DAFTAR ISI

DAFTAR ISI............................................................................................................i
ANALISA................................................................................................................1
ABSTRAK..............................................................................................................1
ABSTRACT............................................................................................................1
Pendahuluan...........................................................................................................2
Tujuan.....................................................................................................................2
Metode.....................................................................................................................2
Hasil dan Pembahasan...........................................................................................6
Kesimpulan.............................................................................................................6
Ucapan Terimakasih..............................................................................................7
Kontribusi Penulis..................................................................................................7
Lampiran 1. Biodata Ketua dan Anggota yang ditandatangani.......................9
Biodata Ketua.......................................................................................................9

Biodata Anggota 1.............................................................................................10

Biodata Anggota 2.............................................................................................11

Lampiran 2. Biodata Dosen Pendamping..........................................................12

Lampiran 3. Susunan Organisasi Tim Penyusun dan Pembagian Tugas......14
Lampiran 4. Surat Pernyataan Ketua Tim Pelaksana.....................................15
Lampiran 5. Surat Pernyataan Sumber Tulisan..............................................16

i
 1

ANALISA SERANGAN TERHADAP WEBSITE BERBASIS WORDPRESS

MENGGUNAKAN KERENTANAN PADA PLUGINS WP FILE
MANAGER

Fahni Dian Pratama1, Achmad Ardian Lestiowo2, Muhammad Alfarizi3

Prodi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Mercu Buana
1
41518210058@student.mercubuana.ac.id
2
41518210058@student.mercubuana.ac.id
3
41519210012@student.mercubuana.ac.id

ABSTRAK
File Manager Plugin for WordPress adalah sebuah plugin yang bekerja
sebagai file manager pada situs WordPress. Fungsinya adalah mengatur
pembatasan akses bagi tiap file atau folder, preview file, atau integrasi Google
Drive untuk ukuran file dan penyimpanan yang lebih besar. Namun pada 4
September 2020 situs Wordfence.com merilis sebuah artikel yang menjelaskan
bahwa plugin WP File Manager mendapatkan sebuah kerentanan. Kerentanan
berdampak pada versi 6.0 hingga 6.8. Inti dari kerentanan ini adalah ElFinder
yang merupakan pengelola file sumber terbuka yang dirancang untuk membuat
antarmuka manajemen file lebih sederhana dan menyediakan fungsionalitas inti di
balik pengelola file. Plugin WP File Manager telah diinstall pada 700,000 situs
berbasis WordPress, statistik dari WordPress menunjukan bahwa saat ini sekitar
52% situs yang menginstal plugin WP File Manager versi lawas rentan diretas.

Kata Kunci: Situs, Kerentanan, WordPress, WP File Manager.

ABSTRACT
File Manager Plugin for WordPress is a plugin that works as a file
manager for WordPress sites. Its function is to set access restrictions for each file
or folder, preview files, or integrate Google Drive for larger file sizes and storage.
However, on September 4, 2020, the Wordfence.com site released an article
explaining that the WP File Manager plugin had a vulnerability. The vulnerability
impacts versions 6.0 through 6.8. At the heart of this vulnerability is ElFinder
which is an open source file manager designed to make the file management
interface simpler and provide the core functionality behind the file manager. The
WP File Manager plugin has been installed on 700,000 WordPress-based sites,
statistics from WordPress show that currently around 52% of sites that install the
older version of the WP File Manager plugin are vulnerable to being hacked.

Keywords: Website, Vulnerabilities, WordPress, WP File Manager.

