Kita semua tahu betul bahwa saat ini ancaman keamanan semakin menjadi fenomena umum. Seperti yang telah kita lihat bahwa di pertengahan tahun, ditemukan sangat banyak situs web WordPress yang memiliki malware yang mampu menambang cryptocurrency. Sekarang, menurut laporan terbaru, lebih dari 5.000 situs WordPress telah diganggu dengan Keylogger.
Pengaya selalu menjadi masalah bagi situs web yang dikelola menggunakan CMS ini. Di pertengahan tahun, ditemukan sangat banyak situs web WordPress yang memiliki malware yang mampu menambang cryptocurrency. Semuanya tampaknya menunjukkan bahwa virus komputer ini telah bermutasi dan sekarang telah menjadi keylogger yang dapat mengumpulkan informasi yang diperkenalkan oleh pengunjung situs web yang terinfeksi ini.
Untuk menemukan sumber ancaman ini, kita harus kembali hingga April lalu, ketika anggota perusahaan keamanan Sucuri menemukan lebih dari 5.500 situs web yang menggunakan CMS ini terinfeksi malware yang mampu melakukan penambangan cryptocurrency, sesuatu yang semakin menjadi modis. Sejak saat itu, banyak perubahan yang dialami oleh ancaman tersebut, terutama pada tataran perilaku.
Awalnya, ia menggunakan file functions.php WordPress untuk membuat permintaan terhadap alamat Cloudflare palsu untuk membuat WebSocket dengan bantuan perpustakaan.
Ketika pakar keamanan pertama kali menganalisis ancaman, pesan yang muncul ketika mencoba mengakses domain Cloudflare palsu adalah "Server ini adalah bagian dari Jaringan Distribusi Cloudflare". Namun, pesan ini telah berubah, dan sekarang Anda dapat membaca "Server ini adalah bagian dari proyek algoritme pembelajaran mesin sains eksperimental".
Sejak April, segalanya telah berubah. Penambangan cryptocurrency telah menghilang (atau setidaknya untuk saat ini). Pengoperasian malware ini telah bermutasi menjadi bentuk keylogger. Semua spasi untuk memasukkan teks di web telah diubah. Mereka telah menambahkan handler yang mengirimkan informasi yang dimasukkan ke alamat wss://cloudflare[.]solutions: 8085/. Keylogger ini mampu mencuri kredensial untuk mengakses profil pengguna layanan web seperti WordPress itu sendiri dan tidak hanya itu bahkan pengelolaan CMS juga terganggu.
Mengingat banyak layanan yang terhubung, sangat mungkin bahwa pada titik tertentu pengguna memasukkan kredensial akun di platform seperti Twitter atau Facebook. Dalam hal ini, kebutuhan untuk mengubah kata sandi sangat mendesak. Jika tidak, akun dapat digunakan tanpa persetujuan pengguna.
Pakar keamanan juga menemukan bahwa skrip CoinHive diperkenalkan untuk melakukan penambangan koin. Namun, sepertinya saat ini tidak digunakan.
Jelas, ada solusi, meskipun tidak sepele. Pengguna yang memiliki situs web yang terpengaruh harus mencari file functions.php untuk fungsi add_js_scripts dan menghapusnya. Selanjutnya, mereka harus mencari semua kalimat di mana fungsi yang dihapus disebutkan dan melanjutkan ke penghapusannya. Jika tidak, pemuatan elemen CMS tidak akan dilakukan dengan benar.
Setelah proses ini selesai, disarankan untuk mengubah semua kredensial akses.
Jadi, apa pendapat Anda tentang kelemahan keamanan ini? Cukup bagikan semua pandangan dan pemikiran Anda di bagian komentar di bawah.