Peneliti keamanan Securi belum lama ini mempergoki pengembang plugin WordPress yang memasang backdoor, backdoor tersebut bertujuan untuk mengubah file inti WordPress sehingga bisa mencuri akun dan masuk leluasa di situs yang terinfeksi.
Peneliti Sucuri mengendus kebeberadaan file ganjil bernama (auto-update.php) yang terdapat pada paket update Plugin baru-baru ini. Plugin tersebut adalah Custom Content Type Manager (CCTM), Banyak pengguna Wordpress menggunakan populer plugin tersebut dalam tiga tahun terakhir sejak diunggah pada plugin repo dan setidaknya hingga saat ini telah terdapat 10.000 situs yang menggunakan plugin tersebut.
Plugin tersebut mempunyai kemampuan untuk men-download file dari remote server di situs web yang terinfeksi. Selain terdapat pula file CCTM_Communicator.php yang bekerja sama dengan file lama yang bertujuan untuk melakukan ping server wooranker tentang keberadaan situs baru yang terinfeksi.
Selain mengumpulkan info di situs korban, plugin ini juga menyadap proses login WordPress dengan mencatat username dan password, meskipun dalam format terenkripsi dan mengirimnya ke server wordpresscore.com
0 comments:
Post a Comment