Pengguna Elementor Pro? Kau harus membaca ini!

WordPress telah mendorong bisnis online saya selama tujuh tahun terakhir dan bisa dibilang alat yang paling penting dalam gudang SEO mana pun.

Dengan perkiraan jumlah pemasangan mencapai 455.000.000, 35% pemilik situs web tampaknya setuju.

Plugin dan kombinasi tema yang tak terhitung jumlahnya menjadikannya platform yang sempurna bagi mereka yang kurang "melek teknologi" untuk menghidupkan ide-ide mereka dan menempatkannya di depan audiens online.

Sayangnya, ini juga membuat WordPress menjadi target bagi pemasar “topi hitam” yang tidak bermoral yang meretas situs Anda untuk membuatnya melakukan sesuatu yang tidak seharusnya dilakukan — suatu prestasi yang baru-baru ini mereka capai dalam skala besar.

Sebagai pengguna Elementor Pro, ada kemungkinan Anda pernah digigit…

Dan Anda mungkin tidak lebih bijaksana.

Kerentanan Elementor Pro

Pada tanggal 6 Mei, Wordfence menerbitkan artikel ini menjelaskan bagaimana 1 juta situs dapat berisiko dari serangan aktif.

Penyerang menggunakan kelemahan dalam keamanan Elementor Pro untuk secara jahat mengarahkan pengunjung Anda ke situs mereka sendiri atau bahkan mengendalikan situs web Anda sama sekali.

Tim Elementor dengan cepat memperbaiki kekurangannya, dan pengguna didorong untuk memperbarui ke versi terbaru sesegera mungkin.

Pembaruan memberikan ketenangan pikiran bagi banyak orang — termasuk saya sendiri — sampai saya menemukan bahwa penyerang telah mendapatkan akses ke sejumlah besar situs yang saya kelola dan bahwa pembaruan tidak akan membuat perbedaan sedikit pun.

Jika situs Anda telah disusupi, pembaruan TIDAK akan memperbaikinya.

Apa yang Dapat Dilakukan Peretas dengan Situs Saya?

Ketika berhasil dieksekusi, serangan khusus ini menginstal webshell yang disebut "wp-xmlrpc.php" (dinamai dengan cara ini untuk berbaur dengan file sistem Anda)

Sebuah webshell memberi penyerang akses penuh ke situs Anda dan seringkali server Anda, yang berarti mereka dapat:

• Tambahkan, ubah, atau hapus konten
• Masukkan tautan untuk nilai SEO
• Arahkan lalu lintas Anda ke situs mereka sendiri
• Hapus semuanya!
• …Cukup banyak hal lain yang dapat Anda pikirkan

Belum lagi, jika Anda menggunakan WooCommerce, penyerang mungkin memiliki akses ke beberapa data pelanggan Anda.

Bagaimana cara mengetahui apakah saya telah diretas?

Anda tidak perlu menjadi ahli teknis untuk mengetahui apakah situs Anda telah terpengaruh.

Ikuti saja langkah-langkah ini:

1. Periksa Pengguna WordPress

Pengguna baru di situs Anda biasanya merupakan tanda pertama bahwa seseorang telah mencoba mengeksploitasi kerentanan Elementor Pro.

Hadiah mati adalah jika Anda menerima email dari situs WordPress Anda yang memberi tahu Anda bahwa pengguna baru telah dibuat sekitar minggu pertama atau kedua bulan Mei.

Pertama, masuk ke area admin WordPress Anda menggunakan akun admin Anda, dan arahkan ke "Pengguna."

Periksa nama pengguna yang mencurigakan atau tidak dikenal.

Keamanan WebARX menerbitkan daftar semua nama pengguna yang diketahui digunakan dalam serangan sejauh ini.

Jika Anda melihat salah satu nama pengguna di panel Anda — lompat langsung ke Jika Anda Telah Diretas.

Penting : Hanya karena tidak ada nama pengguna yang mencurigakan bukan berarti situs Anda aman.

2. Periksa File Anda

Anda dapat memeriksa file WordPress Anda menggunakan FTP / SFTP / File Manager.

Di folder root WordPress Anda (biasanya folder pertama yang Anda lihat saat login), cari file bernama wp-xmlrpc.php.

Jika file ini ada, penyerang telah berhasil mendapatkan akses. Hanya menghapus file pada saat ini tidak akan membantu.

Anda juga harus memeriksa /wp-content/uploads/elementor/custom-icons/

File apa pun di sini yang tidak Anda kenali sebagai sesuatu yang Anda unggah mungkin ditanam di sana oleh penyerang.

Secara khusus, cari:

• wpstaff.php
• demo.html
• Baca Mw.txt
• config.json
• icon-reference.html
• seleksi.json
• fonts.php

3. Jalankan Pemindaian Keamanan

Jika Anda menggunakan host WordPress yang dikelola seperti WPEngine, WPX Hosting, SiteGround, dll., mereka biasanya dapat melakukan ini untuk Anda.

