Peretas mulai mengeksploitasi celah kritis pada plugin User Registration & Membership yang terpasang di lebih dari 60.000 situs WordPress.
Plugin yang dikembangkan oleh WPEverest ini menyediakan fitur manajemen keanggotaan dan pendaftaran pengguna, termasuk formulir kustom, integrasi pembayaran PayPal dan Stripe, transfer bank, serta analitik.
Kerentanan Kritis CVE-2026-1492
Celah keamanan tersebut dilacak sebagai CVE-2026-1492 dan memiliki skor keparahan 9.8 (kritis).
Masalah ini muncul karena plugin menerima peran pengguna (user role) yang dikirimkan saat proses pendaftaran keanggotaan. Akibatnya, penyerang dapat membuat akun dengan peran administrator tanpa perlu autentikasi.
Akun administrator memiliki akses penuh ke situs, termasuk:
- Menginstal plugin dan tema
- Mengedit kode PHP
- Mengubah pengaturan keamanan
- Memodifikasi konten situs
- Mengunci pemilik atau admin sah dari akses
Dengan tingkat akses tersebut, pelaku dapat mencuri basis data pengguna, menyisipkan kode berbahaya untuk mendistribusikan malware, atau menggunakan situs sebagai infrastruktur aktivitas kriminal lainnya.
Eksploitasi Sudah Terjadi
Peneliti dari Defiant—pengembang plugin keamanan Wordfence—melaporkan telah memblokir lebih dari 200 upaya eksploitasi CVE-2026-1492 dalam 24 jam terakhir di lingkungan pelanggan mereka.
Kerentanan ini memengaruhi seluruh versi User Registration & Membership hingga 5.1.2. Pengembang telah merilis perbaikan pada versi 5.1.3, dan versi terbaru saat ini adalah 5.1.4.
Administrator situs sangat disarankan segera memperbarui plugin ke versi terbaru. Jika pembaruan tidak memungkinkan, langkah sementara yang direkomendasikan adalah menonaktifkan atau menghapus plugin tersebut.
WordPress Tetap Jadi Target Utama
Menurut data Wordfence, CVE-2026-1492 merupakan kerentanan paling serius pada plugin ini sepanjang tahun ini.
Situs WordPress terus menjadi target empuk bagi pelaku ancaman untuk berbagai aktivitas, mulai dari distribusi malware, phishing, hosting server command-and-control, hingga penyimpanan data curian.
Pada Januari 2026, peretas juga mengeksploitasi celah maksimum CVE-2026-23550 pada plugin Modular DS yang memungkinkan bypass autentikasi dan akses admin jarak jauh.
Kasus ini kembali menegaskan pentingnya pembaruan rutin plugin serta pemantauan keamanan aktif untuk meminimalkan risiko kompromi situs berbasis WordPress.