Mengapa Pemindai Malware WordPress Tidak Berguna

Diterbitkan: 2023-07-18

Penelitian baru dari Snicco, WeWatchYourWebsite, GridPane yang didukung Automattic, dan PatchStack mengungkapkan pemindai malware WordPress yang beroperasi sebagai plugin di lingkungan yang disusupi pada dasarnya cacat. Pemindai malware adalah alat pembersihan terbaik untuk situs yang sudah disusupi. Mereka bukan garis pertahanan yang solid, dan mereka secara aktif dikalahkan oleh malware di alam liar saat ini . Serahkan deteksi malware ke host yang berkualitas. Fokuskan kebijakan keamanan Anda pada penguatan autentikasi login, manajemen pengguna, pendelegasian hak istimewa yang tepat, dan manajemen versi yang waspada.

Jadi 2000-dan-Akhir: Pemindai Malware Telah Melebihi Kegunaannya

Plugin deteksi malware untuk WordPress sudah ada sejak sekitar tahun 2011, ketika serangan injeksi SQL umum dan efektif. Siapa pun yang bekerja dengan WordPress saat itu akan mengingat pustaka pengeditan gambar yang banyak digunakan bernama TimThumb. Itu menjadi sasaran eksploitasi zero-day dengan hasil yang mengerikan untuk jutaan situs.

Ini adalah konteks darurat plugin keamanan WordPress tumbuh - sebagai reaksi. Beberapa plugin keamanan saat ini masih terlihat seperti Norton Security dan McAfee Anti-Virus. Itu adalah aplikasi keamanan populer untuk Windows 20-30 tahun yang lalu. Namun seperti yang dikatakan John McAfee setelah keluar dari perusahaan yang ia dirikan, pemindai antivirusnya telah diubah menjadi "bloatware". Menurutnya, itu adalah "perangkat lunak terburuk di dunia."

Kesimpulan serupa dapat ditarik hari ini tentang pemindai malware WordPress berdasarkan temuan terbaru dari beberapa peneliti keamanan WordPress.

Malware Madness
Pemindai malware tidak akan melindungi situs WordPress Anda.

“Lingkungan yang sudah dikompromikan tidak dapat dipercaya untuk menganalisis dirinya sendiri.”

Ilusi Keamanan: Pemindai Malware WordPress Diuji

Pada bagian pertama dari seri yang berjudul “Kegilaan Malware: Mengapa semua yang Anda ketahui tentang Pemindai Malware WordPress Anda salah,” peneliti keamanan WordPress Calvin Alkan (Pendiri perusahaan keamanan Snicco) membagikan beberapa karyanya. Alkan bekerja dengan Patrick Gallagher (CEO dan Pendiri Bersama GridPane) dan Thomas Raef (Pemilik, WeWatchYourWebsite.com) untuk melihat apakah pemindai malware dapat dikalahkan. Tak heran, ternyata mereka bisa dikalahkan — dengan sangat mudah. Patchstack memberikan konfirmasi independen atas hasil Alkan.

Pemindai Lokal: Panggilan Datang dari Dalam Rumah

Dalam pengujian mereka, Alkan dan kolaboratornya pertama kali melihat pemindai lokal. Wordfence, WPMU Defender, versi gratis All-In-One Security (AIOS), dan NinjaScanner melakukan semua pekerjaan mereka di server yang sama dengan situs WordPress tempat mereka diinstal. Itu berarti pemindai malware menggunakan proses PHP yang sama dengan WordPress dan malware yang menginfeksinya. Tidak ada yang menghentikan malware untuk berinteraksi secara aktif dengan pemindai. Malware dapat menonaktifkan plugin keamanan apa pun yang terdeteksi, daftar putih itu sendiri (dilaporkan pada 2018), atau memanipulasi pemindai sehingga mereka tidak mendeteksi intrusi.

