Penyerang Beli 30 Plugin WordPress dan Tanam Backdoor
Judul asli: Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them
Mengapa Ini Penting
Menunjukkan risiko besar supply chain attack pada ekosistem plugin WordPress
Seseorang membeli 30+ plugin WordPress di platform Flippa dengan harga 6 digit, menanamkan backdoor yang tertidur 8 bulan sebelum diaktifkan April 2026. WordPress.org tutup 31 plugin terdampak.
Serangan supply chain besar-besaran terjadi pada ekosistem WordPress ketika penyerang membeli portofolio 30+ plugin melalui platform Flippa dengan harga enam digit. Plugin Countdown Timer Ultimate menjadi sorotan setelah modul wpos-analytics-nya menghubungi server analytics.essentialplugin.com dan mengunduh file backdoor bernama wp-comments-posts.php. Backdoor canggih ini menyuntikkan kode PHP ke wp-config.php untuk menampilkan spam link hanya ke Googlebot, membuatnya tak terdeteksi pemilik situs. Yang mengejutkan, backdoor menggunakan smart contract Ethereum untuk resolusi domain command-and-control, membuat takedown tradisional tidak efektif. Backdoor ditanamkan pada versi 2.6.7 Agustus 2025 dengan menambah 191 baris kode termasuk PHP deserialization backdoor, namun baru diaktifkan 8 bulan kemudian pada April 2026. WordPress.org telah menutup 31 plugin terdampak dan merilis pembaruan paksa.
Sumber
※ Artikel ini merangkum informasi publik dari media internasional. Ini bukan saran investasi.