat nambahin set baru skrip redirect yang jahat.
Mitigasi Bencana!
Menurut blog Sucuri, di bulan September 2023, mereka udah ngedeteksi lebih dari 17.000 situs web, hampir dua kali lipat dari deteksi di bulan Agustus sebelumnya. Lebih dari 9.000 deteksi itu berkaitan sama kerentanan di tema NewsPaper.
Siklus modifikasi yang cepat dan penggunaan teknik pendekatan baru bikin bulan September jadi bulan yang super challenging buat pengguna setia Tagdiv, khususnya yang pake tema Newspaper dan NewsMagz.
Nih, beberapa saran buat pencegahan dan tindakan kalo udah kena serangan Balada:
Jadi, pertama-tama, cek situs kamu dan hapus semua malware yang nyusup. Pakai SiteCheck dari Sucuri, biasanya dia bisa nangkep varian-varian Balada Injector sebagai malware.injection?35.* loh.
Nah, sebelum kamu bersihin malware sepenuhnya, pastikan langkah-langkah berikutnya udah dijalanin. Ini penting biar si malware nggak balik lagi kalo kamu masuk sebagai admin.
- Pertama, hapus Injeksi awal. Biasanya bisa ditemuin di opsi “td_live_css_local_storage” di tabel wp_options.
- Kedua, bersihin kode-kode jahat yang ada di file .js, kayak /wp-includes/js/jquery/jquery-migrate.min.js, /wp-includes/js/jquery/jquery.min.js, dan /wp-includes/js/wp-emoji-release.min.js.
Jangan lupa juga cek file kayak index.php, wp-blog-header.php, header.php, sama footer.php di tema kamu. Ada baiknya hapus semua kode berbahaya yang ketemu di situ. Biar situs kamu bersih dan aman, gitu loh! Semangat, lanjut phase dua!
Pastikan kalo plugin tagDiv Composer di-update setidaknya ke versi 4.2, ya. Ini penting banget buat mencegah infeksi ulang melalui lubang keamanan yang udah diketahui. Jangan lupa selalu perbarui tema Newspaper kamu pake patch terbaru juga. Soalnya, kita udah lihat banyak kode jahat yang nyusup di situs pake berbagai versi tema Newspaper, mulai dari yang versi 10.x sampe 12.x. Ada juga yang masih pakai versi lama, kayak 8.x.
Oh ya, pastiin semua tema dan plugin lainnya juga selalu up to date, deh. Ini bener-bener praktik keamanan terbaik yang bisa bantu melindungi situs kamu dari kerentanan dan bug perangkat lunak yang udah diketahui.
Terus, bersihin juga semua pengguna admin yang nggak kamu kenal atau nggak diinginkan. Cek khususnya yang baru dibuat, apalagi kalo namanya “greeceman” atau diakhiri dengan “mann” dan pake email ” @mail.com“. Jaga-jaga, siapa tau ada yang iseng nyelonong, kan?
Seteleha bersih-bersih, pastikan nggak ada plugin yang nggak diinginkan, kayak wp-zexit atau wp-swamp, yang terpasang di situs kamu. Ingat, secara default, plugin kayak gitu suka nyembunyi di antarmuka admin WordPress, jadi pastiin buat bener-bener cek jenis plugin yang ada di direktori wp-content/plugins.
Cek juga file 404.php dari tema Newspaper. Mungkin aja ada backdoor di situ.
Jangan lupa buat scan website kamu dengan plugin keamanan untuk cari file backdoor. Nggak jarang, si Balada Injector dan serangan-serangan lain suka pake backdoor awal buat nge-upload beberapa backdoor lagi ke file-file acak. Sistem kontrol integritas bisa bantu buat ngecek file baru dan yang dimodifikasi.
Ganti semua kata sandi situs web kamu, termasuk kata sandi database. Soalnya, Balada Injector suka mencuri informasi dari file wp-config.php. Pastiin semua kredensial pengguna kamu kuat, unik, dan aman buat ngehindarin infeksi ulang.
Akhir Kata
Keamanan situs web itu nggak bisa dianggap enteng. Langkah-langkah di atas cuma sebagian kecil dari usaha yang perlu dilakukan untuk menjaga situs web tetap aman. Kalau kamu curiga ada masalah, langsung hubungi tim support kita yang siap bantu 24/7. Keamanan situs web kamu itu prioritas, dan semoga dengan langkah-langkah yang diambil, situs web kamu cepet pulih dan tetap bebas dari gangguan. Tetap waspada dan aman di dunia maya, ya!
