Lebih dari 30 plugin WordPress yang tergabung dalam paket EssentialPlugin dilaporkan telah dikompromikan dengan kode berbahaya (malware). Sisipan kode ini bertindak sebagai pintu belakang (backdoor) yang memungkinkan penyerang mendapatkan akses tidak sah ke situs-situs web yang menjalankannya.
Aktor jahat sebenarnya telah menanamkan kode backdoor tersebut pada tahun lalu, namun baru-baru ini mulai mendorongnya ke pengguna melalui pembaruan plugin. Begitu aktif, malware ini menghasilkan halaman spam dan menyebabkan pengalihan (redirects) secara paksa, sesuai dengan instruksi yang diterima dari server komando dan kontrol (C2) peretas.
Penemuan Backdoor dan Akuisisi Mencurigakan
Kompromi ini berdampak pada deretan plugin yang memiliki ratusan ribu instalasi aktif secara global. Skandal ini pertama kali ditemukan oleh Austin Ginder, pendiri penyedia hosting WordPress terkelola, Anchor Hosting, setelah ia menerima informasi tentang salah satu add-on yang mengandung kode yang memberikan akses kepada pihak ketiga.
Investigasi lebih lanjut oleh Ginder mengungkapkan fakta yang mengejutkan: backdoor tersebut telah bersarang di semua plugin dalam paket EssentialPlugin sejak Agustus 2025, tepat setelah proyek tersebut diakuisisi dalam kesepakatan bernilai enam digit oleh pemilik baru.
Sebagai informasi, EssentialPlugin didirikan pada tahun 2015 dengan nama WP Online Support dan berganti jenama pada tahun 2021. Ini adalah perusahaan pengembangan WordPress yang berfokus menawarkan fitur slider, galeri, alat pemasaran, ekstensi WooCommerce, utilitas analitik/SEO, hingga tema situs web.
Mekanisme Siluman dan Manipulasi Mesin Pencari
Menurut Ginder, backdoor tersebut tertidur dan tidak aktif hingga baru-baru ini diaktifkan untuk secara diam-diam menghubungi infrastruktur eksternal. Perintah itu mengambil sebuah fail bernama wp-comments-posts.php (perhatikan huruf ‘s’ di akhir), yang kemudian secara agresif menyuntikkan malware langsung ke dalam fail konfigurasi inti WordPress, wp-config.php.
Malware yang diunduh tersebut dirancang sangat canggih untuk menghindari deteksi:
- Tidak Terlihat oleh Pemilik Situs: Malware ini menggunakan resolusi alamat C2 berbasis Ethereum untuk penghindaran. Ia hanya menampilkan spam tersebut kepada Googlebot (mesin pencari), sehingga membuatnya sama sekali tidak terlihat oleh pemilik situs atau pengunjung manusia biasa.
- Tindakan Destruktif: Bergantung pada instruksi yang diterimanya, malware ini dapat mengambil “tautan spam, pengalihan, dan halaman palsu”.
- Mekanisme Pemicu: Analisis dari platform keamanan WordPress, PatchStack, menunjukkan bahwa backdoor ini hanya akan bekerja jika endpoint
analytics.essentialplugin.commengembalikan konten berseri yang mengandung komponen jahat.
Respons WordPress dan Peringatan Pembersihan Manual
Tim pengembang WordPress.org merespons laporan aktivitas berbahaya ini dengan sangat cepat. Mereka langsung menutup plugin-plugin yang terdampak dan mendorong pembaruan paksa (forced update) ke seluruh situs web untuk menetralkan komunikasi backdoor serta menonaktifkan jalur eksekusinya.
Meski demikian, para pengembang memperingatkan bahwa tindakan pembaruan paksa tersebut tidak membersihkan fail konfigurasi inti wp-config.php. Fail ini sangat vital karena menghubungkan situs web ke basis data mereka dan memuat pengaturan keamanan tingkat tinggi. Pemilik situs harus membersihkannya secara manual.
Tim Plugin WordPress.org juga mewanti-wanti para administrator situs web yang menjalankan produk EssentialPlugin. Mereka harus sangat waspada terhadap lokasi fail backdoor yang diketahui, yakni wp-comments-posts.php (palsu), yang sengaja dibuat menyerupai fail wp-comments-post.php (sah). Selain itu, tidak menutup kemungkinan malware tersebut juga menyembunyikan dirinya di dalam fail-fail lain.