CometSoul

make IT easy

  • Bahasa Indonesia
  • English

    • Celah WP Maps Pro Aktif Dieksploitasi untuk Membuat Akun Admin WordPress

    by

    Juni Artawan
    in

    Celah WP Maps Pro Aktif Dieksploitasi untuk Membuat Akun Admin WordPress

    Celah WP Maps Pro yang bersifat critical saat ini sedang aktif dieksploitasi oleh attacker untuk membuat akun administrator pada website WordPress yang rentan.

    Kerentanan ini dilacak sebagai CVE 2026 8732. Plugin yang terdampak adalah WP Maps Pro, yaitu plugin WordPress yang biasa digunakan untuk menambahkan Google Maps, OpenStreetMap, marker, listing lokasi, dan fitur peta lain pada website.

    Masalah ini serius karena attacker tidak membutuhkan username atau password. Jika sebuah website masih memakai versi WP Maps Pro yang rentan, attacker dari luar bisa membuat akun administrator baru dan mengambil alih website.

    Menurut laporan The Hacker News dan Wordfence, semua versi WP Maps Pro sampai dengan versi 6.1.0 terdampak. Celah ini sudah diperbaiki pada versi 6.1.1.

    Apa Itu Celah WP Maps Pro?

    WP Maps Pro banyak digunakan oleh website bisnis yang membutuhkan fitur peta. Contohnya adalah store locator, peta cabang, direktori lokasi, listing properti, atau halaman layanan berbasis area.

    Karena plugin ini berhubungan dengan tampilan frontend, ia perlu memuat script dan data peta untuk pengunjung. Namun, celah kali ini bukan sekadar masalah tampilan peta. Masalahnya berada pada fitur temporary access yang dibuat untuk membantu tim support masuk ke website saat troubleshooting.

    Pada versi yang rentan, fitur temporary access ini bisa dipanggil oleh user yang belum login. Artinya, orang dari luar website dapat memanggil fungsi tersebut tanpa menjadi administrator.

    Fungsi yang rentan tersebut kemudian bisa membuat user WordPress baru dengan hak administrator. Setelah itu, attacker dapat memakai login URL khusus untuk masuk ke dashboard sebagai admin baru.

    Kenapa CVE 2026 8732 Berbahaya?

    Celah WP Maps Pro ini memiliki skor CVSS 9.8, yang masuk kategori critical. Skor ini tinggi karena serangan dapat dilakukan dari jarak jauh, tidak membutuhkan login, dan dapat berujung pada pengambilalihan website secara penuh.

    Di WordPress, akses administrator punya kontrol yang sangat besar. Jika attacker berhasil menjadi admin, mereka bisa memasang plugin, mengedit theme, mengunggah file berbahaya, mengubah pengaturan website, membuat user tambahan, mengarahkan pengunjung ke situs lain, atau menyisipkan halaman spam dan phishing.

    Bagi website bisnis, dampaknya bisa berat. Website yang diambil alih dapat merusak reputasi, menurunkan ranking SEO, mencuri data pelanggan, menyebarkan malware, atau mengarahkan pengunjung ke halaman scam.

    Dalam beberapa kasus, attacker tidak langsung membuat perubahan yang terlihat. Mereka bisa membuat akun admin tersembunyi, memasang backdoor, lalu menunggu waktu yang tepat untuk memakai website tersebut dalam kampanye serangan yang lebih besar.

    Bagaimana Celah Ini Bekerja?

    Secara sederhana, celah WP Maps Pro ini terjadi karena kontrol akses pada sistem temporary access tidak cukup kuat.

    Wordfence menjelaskan bahwa plugin ini mendaftarkan AJAX action dengan cara yang memungkinkan user tanpa login untuk memanggilnya. Action tersebut memang memakai nonce check. Namun, nonce itu tersedia secara publik di halaman frontend. Karena itu, nonce tersebut tidak efektif sebagai pengaman akses.

    Attacker dapat memanggil fungsi temporary access dengan parameter tertentu. Setelah dipanggil, kode yang rentan akan membuat user WordPress baru dengan role administrator.

    Setelah user dibuat, plugin mengembalikan login URL khusus. Ketika URL itu dibuka, attacker langsung masuk sebagai administrator baru. Inilah yang membuat celah ini bisa menyebabkan full site takeover.

    Eksploitasi Aktif Membuat Risikonya Lebih Tinggi

    Celah ini bukan hanya teori. Laporan keamanan menyebut attacker sudah mencoba mengeksploitasi celah ini secara aktif.

