Image credit: Freepix
Skandal EssentialPlugin Backdoor di 30 Plugin – Keamanan ekosistem WordPress kembali diguncang oleh temuan serius yang melibatkan lebih dari 30 plugin dalam paket EssentialPlugin.
Kode berbahaya yang memungkinkan akses tidak sah telah disusupi ke dalam seluruh deretan produk tersebut, mengancam ratusan ribu situs web yang aktif menggunakannya.
Insiden ini menjadi pengingat pahit bagi para pemilik situs bahwa ancaman siber tidak hanya datang dari peretas luar, tetapi juga bisa menyusup melalui rantai pasokan perangkat lunak (software supply chain) setelah adanya akuisisi bisnis.
Meskipun kode pintu belakang (backdoor) tersebut sudah ditanam sejak tahun lalu, aktor ancaman baru saja mulai mengaktifkannya baru-baru ini untuk menyebarkan tautan spam, pengalihan paksa (redirect), dan pembuatan halaman palsu.
Kronologi Infiltrasi Pasca-Akuisisi
Kasus ini pertama kali terungkap setelah seorang peneliti keamanan sekaligus pendiri penyedia hosting WordPress menerima laporan mengenai adanya kode mencurigakan yang memungkinkan akses pihak ketiga pada salah satu pengaya.
Investigasi lebih lanjut mengungkap fakta mengejutkan: pintu belakang tersebut telah hadir di semua plugin dalam paket EssentialPlugin sejak Agustus 2025.
Periode ini bertepatan dengan momen setelah proyek tersebut diakuisisi oleh pemilik baru dalam kesepakatan bernilai enam angka.
EssentialPlugin, yang didirikan pada 2015 dengan nama WP Online Support dan melakukan rebranding pada 2021, dikenal sebagai penyedia berbagai utilitas populer seperti galeri, alat pemasaran, ekstensi WooCommerce, hingga alat SEO dan analitik.
Malware yang Tidak Terlihat
Pintu belakang ini bekerja dengan cara yang sangat rapi. Selama berbulan-bulan, kode tersebut tetap tidak aktif, hingga akhirnya diperintahkan untuk menghubungi infrastruktur eksternal secara diam-diam.
Proses infeksinya meliputi:
1. Pengunduhan Payload
Sistem yang terinfeksi akan mengambil file bernama wp-comments-posts.php (nama yang sengaja dimiripkan dengan file asli WordPress, wp-comments-post.php).
2. Injeksi Konfigurasi Inti
File tersebut kemudian menyuntikkan kode berbahaya ke dalam wp-config.php, yang merupakan file konfigurasi paling vital karena menghubungkan situs web dengan basis datanya.
3. Penyamaran Canggih
Malware ini menggunakan resolusi alamat C2 berbasis Ethereum untuk menghindari deteksi. Yang lebih berbahaya, konten spam atau pengalihan hanya ditampilkan kepada Googlebot.
Hal ini membuat pemilik situs tidak menyadari adanya masalah karena situs terlihat normal bagi pengguna biasa, sementara reputasi SEO mereka sedang dihancurkan di mata mesin pencari.
Peneliti keamanan mencatat bahwa pintu belakang ini hanya akan aktif jika endpoint analitik milik pengembang mengembalikan konten terserialisasi yang berbahaya.
|
Baca juga: Geger Tool Hardware Palsu di Situs Resmi |
Respon Darurat dan Status Infeksi
Pihak WordPress.org segera bergerak cepat setelah menerima laporan aktivitas mencurigakan ini, mereka segera menutup semua plugin terkait di direktori resmi.
Dan melakukan pembaruan paksa (forced update) ke jutaan situs web untuk memutus jalur komunikasi pintu belakang tersebut.
Namun, para pengembang keamanan memperingatkan bahwa tindakan otomatis ini belum tentu membersihkan file wp-config.php secara tuntas.
File inti ini sering kali menyimpan pengaturan penting, dan residu kode berbahaya mungkin masih tertinggal di sana.
Tim Plugin WordPress.org juga memperingatkan bahwa selain di lokasi yang sudah diketahui, malware ini kemungkinan besar bersembunyi di file-file lain dengan nama yang menipu.
Langkah Mitigasi untuk Pemilik Situs
Jika Anda mengelola situs web yang menggunakan produk dari EssentialPlugin, sangat disarankan untuk melakukan langkah-langkah darurat berikut:
- Lakukan pemeriksaan manual pada file wp-config.php Anda. Cari baris kode mencurigakan yang tidak Anda kenali, terutama yang berhubungan dengan panggilan fungsi eksternal atau skrip yang merujuk pada file wp-comments-posts.php.
- Sangat disarankan untuk mencari alternatif lain dan menghapus plugin dari pengembang ini hingga ada jaminan keamanan total dari audit independen.
- Solusi keamanan seperti ESET dapat membantu mendeteksi keberadaan file-file berbahaya yang menyamar di direktori WordPress dan memblokir upaya komunikasi ke server C2 penyerang.
- Sebagai langkah pencegahan tambahan, ganti kata sandi administratif dan kunci garam (salt keys) di file konfigurasi Anda setelah proses pembersihan selesai.
Insiden EssentialPlugin di tahun 2026 ini menyoroti risiko besar dalam akuisisi perangkat lunak sumber terbuka.
Sebuah proyek yang sudah dipercaya selama bertahun-tahun bisa berubah menjadi senjata digital hanya dalam waktu singkat di bawah kepemilikan baru.
Bagi pemilik situs web, prinsip Zero Trust tidak hanya berlaku untuk pengguna, tetapi juga untuk setiap plugin yang dipasang.
Selalu lakukan audit berkala dan pastikan sistem keamanan Anda mampu mendeteksi perubahan anomali pada file-file inti situs web Anda.
Sumber berita:
