Penjahat siber, dalam hal ini hacker jahat, menggunakan akun admin (celah keamanan plugin) untuk menyerang situs WordPress. Serangan ini berlangsung sejak bulan lalu dan terus berlanjut hingga saat ini.
Menurut penelitian terbaru dari penyedia keamanan siber Wordfence, kerentanan yang dikenal dalam plugin WordPress ini telah dieksploitasi dengan menyuntikkan JavaScript berbahaya ke bagian depan situs korban.
Lalu pelaku serangan menggiring pengguna internet ke situs yang disusupi tersebut untuk diarahkan ke konten yang berpotensi berbahaya, termasuk malware dan situs penipuan.
Peneliti Wordfence menemukan dari mana serangan itu berasal dan mereka telah mengidentifikasi berbagai alamat IP yang terhubung ke penyedia hosting web. Demikian seperti dikutip dari Tech Radar, Selasa (3/9/2019).
Namun, setelah masalah ini menjadi perhatian penyedia hosting, sebagian besar IP menghentikan aktivitas ilegal mereka. Namun, ada satu (IP) yang terdeteksi masih menggencarkan serangan.
Dalam sebuah blog, Mikey Veenstra dari Wordfence menjelaskan bahwa sebagian besar serangan berasal dari satu alamat IP.
"Alamat IP yang dimaksud adalah 104.130.139.134. Rackspace (penyedia server) saat ini menampung beberapa situs web yang mungkin disusupi. Kami telah menghubungi Rackspace untuk memberi tahu mereka tentang kegiatan ini, dengan harapan mereka akan mengambil tindakan untuk mencegah serangan lebih lanjut," tulis Mikey.
Tips Hindari Serangan
Semua serangan yang terjadi sejauh ini menargetkan beberapa kelemahan yang diketahui dari plugin NicDark, termasuk nd-booking, nd-travel, dan nd-learning.
Untuk mencegah serangan ini Wordfence memberikan beberapa tips kepada para pemilik situs WordPress.
Wordfence menjelaskan memperbarui plugin dan tema di situs WordPress adalah lapisan pertahanan yang sangat baik terhadap serangan seperti ini.
"Lakukan pembaruan dan pastikan kamu selalu menerima patch terbaru. Pengguna biasanya secara berkala menerima email yang memberi tahu mereka saat pembaruan tersedia," tutur Wordfence.