Baru-baru ini ditemukan kerentanan kritis (CVE-2025-11833) pada plugin Post SMTP untuk WordPress, yang digunakan oleh lebih dari 400.000 situs di seluruh dunia. Kerentanan ini membuat keamanan WordPress memiliki celah yang memungkinkan terjadinya pengambilalihan akun admin (account takeover) hanya lewat akses log email yang dikirim melalui plugin Post SMTP — tanpa autentikasi sama sekali.
Penyerang dapat mencuri tautan reset password dari log email dan mengambil alih kendali penuh atas situs WordPress.
Kerentanan ini telah diperbaiki pada versi 3.6.1 yang dirilis pada 29 Oktober 2025. Pengguna sangat disarankan untuk segera memperbarui plugin, mengganti seluruh kredensial penting, serta mengaktifkan autentikasi multi-faktor (MFA) jika tersedia.
Risiko Jika Kerentanan Tidak Diperbaiki
Jika kerentanan ini tidak segera diatasi, berbagai risiko serius dapat muncul, seperti:
-
- Pengambilalihan akun (Account Takeover)
- Serangan Malware
- Kebocoran data
- Reputasi dan dampak buruk terhadap performa SEO
Baca juga: Waspada Pharming: Serangan Website Palsu yang Mengintai Data Pribadi
Langkah Penanganan dan Pencegahan
Setelah memahami risiko yang mungkin timbul, berikut langkah-langkah yang dapat dilakukan untuk melindungi situs WordPress:
-
- Segera Perbarui Plugin dan Ganti Kredensial Penting
Langkah pertama yang harus dilakukan adalah memperbarui plugin Post SMTP ke versi 3.6.1 atau lebih tinggi. Lakukan segera jika Anda masih menggunakan versi lama. Setelah itu, ganti semua kredensial penting (admin, database, dan API key).
- Gunakan Web Application Firewall
Untuk mencegah serangan lebih lanjut, gunakan Web Application Firewall (WAF) yang mampu memblokir serangan yang mencoba mengeksploitasi kerentanan tersebut. WAF akan memfilter dan menghentikan request berbahaya sebelum sampai ke server.
- Aktifkan Autentikasi Multi Faktor (MFA)
Pastikan seluruh akun admin menggunakan autentikasi multi-faktor (MFA). Dengan lapisan keamanan tambahan ini, meskipun kredensial bocor, penyerang tetap tidak bisa masuk tanpa verifikasi tambahan.
- Perkuat Keamanan WordPress dan Server (Hardening)
Selain memperbarui plugin, pastikan situs WordPress dan server Anda memiliki pengaturan keamanan yang lebih kuat, seperti membatasi akses ke direktori atau file sensitif dan menonaktifkan akses yang tidak diperlukan.
- Lakukan Backup Secara Rutin
Selalu pastikan Anda memiliki backup (cadangan) situs yang terbaru dan aman. Jika terjadi kompromi, Anda dapat memulihkan situs dengan cepat tanpa kehilangan data penting.
- Monitoring dan Audit Keamanan
Lakukan monitoring keamanan secara real-time untuk mendeteksi aktivitas mencurigakan sejak dini. Audit berkala juga membantu memastikan tidak ada celah keamanan yang terlewat.
- Tingkatkan Kesadaran Tim (Security Awareness)
Pastikan tim Anda memahami pentingnya keamanan, terutama dalam hal pengelolaan password dan mengenali email phishing atau upaya yang dapat mengeksploitasi kerentanan yang disebut diatas.
- Segera Perbarui Plugin dan Ganti Kredensial Penting
Baca juga: 7 Tanda Perusahaan Anda Memerlukan Security Assessment
Tingkatkan Keamanan Situs Anda dengan Dukungan Profesional dari DTrust
Jika Anda ingin memastikan situs terlindungi secara maksimal, pertimbangkan solusi keamanan berkelanjutan seperti WAF, audit berkala, dan monitoring intensif.
Banyak organisasi kini mempercayakan pengelolaan dan pemeliharaan keamanan siber kepada penyedia yang berpengalaman, agar perlindungan situs tetap optimal dan efisien.
Tertarik untuk mendiskusikan lebih lanjut? Jelajahi layanan keamanan dari DTrust, atau hubungi kami melalui WhatsApp DTrust maupun email di info@dtrust.co.id untuk berkonsultasi langsung mengenai solusi keamanan yang paling sesuai dengan kebutuhan situs Anda.
DTrust, make you TRUSTed.