    Ini membuat tingkat urgensinya jauh lebih tinggi. Jika sebuah vulnerability sudah aktif dieksploitasi, pemilik website sebaiknya tidak menunggu jadwal maintenance biasa. Website yang rentan bisa diserang sebelum pemiliknya melihat tanda yang jelas.

    Wordfence melaporkan ribuan percobaan serangan terhadap celah ini dalam waktu singkat. Ini menunjukkan bahwa attacker sudah melakukan scanning dan mencoba mencari website yang masih memakai versi rentan.

    Bagi pemilik website WordPress, langkah paling aman adalah segera mengecek apakah WP Maps Pro terpasang. Setelah itu, cek versinya. Jika masih versi 6.1.0 atau lebih lama, segera update ke versi 6.1.1 atau versi terbaru.

    Apa yang Harus Dicek Pemilik Website?

    Hal pertama yang perlu dicek adalah versi plugin. Masuk ke dashboard WordPress, buka halaman plugin, lalu lihat versi WP Maps Pro yang terpasang.

    Jika plugin masih outdated, segera lakukan update. Jika update belum bisa dilakukan, pertimbangkan untuk menonaktifkan plugin sementara sampai website bisa diamankan.

    Setelah update, jangan langsung menganggap website sudah bersih. Karena celah ini dapat membuat akun administrator baru, daftar user WordPress perlu diperiksa.

    Cari akun admin yang tidak dikenal, terutama akun yang tidak pernah kamu buat. Perhatikan alamat email asing, username aneh, atau akun yang baru muncul tanpa alasan jelas.

    Selain itu, cek plugin dan theme yang terpasang. Jika attacker sempat mendapatkan akses admin, mereka mungkin sudah mengunggah plugin berbahaya, mengubah file theme, atau menanam backdoor.

    Kenapa Update Saja Tidak Selalu Cukup?

    Update ke WP Maps Pro 6.1.1 atau versi terbaru memang wajib. Namun, update hanya menutup celah untuk serangan berikutnya. Update tidak otomatis menghapus kerusakan yang mungkin sudah terjadi sebelumnya.

    Jika akun admin berbahaya sudah dibuat sebelum update, akun itu bisa tetap aktif setelah plugin dipatch. Karena itu, proses pembersihan tetap penting.

    Pemilik website perlu menghapus akun admin yang tidak dikenal, mengganti password semua akun administrator, memeriksa file website, dan melakukan scan malware.

    Jika tersedia, cek juga log server. Cari request mencurigakan ke endpoint admin ajax, aktivitas login yang tidak dikenal, dan perubahan file pada periode saat eksploitasi mungkin terjadi.

    Cara Mengurangi Risiko Plugin WordPress

    Plugin membuat WordPress lebih fleksibel. Namun, setiap plugin juga menambah risiko. Ini bukan berarti pemilik website harus menghindari semua plugin. Artinya, plugin perlu dikelola dengan disiplin.

    Gunakan hanya plugin yang benar benar dibutuhkan. Update plugin secara rutin. Hapus plugin yang tidak dipakai, bukan hanya dinonaktifkan. Sebelum memasang plugin baru, cek reputasi, riwayat update, dan aktivitas support dari developernya.

    Selain itu, gunakan password kuat, aktifkan two factor authentication untuk akun administrator, dan batasi jumlah user admin. Web application firewall juga dapat membantu memblokir banyak percobaan serangan sebelum mencapai kode yang rentan.

    Backup juga penting. Jika website terkena malware atau file berubah karena serangan, backup yang bersih dapat mempercepat proses pemulihan.

    Kesimpulan

    Celah WP Maps Pro menunjukkan bagaimana kesalahan kontrol akses pada plugin WordPress bisa berubah menjadi ancaman besar. CVE 2026 8732 memungkinkan attacker tanpa login membuat akun administrator pada website yang rentan, sehingga dapat berujung pada pengambilalihan penuh.

    Jika website kamu memakai WP Maps Pro, segera cek versinya. Update ke versi 6.1.1 atau versi terbaru, periksa daftar akun administrator, scan malware, dan hapus semua hal yang mencurigakan.

    Bagi pemilik website WordPress, pelajarannya jelas. Update plugin bukan sekadar pekerjaan rutin. Itu bagian penting dari keamanan website. Ketika celah critical sudah aktif dieksploitasi, tindakan cepat bisa menjadi pembeda antara website yang aman dan website yang sudah dikuasai attacker.

    Source: https://thehackernews.com/2026/06/critical-wp-maps-pro-flaw-actively.html