√ Keylogger Ditemukan di Hampir 5.500 Situs WordPress

Keylogger Ditemukan di Hampir 5.500 Situs WordPress

12/10/2017

Adds-On selalu menjadi masalah bagi situs web yang dikelola menggunakan CMS WordPress. Pertengahan tahun ini, situs WordPress yang ditemukan memiliki software yang mampu melakukan cryptocurrencies, jumlahnya meningkat. Namun keliatannya, virus udah bermutasi yang sekarang menjadi sebuah keylogger yang mampu mengumpulkan informasi dari pengunjung situs-situs yang terinfeksi.

Untuk menemukan sumber masalah ini, mungkin kita harus kembali ke bulan April lalu, dimana anggota perusahaan keamanan Sucuri, menemukan lebih dari 5.500 situs web yang menggunakan CMS WordPress, terinfeksi malware yang mampu melakukan cryptocurrencies atau penambangan bitcoin.

Pada awalnya, ia menggunakan file functions.php untuk membuat request ke alamat Cloudflare palsu untuk membuat WebSocket dengan bantuan library.

Ketika pakar keamanan pertama kali menganalisis ancaman tersebut, pesan yang muncul saat mencoba mengakses domain Cloudflare palsu tersebut adalah "This Server is part of Cloudflare Distribution Network". Namun, pesan tersebut sudah berubah dan sekarang tulisannya "This server is part of an experimental science machine learning algorithms project".

Baca Juga : Developer Android Harus Hati-Hati

Perilaku Keylogger yang Mempengaruhi Situs WordPress

Sejak April lalu, banyak hal telah berubah. Cryptocurrencies udah hilang, seenggaknya buat sekarang. Operasi malware udah bermutasi ke dalam bentuk keylogger. Semua ruang untuk memasukan teks di situs web udah dimodifikasi. Mereka udah nambahin handler untuk mengirim informasi yang dimasukan ke alamat wss://cloudflare[.]solutions:8085/. Keylogger ini mampu mencuri data sensitif untuk mengakses profil pengguna, dan gak cuman itu, bahkan pengelolaan CMS juga dalam bahaya.

Mengingat banyak layanan yang terhubung, sangat mungkin sekali, pada saat pengguna memasukan data kredensial akun di platform lain, seperti Twitter atau Facebook. Dalam hal ini, kebutuhan untuk mengganti password sangat mendesak. Jika tidak, akun dapat digunakan untuk hal-hal yang diluar kuasa pengguna.

Pakar keamanan juga menemukan CoinHive script yang digunakan untuk mining. Namun, tampaknya pada saat itu sedang tidak digunakan.

Saya Punya Situs Web yang Pake WordPress dan Terinfeksi : Apa yang Harus Saya Lakukan?

Disetiap masalah tentu ada solusi. Pengguna yang memiliki situs web yang terinfeksi harus mencari file functions.php untuk function add_js_scripts dan melakukan penghapusan. Selanjutnya, cari kalimat-kalimat dimana functions.php disebutkan dan hapus kalimat tersebut. Jika tidak, pemuatan CMS tidak akan dilakukan dengan benar.

Setelah proses ini selesai, disarankan untuk mengubah pengaturan akun-akun kita.

Nah, itu dia sedikit info dan saran tentang situs WordPress yang terinfeksi. So gimana menurutmu? Tulis di kolom komentar ya! Adios!