Lebih dari 100.000 website dengan platform WordPress telah terinfeksi dengan malware yang mengeksploitasi kerentanan di plugin WordPress yang populer yaitu RevSlider. Serangan itu merubah situs WordPress yang terinfeksi menjadi distributor yang akan menyebarkan malware, namun kali ini ditujukan untuk pengunjung situs.

Malware itu dijuluki SoakSoak karena menyebabkan beberapa situs yang terinfeksi akan mengarahkan pengunjung ke situs web berbahaya di soaksoak.ru. Menurut perusahaan keamanan Menifee, California yang berbasis di Sucuri. Dalam upaya untuk mengekang penyebaran infeksi tersebut, Google telah daftar black list untuk lebih dari 11.000 domain WordPress yang terinfeksi.

Penyebaran SoakSoak ini bekerja dengan memindai website-website yang menggunakan WordPress, mereka mencari website yang masih menggunakan versi lama dari plugin RevSlider. Edisi sebelumnya dari RevSlider ini memiliki kerentanan yang diketahui dapat membuat mereka rentan terhadap serangan File Inclusion lokal, di mana seorang penyerang jarak jauh dapat merubah isi file. Para penyerang mengubah swfobject.js file yang ditemukan di situs WordPress dengan menambahkan kode berbahaya yang menyebabkan pengunjung situs akan diarahkan ke situs soaksoak.ru.

RevSlider adalah plugin premium WordPress yang kadang-kadang digabungkan dengan tema WordPress yang lain; beberapa situs dan blog operator mungkin tidak menyadari mereka memilikinya, sementara yang lain mungkin tidak ingin mengeluarkan lebih banyak uang untuk memperbaruinya. Itulaha dua faktor alasan yang menyebabkan SoakSoak telah menyebar begitu cepat dan menginfeksi banyak situs WordPress.

Sucuri memiliki perangkat gratis yang dapat di pasang oleh administrator situs, dan dapat digunakan untuk memeriksa situs mereka apakah terdeteksi oleh SoakSoak dan malware lainnya.

Membersihkan situs WordPress yang terinfeksi bisa dilakukan, namun cukup rumit. Administrator pertama harus mengganti swfobject.js disitus mereka dan file template-loader.php dengan versi tanpa kode berbahaya. Untuk melindungi diri dari terinfeksi kembali, pengguna juga harus membayar untuk memperbarui, atau menghapus RevSlider, kemudian membangun firewall untuk situsnya.

Di dalam postingan di blog mereke Securi mengingatkan “Beberapa pengguna membersihkan infeksi dan setelah berapa menit terinfeksi kembali, ini disebabkan karena sifat kompleks dari situs itu sendiri dan upaya pembersihan yang tidak benar”.

Sumber: Socmedtech.com

Apakah website anda menggunakan WordPress?