Sebuah kerentanan kritis dalam plugin populer King Addons for Elementor tengah dimanfaatkan secara aktif oleh para peretas.

Celah keamanan ini memungkinkan penyerang membuat akun administrator tanpa izin, membuka jalan bagi pengambilalihan penuh situs WordPress yang belum diperbarui.

Kerentanan tersebut telah terdaftar sebagai CVE-2025-8489 dengan skor CVSS 9.8, menempatkannya dalam kategori sangat berbahaya.

Plugin King Addons digunakan oleh lebih dari 10.000 instalasi aktif, sehingga potensi dampaknya cukup luas, terutama bagi pengelola website bisnis, portal informasi, hingga toko online berbasis WordPress.

Celah Privilege Escalation: Hacker Bisa Daftar Langsung Jadi Admin

Masalah utama berada pada fungsi “handle_register_ajax()”, yaitu fungsi yang dipicu saat proses pendaftaran pengguna berlangsung. Sayangnya, implementasi fungsi tersebut tidak membatasi pilihan peran (role) apa yang dapat didaftarkan oleh pengguna baru.

Akibatnya, hacker cukup mengirimkan request yang dimodifikasi ke endpoint: /wp-admin/admin-ajax.php dan mencantumkan role sebagai “administrator”.

Situs akan menerima permintaan tersebut tanpa validasi memadai sehingga peretas langsung memperoleh hak admin penuh.

Menurut Wordfence, penyedia layanan keamanan WordPress, “Kondisi ini dimungkinkan karena plugin tidak membatasi peran yang dapat dipilih pengguna saat registrasi. Ini membuat penyerang tanpa autentikasi dapat membuat akun dengan level administrator.”

Versi yang Terkena Dampak dan Status Patch

Celah ini memengaruhi plugin King Addons versi 24.12.92 hingga 51.1.14. Pihak pengembang telah merilis perbaikan pada Versi 51.1.35, dirilis 25 September 2025.

Peneliti keamanan Peter Thaleikis menjadi pihak yang menemukan dan melaporkan kerentanan tersebut kepada pengembang.

Sayangnya, meski perbaikan sudah tersedia, Wordfence mencatat bahwa ribuan serangan aktif masih terjadi, sebagian besar menargetkan website yang belum diperbarui.

Serangan Meningkat Drastis: 48.400 Upaya Eksploitasi Terdeteksi

Sejak kerentanan ini dipublikasikan pada akhir Oktober 2025, jumlah serangan meningkat tajam.

Wordfence mencatat:

  • 48.400 upaya eksploitasi telah diblokir
  • 75 upaya eksploitasi terjadi hanya dalam 24 jam terakhir
  • Serangan berasal dari beberapa IP berikut:
    • 45.61.157.120
    • 182.8.226.228
    • 138.199.21.230
    • 206.238.221.25
    • 2602:fa59:3:424::1

Wordfence memperkirakan serangan aktif mulai muncul sekitar 31 Oktober 2025, dan meningkat menjadi serangan massal pada 9 November 2025.

Serangan dilakukan secara otomatis dan sistematis, menargetkan situs yang belum memperbarui plugin King Addons. Begitu mendapatkan akses admin, peretas dapat:

  • mengunggah file berbahaya,
  • menyisipkan malware,
  • mengalihkan pengunjung ke situs penipuan,
  • menyebarkan spam,
  • sampai sepenuhnya mengambil kendali atas situs web.

Imbauan untuk Administrator WordPress

Pengelola situs WordPress sangat disarankan melakukan langkah-langkah berikut:

1. Segera perbarui plugin King Addons ke versi terbaru. Pastikan versi plugin minimal 51.1.35 atau lebih baru.

2. Audit akun administratif. Periksa apakah ada akun admin asing atau baru.

3. Pantau aktivitas mencurigakan dengan tanda-tandanya meliputi:

  • perubahan tampilan situs,

  • file asing dalam direktori wp-content,

  • lalu lintas web yang tiba-tiba meningkat atau turun drastis,

  • redirect otomatis ke situs lain.

4. Gunakan firewall keamanan WordPress. Solusi seperti Wordfence atau Sucuri dapat membantu menghentikan upaya eksploitasi sebelum berhasil.

5. Ganti password admin dengan yang lebih kuat. Gunakan kombinasi huruf besar, kecil, angka, dan simbol.

Celah keamanan di plugin King Addons for Elementor menjadi pengingat pentingnya pembaruan rutin dalam ekosistem WordPress. Dengan lebih dari sepuluh ribu situs memakai plugin ini, dampak kerentanan bisa sangat besar, terutama karena penyerang dapat langsung menciptakan akun admin tanpa hambatan.

Administrator situs sebaiknya segera memperbarui plugin, memeriksa keamanan website, dan memperketat sistem pertahanan agar tidak menjadi korban berikutnya dari gelombang eksploitasi yang masih berlangsung.

News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Download Film

Gaming center adalah sebuah tempat atau fasilitas yang menyediakan berbagai perangkat dan layanan untuk bermain video game, baik di PC, konsol, maupun mesin arcade. Gaming center ini bisa dikunjungi oleh siapa saja yang ingin bermain game secara individu atau bersama teman-teman. Beberapa gaming center juga sering digunakan sebagai lokasi turnamen game atau esports.

Kiriman serupa