 2

Pendahuluan
Website merupakan sebuah kumpulan halaman yang menampilkan
berbagai informasi berupa teks, gambar, suara, video, maupun gabungan dari
semuanya yang berada pada suatu domain internet yang saling berhubungan. Situs
biasa dibuat untuk perusahaan, organisasi, maupun personal. Dengan
menggunakan CMS (Content Management System) kita bisa dengan mudah untuk
mengelola situs tanpa harus membuatnya dari awal, salah satu contoh dari CMS
adalah WordPress.
WordPress adalah platform pembuatan situs yang bertujuan untuk
mempermudah pengelolaan situs yang diciptakan pada tahun 2003 oleh Matt
Mullenweg dan Mike Little. WordPress dibangun dengan bahasa pemgrograman
PHP serta menggunakan basis data MySQL. Struktur WordPress tediri dari
themes dan plugins.
Plugin adalah tool di dalam WordPress yang bisa menambah
fungsionalitas dalam pengembangan situs berbasis WordPress. Plugin merupakan
suatu program tambahan yang bisa di install di WordPress yang disediakan oleh
WordPress itu sendiri maupun dari pihak ke-3. Kerentanan pada situs yang
menggunakan WordPress salah satunya adalah dari plugin.
Plugin WP File Manager adalah salah satu contoh plugin yang terdeteksi
terkena kerentanan. Terletak pada fitur ElFinder dari plugin tersebut, penyerang
dengan gampang melakukan Unauthenticated File Upload pada situs yang
terdeteksi terkena kerentanan.
Pada berita yang dimuat oleh wordfence.com pada tanggal 4 September
2020. Wordfence telah mencatat serangan terhadap lebih dari 1 juta situs pada
tanggal 4 September 2020. Situs yang tidak menggunakan plugin WP File
Manager masih di selidiki oleh bot yang mengindentifikasi dan mengeksploitasi
versi rentan dari plugin WP File Manager, walaupun Wordfence sendiri telah
melindungi setidaknya lebih dari 3 juta situs yang menggunakan WordPress. Tapi
nyatanya sampai sekarang kerentanan itu masih diserang oleh penyerang.

Tujuan
Tujuan dibuatnya artikel ilmiah ini adalah untuk menganalisa bagaimana
penyerang bisa melakukan eksploitasi terhadap kerentanan plugin WP File
Manager.

Metode
Metode yang digunakan dalam penelitian ini adalah metode analisa
dinamis, oleh karena itu dibutuhkan testing langsung terhadap situs yang memiliki
kerentanan. Disini kami menggunakan local server(localhost) sebagai situs yang
akan di eksplotasi, yang harus diperhatikan adalah bagaimana menemukan celah
ini, karena itu kami disini mempunyai tiga cara menemukan celah tersebut yaitu
menggunakan: WPScan, cURL, serta manual.
 3

Pertama adalah menggunakan WPScan, WPScan merupakan tools

vulnerability scanner untuk CMS Wordpress yang ditulis dengan menggunakan
bahasa pemrograman ruby, WPScan mampu mendeteksi kerentanan umum serta
daftar semua plugin dan themes yang digunakan oleh sebuah website yang
menggunakan CMS Wordpress. Tinggal mengetik perintah “wpscan –url
localhost”, maka WPScan akan otomatis mencari kerentanan yang berada pada
plugin/theme/version dari situs tersebut.

Gambar 1. Scan dengan WPScan

Kedua adalah menggunakan cURL, cURL adalah sebuah proyek perangkat

lunak komputer yang menyediakan pustaka dan perkakas baris perintah untuk
pentransferan data menggunakan berbagai protokol jaringan. Nama cURL
merupakan singkatan dari "Client URL" yang dirilis pada tahun 1997. Cara
menggunakannya adalah dengan mengetik command:
curl -s http://localhost/wp/wp-content/plugins/wp-file
manager/lib/php/connector.minimal.php | grep "errUnknownCmd"
Jika yang muncul adalah {"error":["errUnknownCmd"]}, maka situs tersebut vuln
untuk di eksploitasi.

Gambar 2. Scan dengan cURL

Dari fungsi cURL ini, bisa juga dibuat untuk mass scanning. Dengan
menggunakan bahasa pemrograman Bash/Shell, mass scan mode ini sangat
berguna jika penyerang ingin menscan banyak website sekaligus. Selain itu, mass
scanning ini berguna untuk efisiensi waktu. Contoh codenya seperti gambar
dibawah ini.
 4

Gambar 3. Code mass scanning

Dengan command “./check.sh site.txt” maka program akan bertugas untuk

melakukan scanning pada file site.txt yang berisikan beberapa website yang ingin
di scan.

