Puluhan Plug-In WordPress Disusupi Backdoor Usai Beralih Kepemilikan

Dozen plug-in populer untuk WordPress ditemukan berisi backdoor setelah perusahaan baru membeli plug-in tersebut. Backdoor tersebut bisa mengirimkan kode berbahaya ke situs yang menggunakan plug-in tersebut dan baru aktif bulan ini. Ini merupakan serangan rantai pasokan yang serius yang menargetkan ekosistem perangkat lunak open source. Plug-in Essential Plugin yang memiliki ratusan ribu instalasi diakuisisi tahun lalu dan perubahan kode berbahaya ditambahkan sesudahnya. Anchor Hosting dan Austin Ginder mengumumkan temuan ini lewat blog post mereka. WordPress sendiri sudah menghapus plug-in nakal dari direktori mereka dan menutupnya secara permanen. Pengguna WordPress disarankan untuk memeriksa apakah mereka masih memakai plug-in ini dan segera menghapusnya demi keamanan situs. Kasus ini menyoroti kurangnya notifikasi perubahan kepemilikan plug-in di WordPress yang dapat jadi celah serangan di masa depan. Peneliti keamanan memperingatkan potensi risiko serangan serupa terus meningkat.