“Baik Pemindai Malware dan Malware berjalan dalam proses PHP yang sama. Ini berarti malware dapat memanipulasi atau mengutak-atik fungsi pemindai — skenario yang setara adalah terdakwa yang bertindak sebagai hakim mereka sendiri dalam sidang pengadilan .”

Selanjutnya, Alkan dan mitranya menghasilkan bukti konsep yang berfungsi untuk mengalahkan pemindai malware. (Mereka juga menawarkan untuk membagikan kit exploit mereka secara pribadi dengan peneliti dan vendor keamanan.) Menurut CEO Patchstack Oliver Sild, kit exploit hanya terdiri dari beberapa baris kode.

Alkan juga menemukan bahwa malware yang “dirender”, “yang secara dinamis membangun dirinya sendiri menggunakan PHP,” tidak terdeteksi oleh pemindai malware lokal. Terakhir, pemindai lokal gagal mendeteksi malware “dalam proses”. Jenis malware ini “dieksekusi sekali dan kemudian menghapus dirinya sendiri dari sistem, tanpa meninggalkan jejak keberadaannya.”

Pemindai Jarak Jauh: Dikalahkan Oleh Pengrusakan Bukti dan Pembersihan TKP

Pemindai yang melakukan analisisnya di server jarak jauh meliputi Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri, dan JetPack Scan. Metode pemindaian jarak jauh yang lebih baru ini memiliki beberapa keunggulan, termasuk jejak yang berkurang dan berdampak pada kinerja server lokal Anda. Pemindai lokal menggunakan sumber daya server situs Anda untuk melakukan pekerjaannya, yang memiliki biaya kinerja. Analisis malware jarak jauh juga dilindungi dari manipulasi karena tidak terjadi dalam proses PHP yang sama dengan infeksi malware aktif.

Apa yang rentan terhadap pemindai jarak jauh adalah malware yang memanipulasi data yang dikirim kembali ke server jarak jauh untuk dianalisis. Alkan membuat bukti konsep lain yang menunjukkan bahwa pemindai jarak jauh dapat dikalahkan dengan cara ini — dengan menyembunyikan "bukti" infeksi malware. Oliver Sild mengkonfirmasi hasil ini juga:

“Pengrusakan data dapat dicapai secara konseptual dengan plugin lokal menjadi target penipuan. Kami telah menerima bukti konsep yang dengan jelas menunjukkan hal ini.”

Taktik malware yang sedikit berbeda mungkin melibatkan "menggosok TKP" dan tidak meninggalkan jejak infeksi untuk dipindai. Alkan menyarankan ini mungkin tetapi tidak memberikan bukti konsep.

Penting untuk diperhatikan bahwa pemindaian integritas file yang mencari perubahan tidak sah dapat membantu saat Anda mencoba mendeteksi infeksi malware. Jenis pemindaian ini membandingkan file lokal dengan repositori kode jarak jauh yang dilindungi untuk mendeteksi perubahan tidak resmi pada file inti atau plugin dan tema WordPress. Sayangnya, deteksi perubahan dapat dikalahkan jika prosesnya dirusak oleh malware.

Bukan Hanya Hipotetis: Malware Sudah Menonaktifkan Pemindai Keamanan WordPress di Alam Liar

Mengikuti kit eksploitasi Alkan, pengungkapan terbesar dalam laporan Snicco berasal dari Thomas Raef, CEO We Watch Your Website, yang mendeteksi dan membersihkan situs WordPress yang diretas:

“Selama 60 hari terakhir, 52.848 situs diretas dengan WordFence terpasang sebelum terinfeksi. Malware yang terinstal merusak file WordFence dalam 14% kasus (7.399) . Layanan populer lainnya bahkan memiliki persentase yang lebih tinggi; MalCare hadir di 22%, dan VirusDie di 24%.”

Untuk penjelasan terperinci tentang analisis Kami Menonton Situs Web Anda, lihat laporan Thomas Raef, “Bagaimana Kami Mengidentifikasi Hampir 150 Ribu Situs WordPress yang Diretas dalam 60 Hari.”