Gambar 4. Hasil output dari program

Hasil yang ditampilkan pada output bermakna bahwa website yang berwarna
merah tidak vuln oleh kerentanan ini, serta website yang berwarna hijau vuln dan
bisa di eksplotasi.
Ketiga adalah manual, manual sendiri berarti penyerang langsung
mengecek kerentanan tersebut secara langsung dengan cara menambahkan url
“/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php”.
Contohnya adalah localhost ingin dilihat apakah vuln dengan kerentanan ini atau
tidak, maka tinggal menambahkan url yang tertera diatas sehingga menjadi
“localhost/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php”.

Gambar 1. Situs yang rentan untuk di eksploitasi

 5

1. Setelah mengetahui bahwa situs rentan untuk di eksploitasi, selanjutnya

langsung membuat payload mengunakan cURL. Berikut payloadnya:
curl -s — max-time 5 — user-agent “Mozilla/5.0 (Windows NT 10.0;
Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/75.0.3770.90 Safari/537.36” -F “reqid=17457a1fe6959” -F
“cmd=upload” -F “target=l1_Lw” -F “mtime[]=1576045135” -F
“upload[]=@filekamu.php” “http://localhost/wp/wp-
content/plugins/wp-file-manager/lib/php/connector.minimal.php"
Berikut fungsi fungsi dari payloadnya:
- cURL – Client URL atau cURL adalah command untuk tool transfer
data dan mengecek konektivitas ke URL.
- Max-time – Untuk membuat timeout(batas waktu) pada url.
- User-agent – Untuk mengirimkan script yang dikirimkan oleh web
browser ke situs yang kita tuju.
- Reqid – Untuk request id upload.
- Cmd – Untuk perintah upload file.
- Target – Untuk request path upload.
- Mtime – Batas waktu upload file.
- Upload[] – File yang mau di upload.
- https://localhost/ – Situs yang rentan di eksploitasi.

2. Tinggal jalankan payloadnya di Terminal Linux/Git Bash Windows, disini

kita menjalankan payloadnya lewat Ubuntu For Windows. Untuk
mengecek bahwa situs tersebut vuln untuk di serang, maka awal-awal kita
upload file menggunakan file .txt untuk testing.

Gambar 2. Payload berhasil di jalankan.

3. Jika result menunjukan gambar seperti Gambar 2, maka kemungkinan file

berhasil di upload, langsung dilihat ke http://localhost/wp/wp-
content/plugins/wp-file-manager/lib/files/testing.txt.

Gambar 3. File telah berhasil di upload.

 6

4. Tahap testing berhasil, sekarang kita upload webshell berekstensi .php.

Disini kami menggunakan webshell WSO.

Gambar 4. payload berhasil di jalankan.

5. Setelah payload berhasil dijalankan, kita akses saja filenya ke

http://localhost/wp/wp-content/plugins/wp-file-manager/lib/files/wso.php.

Gambar 5. webshell berhasil di upload.

6. Jika webshell berhasil di upload oleh penyerang, ini sangat berbahaya

karena penyerang dapat melakukan apa saja di situs. Seperti mengambil
data customer, melakukan defacing, menggunakan situs anda untuk scam,
dan masih banyak lagi.

Hasil dan Pembahasan

Hasil dari analisa diatas menunjukkan bahwa plugin WP File Manager
memiliki tingkat kerentanan yang cukup tinggi apabila versi dari plugin tersebut
berada dibawah 6.9. Hal ini sangatlah fatal mengingat tingkat kerentanan pada
plugin WP File Manager berada pada level P1: Critical.

Kesimpulan
Kesimpulannya adalah situs yang berbasis CMS WordPress menggunakan
plugin WP File Manager dibawah versi 6.9 memiliki kerentanan yang tinggi.
 7

Attacker dapat melakukan Remote Code Execution bahkan Privilege Escalation.

Saran dari penulis adalah:
- Update versi plugin ke versi yang paling terbaru, sampai ini di tulis
versi dari plugin WP File Manager adalah 6.9.
- Hapus plugin WP File Manager dari situs anda.
- Hapus atau rename file connector.minimal.php.
- Selalu baca perkembangan tentang keamanan situs.

