Plugin Redirect WordPress Populer Sembunyikan Backdoor Selama Bertahun-tahun
Plugin Quick Page/Post Redirect, yang telah diinstal pada lebih dari 70.000 situs WordPress, dilaporkan memiliki sebuah backdoor (pintu belakang) yang ditambahkan sejak lima tahun lalu. Celah berbahaya ini memungkinkan peretas untuk menyuntikkan kode arbitrer secara langsung ke situs milik pengguna.
Malware yang tersembunyi ini pertama kali diungkap oleh Austin Ginder, pendiri penyedia hosting WordPress Anchor. Ia menemukannya setelah 12 situs yang terinfeksi di armadanya memicu peringatan keamanan.
Quick Page/Post Redirect sendiri telah tersedia di WordPress.org selama beberapa tahun. Ini adalah plugin utilitas dasar yang sering digunakan pengelola web untuk membuat pengalihan (redirect) pada postingan, halaman, dan URL kustom. Menindaklanjuti temuan ini, pihak WordPress.org telah menarik sementara plugin tersebut dari direktori mereka untuk menunggu tinjauan lebih lanjut.
Mekanisme Self-Update Pihak Ketiga
Saat ini masih belum jelas apakah pembuat asli plugin tersebut yang sengaja memasukkan backdoor atau sistem mereka telah disusupi oleh pihak ketiga.
Ginder menjelaskan bahwa versi resmi plugin 5.2.1 dan 5.2.2, yang dirilis antara tahun 2020 dan 2021, menyertakan mekanisme pembaruan mandiri (self-update) tersembunyi yang mengarah ke domain pihak ketiga, yakni anadnet[.]com. Jalur belakang ini memungkinkan pengiriman kode arbitrer di luar kendali dan pengawasan WordPress.org.
Pada Februari 2021, pembaruan otomatis yang berbahaya ini diam-diam dihapus dari versi plugin berikutnya di WordPress.org, tepat sebelum peninjau kode sempat menelitinya.
Namun, menurut Ginder, pada Maret 2021 situs yang masih menjalankan Quick Page/Post Redirect versi 5.2.1 dan 5.2.2 diam-diam menerima build versi 5.2.3 yang telah dimanipulasi dari server eksternal tersebut, yang secara efektif memperkenalkan backdoor pasif. Build dari server eksternal ini memiliki nilai hash yang berbeda dengan versi 5.2.3 resmi yang bersumber dari WordPress.org.
Operasi Spam SEO Parasit
Untuk menghindari deteksi dari administrator web, backdoor pasif ini dirancang agar hanya terpicu bagi pengunjung yang tidak masuk (logged-out users). Backdoor ini dihubungkan ke the_content dan secara rutin mengambil data dari server ‘anadnet’.
“Mekanisme sebenarnya adalah operasi SEO parasit yang diselubungi. Plugin itu menyewakan peringkat Google pada tujuh puluh ribu situs web kembali kepada siapa pun yang mengoperasikan saluran belakang tersebut pada tahun 2021,” jelas Ginder.
Bahaya nyata bagi situs web yang terdampak justru berasal dari mekanisme pembaruan itu sendiri, yang memungkinkan eksekusi kode arbitrer kapan saja sesuai permintaan (C2). Mekanisme itu masih ada di puluhan ribu situs yang menggunakan plugin tersebut, namun berstatus tidak aktif (dormant) karena subdomain Command-and-Control eksternal jahatnya saat ini tidak merespons. Walau begitu, domain utamanya masih berstatus aktif.
Langkah Mitigasi
Solusi utama bagi pengguna yang terdampak adalah dengan mencopot pemasangan (uninstall) plugin tersebut dari dasbor WordPress mereka sesegera mungkin. Pengguna dapat menggantinya dengan salinan versi 5.2.4 yang bersih dan resmi dari WordPress.org nanti, jika plugin tersebut sudah tersedia kembali.
Ginder juga menyertakan pesan untuk siapa pun aktor ancaman di balik backdoor ini. Ia mendesak mereka untuk melakukan hal yang benar sekarang dengan menerbitkan manifes pembaruan statis yang memaksa semua instalasi yang terdampak untuk secara otomatis memutakhirkan ke versi WordPress.org yang bersih. Tindakan ini secara efektif akan menghapus backdoor dari puluhan ribu situs yang sebelumnya telah disusupi.