Ini biasanya lebih baik daripada menjalankan pemindaian Anda sendiri menggunakan Wordfence atau Sucuri, karena host Anda mungkin memiliki akses untuk memindai file sistem yang akan dilewatkan oleh plugin ini.

Plugin keamanan WordPress gratis yang populer biasanya dapat mendeteksi perubahan pada file inti WordPress — tetapi jangan menafsirkan hasil pemindaian bersih sebagai jaminan bahwa situs Anda aman.

Firewall biasanya melindungi pelanggan berbayar dari alat semacam itu, dan ada kemungkinan besar serangan itu gagal.

5. Kunjungi Situs Anda

Apakah Anda mengunjungi situs Anda sendiri akhir-akhir ini dan dialihkan ke situs lain?

Bagaimana tepatnya pengalihan berbahaya ini bekerja masih belum diketahui.

Kunjungi situs Anda menggunakan metode ini:

• Gunakan browser lain dalam mode Pribadi / Penyamaran
• Kunjungi situs Anda menggunakan proxy
• Klik ke situs Anda dari Google atau Media Sosial

Jika salah satu dari ini menghasilkan pengalihan ke apa pun selain situs web Anda sendiri, Anda mungkin telah diretas.

Jika Anda telah diretas atau Anda tidak yakin

Kembalikan ke versi sebelumnya

Banyak web host menawarkan backup 14-30 hari. Mudah-mudahan, artikel ini akan menemukan Anda tepat waktu jika Anda terpengaruh, memungkinkan Anda untuk mengembalikan situs Anda ke tanggal yang lebih awal sebelum serangan.

Catatan : jika cadangan Anda disimpan di server Anda menggunakan sesuatu seperti Updraft, ada kemungkinan mereka akan terinfeksi juga.

Mencari tahu kapan Anda diserang

Secara default, WordPress tidak akan menampilkan tanggal dan waktu pendaftaran pengguna.

Instal plugin yang disebut Kolom Admin.

Di pengaturan plugin, aktifkan kolom 'Pendaftaran' untuk 'Pengguna'.

Sekarang ketika Anda menavigasi ke halaman 'Pengguna' WordPress, kolom baru akan menampilkan tanggal pengguna jahat itu dibuat.

Atau, jika Anda memiliki log akses server, Anda dapat mencari entri untuk "wpstaff.php".

Kembalikan situs Anda ke cadangan yang dibuat sebelum tanggal dan waktu serangan.

Setelah cadangan dipulihkan, perbarui plugin Anda sesegera mungkin untuk mencegah serangan lain.

Kemudian, periksa lagi untuk pengguna dan file berbahaya.

Dukungan Hosting Terkelola

Jika Anda memiliki host terkelola seperti yang tercantum di atas, bicarakan dengan dukungan mereka tentang langkah-langkah keamanan dan apakah mereka menawarkan pembersihan malware.

Host seperti WPX Hosting dan WPEngine menyertakan ini secara gratis dengan semua paket.

Layanan Pembersihan

Banyak layanan penghapusan malware "selesai untuk Anda" telah melaporkan masalah Elementor Pro baru-baru ini.

Beberapa tercantum di sini, silakan lakukan penelitian Anda sendiri karena saya belum mengujinya secara pribadi, saya juga tidak berafiliasi:

• https://www.wordfence.com/wordfence-site-cleanings/
• https://www.getastra.com/website-cleanup-malware-removal
• https://sucuri.net/website-security-platform/help-now/

Membangun kembali

Kelihatannya seperti tindakan drastis, tetapi jika Anda tetap berpikir untuk membangun kembali situs Anda, sekarang adalah kesempatan sempurna untuk memulai dari awal.

Dengan begitu, Anda tahu pasti bahwa Anda tidak memiliki file berbahaya yang bersembunyi di latar belakang.

Pastikan untuk menggunakan akun instal atau hosting yang berbeda.

Mencegah Peretasan

Sulit untuk mencegah peretasan ketika Anda tidak tahu sebelumnya plugin mana yang mengandung kerentanan.

Beberapa tip dasar untuk mencegah peretasan di masa mendatang:

• Gunakan host WordPress terkelola - mereka biasanya memiliki pemindaian dan penghapusan malware, dan mengeraskan pemasangan WP mereka secara default (dengan mencegah eksekusi file PHP di folder unggahan)
• Tetap perbarui Plugin, Tema, dan WordPress Core
• Gunakan plugin keamanan. Paling tidak, aktifkan pengerasan Firewall dan WordPress. WordFence Premium, Sucuri, dan WebARX adalah solusi yang baik
• Jalankan WPScan atau periksa WPVulnDB untuk plugin dan tema rentan yang mungkin Anda gunakan.

Apakah situs WordPress Anda diretas?

Bagaimana Anda mengatasi masalah tersebut?

Beri tahu kami di komentar.