 |
| 20.000 Situs WordPress Berisiko Akibat Backdoor Admin pada Plugin |
KEDIRITERKINI.ID — Sebanyak lebih dari 20.000 situs WordPress dilaporkan berada dalam risiko tinggi setelah ditemukan celah keamanan serius pada salah satu plugin populer. Kerentanan tersebut memungkinkan penyerang membuat akun administrator tanpa perlu melalui proses login resmi.
Masalah ini ditemukan pada plugin LA-Studio Element Kit for Elementor, yang tercatat memiliki lebih dari 20.000 instalasi aktif. Celah tersebut membuka peluang bagi pelaku ancaman untuk mendapatkan akses penuh ke dasbor WordPress melalui mekanisme tersembunyi atau backdoor yang tertanam di dalam sistem plugin.
Temuan ini diungkap oleh perusahaan keamanan siber Wordfence dalam advisori resminya. Dengan akses administrator, dampak yang ditimbulkan tidak main-main.
“Setelah penyerang memperoleh akses pengguna administratif ke situs WordPress, mereka kemudian dapat memanipulasi apa pun di situs yang ditargetkan seperti yang dilakukan administrator biasa,” kata Wordfence dalam advisori resminya.
Artinya, begitu akses admin berhasil diperoleh, penyerang dapat mengontrol seluruh aspek situs layaknya pemilik sah, mulai dari konten hingga konfigurasi teknis.
Celah CVE-2026-0920 dinilai sangat kritis
Kerentanan ini telah terdaftar dengan kode CVE-2026-0920 dan mendapatkan skor CVSS 9.8, yang masuk kategori sangat kritis. Skor tersebut menunjukkan tingkat keparahan tertinggi dalam standar penilaian kerentanan keamanan.
Penelusuran para peneliti mengarah pada proses pendaftaran pengguna dalam plugin, tepatnya pada fungsi bernama ajax_register_handle. Di dalamnya ditemukan logika tersembunyi yang telah disamarkan menggunakan teknik obfuscation atau penyamaran kode.
Sekilas, fungsi tersebut tampak seperti alur pendaftaran pengguna biasa. Namun, di balik itu terdapat pemeriksaan terhadap parameter khusus bernama lakit_bkrole.
Jika parameter tersebut disertakan dalam permintaan pendaftaran yang dirancang secara khusus, sistem akan secara otomatis memicu filter tambahan yang memberikan hak akses administrator kepada akun yang baru dibuat.
Dengan kata lain, proses yang seharusnya hanya membuat akun pengguna biasa justru dapat berubah menjadi jalur eskalasi hak akses tanpa autentikasi. Penyerang tidak perlu memiliki kredensial sah untuk memperoleh kendali penuh atas situs.
Dampak serius: Dari web shell hingga phishing
Begitu berhasil masuk sebagai administrator, pelaku dapat dengan cepat melancarkan berbagai aksi berbahaya. Mereka bisa memasang plugin berbahaya atau web shell untuk mengontrol server secara lebih dalam.
Selain itu, konten situs dapat dimodifikasi untuk menyebarkan malware, mengarahkan pengunjung ke halaman phishing, atau menyisipkan spam SEO demi keuntungan finansial dan manipulasi peringkat mesin pencari.
Tak berhenti di situ, pelaku juga berpotensi membangun persistensi jangka panjang. Caranya antara lain dengan membuat lebih banyak akun admin tersembunyi, menjadwalkan cron job otomatis, atau mengubah konfigurasi inti WordPress.
Wordfence mengungkapkan bahwa backdoor tersebut sengaja dirancang agar sulit dikenali. Teknik penyamaran yang digunakan meliputi manipulasi string dan pemanggilan fungsi tidak langsung, sehingga perilaku berbahaya dapat menyatu dengan proses pendaftaran yang sah.
Pendekatan ini membuat celah tersebut berpotensi luput dari pemeriksaan keamanan rutin.
Patch sudah dirilis, tapi tidak cukup hanya update
Pihak LA-Studio telah merilis pembaruan untuk menambal kerentanan ini. Wordfence juga mengeluarkan aturan firewall guna membantu melindungi situs pengguna dari eksploitasi.
Namun, para ahli menegaskan bahwa sekadar memperbarui plugin tidak cukup, terutama jika situs sudah lebih dulu disusupi.
Karena celah ini memungkinkan pembuatan akun administrator tanpa izin, pemilik situs perlu melakukan serangkaian langkah mitigasi secara menyeluruh.
Langkah penting yang harus segera dilakukan
Bagi organisasi atau individu yang menggunakan WordPress, berikut sejumlah langkah pengamanan yang direkomendasikan:
- Segera perbarui plugin LA-Studio Element Kit for Elementor ke versi 1.6.0 atau yang lebih baru.
- Audit seluruh akun pengguna, khususnya akun administrator. Hapus akun admin yang tidak dikenal atau mencurigakan.
- Periksa kemungkinan persistensi, termasuk instalasi plugin atau tema yang tidak dikenal, perubahan pada file penting seperti wp-config.php dan .htaccess, cron job yang mencurigakan, serta file unggahan di folder wp-content.
- Ganti seluruh kredensial penting, aktifkan autentikasi multi-faktor (MFA), dan terapkan prinsip least privilege dengan membatasi jumlah akun administrator.
- Batasi akses ke halaman sensitif seperti wp-admin dan wp-login.php melalui allowlist IP, VPN, atau metode autentikasi tambahan.
- Aktifkan sistem logging dan monitoring terpusat untuk mendeteksi aktivitas tidak wajar, seperti pendaftaran pengguna abnormal, perubahan peran admin, atau lonjakan lalu lintas keluar.
- Pastikan cadangan (backup) tervalidasi dan lakukan pengujian rutin terhadap rencana respons insiden, termasuk prosedur rollback jika terjadi kompromi.
Langkah-langkah tersebut mengombinasikan pembaruan teknis, pemeriksaan integritas sistem, serta penguatan kontrol akses untuk memastikan situs tetap aman dari modifikasi ilegal.
Satu plugin bisa nengguncang seluruh situs
Kasus CVE-2026-0920 menjadi alarm penting bagi pemilik situs WordPress bahwa satu komponen yang bermasalah dapat berdampak luas terhadap keseluruhan sistem.
Ketergantungan pada plugin pihak ketiga memang memberikan fleksibilitas dan kemudahan pengembangan. Namun di sisi lain, hal itu juga membuka potensi risiko jika pengelolaan pembaruan dan audit keamanan tidak dilakukan secara disiplin.
Pembaruan plugin seharusnya tidak dipandang sebagai rutinitas teknis semata, melainkan bagian dari strategi keamanan menyeluruh. Validasi sebelum dan sesudah pembaruan juga penting untuk memastikan tidak ada celah baru yang muncul.
Dengan jumlah situs terdampak yang mencapai puluhan ribu, insiden ini menjadi alarm serius bagi komunitas WordPress global untuk lebih proaktif dalam menjaga keamanan ekosistem digital mereka.