Ucapan Terimakasih
Ucapan terimakasih diberikan kepada orang-orang yang membantu dalam
penyelesaian terutama Achmad Ardian dan Muhammad Alfarizi selaku anggota
dari kelompok ini, serta bapak Adi Hartanto, ST, M.Kom selaku dosen
pembimbing kami yang telah memberikan banyak saran dan masukan pada artikel
ilmiah ini.

Kontribusi Penulis
Penulis 1 melakukan riset, percobaan, serta memikirkan konsep, dan judul
yang tepat; Penulis 2 menyiapkan naskah dan membuat analisis, Penulis 3
membuat naskah(manuskrip) serta membuat hasil dan pembahasan.

Daftar Pustaka
Anon., 2020. Plugin WordPress WP File Manager Rentan, Pengembang Lakukan
Penambalan. URL: https://internetsehat.id/plugin-wordpress-wp-file-manager-
rentan-pengembang-lakukan-penambalan/ Diakses tanggal 5 November 2020.

Efendi, I., n.d. Pengertian CMS (Content Management System). URL:

https://www.it-jurnal.com/pengertian-cms-content-management-system/ Diakses
tanggal 5 November 2020.

Gall, R., 2020. Millions of Sites Targeted in File Manager Vulnerability Attacks.
URL: https://www.wordfence.com/blog/2020/09/millions-of-sites-targeted-in-file-
manager-vulnerability-attacks/ Diakses tanggal 5 November 2020.

M., 2020. Exploiting CVE-2020–25213: wp-file-manager wordpress plugin

(<6.9) for unauthenticated arbitrary file upload. URL:
https://medium.com/bugbountywriteup/exploiting-cve-2020-25213-wp-file
manager-wordpress-plugin-6-9-3f79241f0cd8 Diakses tanggal 5 November 2020.

Mubarok, I., 2018. Apa Itu WordPress? Pengertian WordPress dan Manfaatnya.
URL:https://www.niagahoster.co.id/blog/apa-itu-wordpress/ Diakses tanggal 5
November 2020.
 8

Nugroho, A., 2020. Plugin File Manager Versi 6.8 Dieksploitasi Peretas,
Pengguna WordPress Diminta Segera Update. URL:
https://cyberthreat.id/read/8258/Plugin-File-Manager-Versi-68-Dieksploitasi-
Peretas-Pengguna-WordPress-Diminta-Segera-Update Diakses tanggal 5
November 2020.

W., 2018. Pengertian Website Lengkap dengan Jenis dan Manfaatnya. URL:
https://www.niagahoster.co.id/blog/pengertian-website/ Diakses tanggal 5
November 2020.
 9

Lampiran 1. Biodata Ketua dan Anggota yang ditandatangani

Biodata Ketua
 10

Biodata Anggota 1
 11

Biodata Anggota 2
 12

Lampiran 2. Biodata Dosen Pendamping

13
 14

Lampiran 3. Susunan Organisasi Tim Penyusun dan Pembagian Tugas

No Nama/NIM/NIDN Posisi Penulis Bidang Ilmu Kontribusi
Melakukan riset,
Fahni Dian percobaan,
Penulis Teknik
1 Pratama/415182100 memikirkan konsep,
Pertama Informatika
58 dan judul yang
tepat.
Achmad Ardian
Teknik Menyiapkan naskah
2 Lestiowo/41518210 Penulis Kedua
Informatika dan analisis.
058
Muhammad Membuat naskah,
Teknik
3 Alfarizi/4151921001 Penulis Ketiga hasil, dan
Informatika
2 pembahasan.
Pengarah dan
Adi Hartanto, ST, Penulis Teknik
4 penyelaras akhir
M.Kom/0717037202 Korespodensi Informatika
naskah.
 15

Lampiran 4. Surat Pernyataan Ketua Tim Pelaksana

 16

Lampiran 5. Surat Pernyataan Sumber Tulisan