Peneliti keamanan siber dari Wordfence Threat Intelligence Team mengungkap kampanye malware tingkat lanjut yang menyasar situs WordPress, dengan kemampuan mencuri informasi kartu kredit, data login pengguna, hingga melakukan profiling korban. Temuan ini pertama kali dipublikasikan pada 16 Mei 2025, dan dinilai sebagai salah satu ancaman paling canggih terhadap platform WordPress sejauh ini.

Malware ini dikemas dalam bentuk plugin WordPress palsu yang disebut “WordPress Core”, dan dilengkapi dengan berbagai teknik penghindaran deteksi yang belum pernah terlihat sebelumnya. Salah satu taktik uniknya adalah menyematkan sistem manajemen langsung di situs web yang terinfeksi, sehingga sulit dideteksi secara eksternal.

Menurut Wordfence, kampanye ini telah berlangsung sejak setidaknya September 2023. Analisis terhadap lebih dari 20 sampel malware mengungkap adanya pola serupa, termasuk penggunaan:

• Obfuscation (pengacakan kode)
• Teknik untuk menghindari analisis
• Deteksi terhadap alat pengembang browser

Malware ini juga tidak aktif di halaman admin, melainkan hanya muncul di halaman checkout, membuatnya semakin sulit dikenali. Dalam versi terbaru, bahkan ditambahkan formulir pembayaran palsu dan peniruan tampilan keamanan Cloudflare, untuk menipu pengguna secara meyakinkan.

Selain pencurian data pembayaran, ditemukan tiga varian lain dari malware ini:

1. Menampilkan iklan palsu di perangkat mobile dengan memanipulasi Google Ads.
2. Mencuri data login WordPress pengguna dan administrator.
3. Menyebar malware tambahan melalui tautan sah yang telah dimodifikasi menjadi berbahaya.

Meski tujuan berbeda, semua varian berbagi fondasi perangkat lunak yang sama, hanya menyesuaikan fitur sesuai target. Beberapa versi bahkan menggunakan aplikasi Telegram untuk mengirim data secara real-time dan memantau aktivitas korban.

Salah satu sampel malware bahkan menyertakan “tantangan verifikasi manusia” palsu yang sangat kompleks: ditampilkan layar penuh, multi-bahasa, mendukung dark mode, bahasa RTL, dan dilengkapi animasi serta logo Cloudflare palsu. Ini merupakan taktik manipulatif berteknologi tinggi yang jarang terlihat dalam serangan siber sebelumnya.

Baca Juga: Waspada Malware ClickFix! Modus Baru Tipu Pengguna macOS dengan CAPTCHA Palsu, Sebar Pencuri Data AMOS

“Ini mencakup fitur tingkat lanjut seperti teks multi-bahasa, dukungan CSS untuk RTL dan dark mode, serta elemen interaktif seperti animasi SVG berputar, menunjukkan tingkat kompleksitas yang luar biasa,” ujar Paolo Tresso, peneliti utama Wordfence.

Plugin palsu “WordPress Core” ini menyimpan data curian di dalam sistem WordPress itu sendiri, menggunakan bagian tersembunyi bernama “messages”. Bahkan, malware ini mampu menandai pesanan fiktif di WooCommerce sebagai ‘selesai’, sehingga tidak menimbulkan kecurigaan bagi pemilik situs.

Tindakan Pencegahan dan Domain Berbahaya

Bagi administrator situs, Wordfence menyarankan pemeriksaan menyeluruh terhadap keberadaan plugin tidak dikenal dan aktivitas mencurigakan. Waspadai domain berikut yang dikaitkan dengan kampanye ini:

• api-service-188910982.website
• graphiccloudcontent.com

Serangan malware ini menegaskan bahwa ancaman terhadap situs WordPress semakin kompleks dan terorganisir. Dengan menyamar sebagai plugin sah dan menyembunyikan aktivitas berbahaya di balik fitur-fitur yang sulit dibedakan dari sistem asli, pelaku berhasil mencuri data sensitif tanpa terdeteksi dalam waktu lama.

Pengguna WordPress, terutama yang mengelola situs e-commerce berbasis WooCommerce, harus lebih waspada dan memastikan plugin yang digunakan berasal dari sumber terpercaya. Rutin memeriksa file, aktivitas login, dan transaksi di situs menjadi langkah penting dalam mendeteksi anomali.

Dengan kesadaran dan keamanan yang ditingkatkan, diharapkan pemilik situs dapat menghindari kerugian lebih besar dan menjaga kepercayaan pengguna. Keamanan situs web bukan hanya tanggung jawab penyedia layanan, tetapi juga kewaspadaan berkelanjutan dari para administrator dan pemilik situs itu sendiri.