Peretas Eksploitasi Plugin WordPress Post SMTP untuk Ambil Alih Akun Admin
Plugin Post SMTP untuk WordPress saat ini sedang dieksploitasi secara aktif oleh peretas, memungkinkan mereka mengambil alih akun administrator dan menguasai situs sepenuhnya. Kerentanan kritis ini berdampak pada lebih dari 400.000 situs WordPress di seluruh dunia.
📧 Apa Itu Post SMTP?
Post SMTP adalah plugin populer yang digunakan untuk mengirim email WordPress dengan lebih andal dan kaya fitur dibanding fungsi bawaan wp_mail(). Plugin ini banyak digunakan untuk mengelola notifikasi email seperti registrasi pengguna, reset password, dan log aktivitas email.
Namun, fungsi tersebut kini menjadi celah keamanan berbahaya jika tidak segera diperbarui.
⚠️ Detail Kerentanan CVE-2025-11833
- Skor Keparahan: 9.8 (Kritis)
- Versi Terpengaruh: Semua versi ≤ 3.6.0
- Sumber: Wordfence Security
- Pelapor: Peneliti keamanan netranger
Masalah ini berasal dari tidak adanya pemeriksaan otorisasi dalam fungsi __construct milik kelas PostmanEmailLogs.
Fungsi tersebut langsung merender isi log email tanpa memeriksa hak akses pengguna.
Akibatnya, penyerang yang tidak terautentikasi dapat membaca log email apa pun, termasuk pesan reset kata sandi admin.
“Dengan membaca email reset password, penyerang dapat menggunakan tautan di dalamnya untuk mengubah kata sandi administrator tanpa perlu login terlebih dahulu,” jelas laporan Wordfence.
🧠 Bagaimana Eksploitasi Terjadi
- Penyerang mengakses endpoint yang mengekspos log email tanpa autentikasi.
- Mereka menemukan pesan reset password administrator di log tersebut.
- Tautan di email digunakan untuk mengatur ulang kata sandi dan mengambil alih akun admin.
- Setelah berhasil, mereka menguasai seluruh situs WordPress — termasuk mengubah konten, menanam backdoor, atau menyebarkan malware.
🧩 Kronologi Penemuan dan Perbaikan
| Tanggal | Peristiwa |
|---|---|
| 11 Oktober 2025 | Wordfence menerima laporan bug dari peneliti netranger. |
| 15 Oktober 2025 | Eksploitasi berhasil diverifikasi, dan vendor Saad Iqbal diberi tahu. |
| 29 Oktober 2025 | Patch dirilis dalam Post SMTP versi 3.6.1. |
| 1 November 2025 | Wordfence mendeteksi aktivitas eksploitasi aktif, memblokir lebih dari 4.500 percobaan serangan. |
Meski patch sudah tersedia, lebih dari 210.000 situs masih rentan karena belum memperbarui plugin.
🧰 Versi Aman dan Langkah Mitigasi
✅ Versi Aman: Post SMTP 3.6.1 atau lebih baru
Jika Anda menggunakan plugin ini, lakukan langkah berikut segera:
- Perbarui Post SMTP ke versi 3.6.1.
- Jika belum bisa memperbarui, nonaktifkan plugin sementara.
- Ubah semua kata sandi admin dan editor utama.
- Aktifkan 2FA (Two-Factor Authentication) untuk akun WordPress penting.
- Pantau log aktivitas dan login mencurigakan.
🧱 Kerentanan Serupa Pernah Terjadi
Ini bukan pertama kalinya Post SMTP ditemukan memiliki celah keamanan serius.
Pada Juli 2025, PatchStack juga melaporkan CVE-2025-24000, kerentanan serupa yang memungkinkan siapa pun membaca isi log email lengkap, termasuk pesan reset password.
Meskipun sudah ditambal saat itu, kerentanan baru ini menunjukkan masih lemahnya mekanisme otorisasi di plugin tersebut.
⚙️ Kesimpulan
Kerentanan CVE-2025-11833 merupakan ancaman besar bagi pengguna WordPress karena memungkinkan pengambilalihan akun admin tanpa autentikasi.
Dengan eksploitasi aktif sejak awal November, pemilik situs harus segera memperbarui Post SMTP ke versi terbaru (3.6.1) atau menonaktifkannya hingga patch diterapkan.
Keamanan email dan log administrasi WordPress harus terus diaudit, karena area ini sering menjadi pintu masuk utama bagi peretas untuk mendapatkan kendali penuh atas situs.
Sumber: Wordfence
