Peneliti keamanan siber di perusahaan keamanan web milik GoDaddy, Sucuri, telah menemukan bahwa plugin WordPress yang tidak aktif namun sah, Eval PHP, sedang dieksploitasi untuk menyusupi situs web. Eval PHP pada awalnya dikembangkan untuk memungkinkan pengguna menambahkan kode PHP ke artikel dan data blog, dengan pembaruan terbarunya terjadi kira-kira satu dekade yang lalu. Sejak itu, ia telah mengalami unduhan yang dapat diabaikan untuk waktu yang lama sebelum menyaksikan lonjakan unduhan yang tiba-tiba dalam sebulan terakhir, mengumpulkan lebih dari 100.000 unduhan dengan puncak hingga 7.000 unduhan setiap hari.
Pemberitahuan Sucuri menguraikan taktik yang digunakan oleh peretas yang menggunakan Eval PHP. Kode tersebut membuat skrip PHP di docroot situs web yang menampilkan backdoor eksekusi kode jarak jauh yang ditentukan menggunakan fungsi file_put_contents. Karena pintu belakang memanfaatkan $_REQUEST[id] untuk memperoleh kode PHP yang dapat dieksekusi, pintu belakang dapat memperoleh konten $_GET, $_POST, dan $_COOKIE, yang secara efektif menyembunyikan parameternya dengan tampil sebagai cookie. Sucuri menyoroti bahwa meskipun kurang terdeteksi dibandingkan POST, GET sama berbahayanya.
Selain itu, Sucuri mengidentifikasi bahwa peretas membuat pintu belakang di berbagai draf posting, membuatnya tidak terlihat oleh publik dan lebih sulit untuk diungkap dibandingkan dengan halaman yang diterbitkan. WordPress belum mengomentari kebijakan mereka terkait plugin yang ditinggalkan sebagai tanggapan atas pertanyaan TechRadar Pro. Sampai saat itu, Sucuri menyarankan pengguna WordPress untuk membentengi panel wp-admin mereka dan memantau aktivitas dengan rajin. Organisasi menawarkan rencana empat langkah untuk meningkatkan keamanan:
- Pastikan situs web Anda tetap diperbarui dan ditambal sesuai dengan rilis keamanan terbaru
- Terapkan autentikasi dua faktor (2FA) atau tindakan pembatasan akses serupa untuk panel admin Anda
- Pertahankan cadangan situs web secara teratur untuk melindungi dari insiden yang tidak terduga
- Memanfaatkan firewall aplikasi web untuk melindungi dari bot jahat dan secara virtual menambal kerentanan yang diketahui
Dengan meningkatnya adopsi platform no-code dan low-code, pengembang dan pemimpin bisnis dapat membangun aplikasi web dan seluler dengan mudah, melewati kerumitan plugin yang sudah ketinggalan zaman. Salah satu solusi tersebut adalah platform AppMaster, alat no-code yang dapat diakses dan dapat diskalakan untuk membuat aplikasi backend, web, dan seluler. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Untuk informasi lebih rinci tentang pengembangan aplikasi no-code dan low-code, lihat panduan lengkap kami: Panduan Lengkap tentang No-Code, Pengembangan Aplikasi Kode Rendah untuk 2022 .