Itu adalah permainan untuk plugin pemindaian malware. Ini memberi tahu kita bahwa pemindaian malware WordPress adalah teater keamanan murni — “praktik mengambil langkah-langkah keamanan yang dianggap memberikan perasaan keamanan yang lebih baik sambil melakukan sedikit atau tidak sama sekali untuk mencapainya.”

Tidak diragukan lagi ini telah berlangsung untuk waktu yang lama juga.

Veteran industri keamanan dan direktur pemasaran Kadence Kathy Zant memberi tahu Alkan:

“Selama sekitar 18 bulan, saya membersihkan situs WordPress untuk perusahaan terkenal di WordPress, menghapus malware dari lebih dari 2.000 situs selama masa jabatan saya. Jangka waktu paling awal yang saya lihat [malware mengalahkan pemindaian malware] adalah pada pertengahan hingga akhir 2017. [….] Saya yakin itu masih ada. Dan sangat mungkin ada varian tambahan yang melakukan tindakan serupa, atau bahkan lebih buruk.”

Itu kabar buruknya: pemindai malware tidak bisa dipercaya. Kabar baiknya adalah mereka tidak pernah menawarkan pembelaan yang nyata. Jika semua yang hilang dari Anda hanyalah ilusi keamanan, itu sebenarnya adalah langkah untuk mendapatkan keamanan yang sesungguhnya.

Cara Mengamankan Situs WordPress Anda — Dengan Benar

Mengikuti laporan seperti Snicco's, pertanyaan besarnya adalah, "Bagaimana situs WordPress dapat mencapai kepercayaan tinggi dalam keamanannya?"

Alkan percaya metode keamanan harus disesuaikan dengan setiap tumpukan server, dan pemindaian malware sisi server yang dilakukan oleh host adalah satu-satunya jenis pemindaian yang bermanfaat bagi pemilik situs.

“Plugin keamanan WordPress HANYA melakukan hal-hal yang paling baik dilakukan pada lapisan aplikasi/PHP,” dia menekankan.

“Komunitas WordPress perlu mengubah pendekatan keamanannya dari deteksi menjadi pencegahan dengan tetap mempertahankan pentingnya pemindaian malware untuk memverifikasi keefektifan 'lapisan keamanan yang lebih tinggi'.”

Keamanan login pengguna yang kuat seperti autentikasi dua faktor dan kunci sandi yang digabungkan dengan keamanan sesi adalah area yang menurut Alkan dapat dibantu oleh plugin WordPress — plugin seperti Keamanan iThemes. Itu selalu menjadi filosofi pemandu tim pengembangan kami — plugin keamanan paling cocok untuk memperkuat situs dan mengurangi permukaan serangan.

Cara penting lainnya untuk memperkuat pertahanan situs WordPress Anda termasuk manajemen pengguna yang hati-hati mengikuti prinsip hak istimewa: jangan pernah memberi lebih banyak kekuatan kepada pengguna daripada yang diperlukan. Dan untuk pengguna yang lebih istimewa, mereka memerlukan standar keamanan yang lebih tinggi — 2FA, kunci sandi, perangkat tepercaya, dan kata sandi kuat yang tidak pernah muncul dalam pelanggaran yang diketahui.

Tren serangan saat ini secara cerdas menargetkan bisnis kecil hingga menengah dengan isian kata sandi, phishing, dan spearphishing. Vektor serangan ini mengeksploitasi otentikasi login yang lemah dan kesalahan manusia. Mereka menggunakan kekerasan dan taktik rekayasa sosial yang cerdik untuk mengkompromikan akun pengguna individu. Berbekal akun pengguna yang diretas, penyerang dapat melakukan banyak kerusakan. Mereka mungkin melakukan lebih banyak kerugian jika mereka juga melihat plugin yang rentan untuk dieksploitasi. Begitu berada di dalam sistem Anda, penyerang dapat membuat pintu belakang untuk masuk kembali kapan saja.

Plugin keamanan yang menekankan pemindai malware tidak akan menghentikannya.