JAKARTA — Ribuan situs berbasis WordPress di seluruh dunia kini terancam setelah sebuah kelompok peretas ceroboh meninggalkan server mereka terbuka tanpa kata sandi selama tiga pekan. Kelalaian ini mengungkap operasi masif yang dikenal sebagai WP-SHELLSTORM, sebuah jaringan yang menyasar celah keamanan pada plugin untuk menanamkan webshell berbahaya.
Temuan yang diungkap oleh tim intelijen ancaman SOCRadar dan Ctrl-Alt-Intel ini menunjukkan bagaimana peretas memanfaatkan kerentanan pada plugin lama untuk mengambil alih kontrol server. Para pelaku menggunakan skrip otomatis untuk memindai ribuan target, termasuk situs yang menggunakan plugin caching Breeze serta editor JCE pada platform Joomla.
Modus Operasi dan Dampak bagi Pemilik Situs
Berdasarkan data yang ditemukan pada server yang bocor tersebut, terdapat lebih dari 1,4 juta domain yang masuk dalam daftar target peretas. Meski angka tersebut terdengar sangat besar, jumlah situs yang benar-benar berhasil disusupi jauh lebih sedikit. Peneliti mencatat antara 5.700 hingga 25.000 situs terkonfirmasi terinfeksi backdoor aktif.
Situs yang terinfeksi akan dipasangi webshell bernama down.php. Skrip ini memberi peretas kemampuan penuh untuk menjalankan perintah pada server, mencuri file sensitif, hingga melakukan navigasi lebih dalam ke jaringan perusahaan.
Setelah akses awal didapatkan, peretas menggunakan dropper bernama SNOWLIGHT untuk memasang VShell, sebuah backdoor yang menyamar sebagai proses sistem kworker agar tidak terdeteksi oleh admin.
Bagi pemilik bisnis atau pengelola situs di Indonesia, insiden ini menjadi alarm keras mengenai pentingnya pembaruan rutin. Peretas tidak hanya menargetkan situs WordPress untuk konten, tetapi juga mengincar akses ke sistem perusahaan.
Sebelum aksi masif ini, kelompok yang sama dilaporkan sempat menyasar sistem Java perusahaan besar di sektor logistik, e-commerce, hingga fintech untuk mencuri kunci akses cloud dan database.
Mengapa Ini Penting?
Kesalahan fatal peretas yang membiarkan server mereka terbuka selama 22 hari memberikan wawasan langka bagi pakar keamanan siber. Kejadian ini membuktikan bahwa serangan siber skala besar sering kali didorong oleh target yang mudah dijangkau, seperti plugin yang tidak pernah diperbarui.
Sekali sebuah situs terinfeksi, pintu masuk tersebut dapat dijual kembali atau digunakan sebagai batu loncatan untuk serangan yang lebih merusak.
Penting untuk dipahami bahwa sekadar terdaftar dalam daftar pindaian (scan list) peretas tidak selalu berarti situs Anda sudah jebol. Namun, risiko tetap tinggi jika situs menjalankan versi plugin yang rentan terhadap CVE-2026-3844 pada plugin Breeze.
Langkah mitigasi paling efektif saat ini adalah memastikan semua plugin WordPress, terutama yang berkaitan dengan caching dan editor konten, berada dalam versi mutakhir.
KomponenDetail TemuanNama OperasiWP-SHELLSTORMTarget UtamaWordPress & JoomlaAlat UtamaDown.php (Webshell), VShellCelah UtamaCVE-2026-3844 (Breeze)

📝 Tinggalkan Komentar
Komentar sebagai . Ditinjau admin sebelum tampil.