Ancaman Baru bagi Situs WordPress: Bug Gravity SMTP Dieksploitasi untuk Curang Kredensial Email

Sejak awal Juni 2025, ribuan situs WordPress tiba-tiba mengalami lonjakan aktivitas aneh di server mereka. Permintaan anonim berulang ke jalur tak terduga—khususnya endpoint REST yang seharusnya dilindungi—membanjiri log akses. Ternyata, celah keamanan bernama CVE-2026-4020 di plugin Gravity SMTP tengah dieksploitasi secara masif. Meski mendapat peringkat “medium” dari otoritas keamanan, bug ini ternyata menjadi pintu masuk yang mudah bagi penyerang untuk mencuri kredensial layanan email, memetakan tumpukan perangkat lunak situs, dan merencanakan serangan lebih lanjut. Dengan 100.000 instalasi aktif dan lebih dari 17 juta upaya serangan terblokir dalam hitungan minggu, ancaman ini tidak bisa dianggap remeh.

Celah ini terletak pada cara plugin Gravity SMTP menangani izin akses terhadap sistem laporan internalnya. Plugin ini menyediakan endpoint REST /wp-json/gravitysmtp/v1/tests/mock-data yang—karena kesalahan konfigurasi pada permission_callback—selalu mengembalikan nilai true. Artinya, siapa pun, tanpa perlu login atau memiliki hak istimewa, dapat mengirim permintaan GET dan menerima balasan berupa “System Report” dalam format JSON. Laporan ini berisi informasi sensitif seperti konfigurasi email, API key pihak ketiga yang masih aktif, daftar plugin dan tema yang terpasang, serta versi perangkat lunak yang digunakan. Data ini, meski tidak langsung mengeksekusi kode berbahaya, ibarat peta harta karun bagi penyerang. Mereka bisa menggunakan kredensial email yang bocor untuk mengirim spam, phishing, atau bahkan memalsukan identitas pemilik situs. Lebih jauh, informasi sistem yang terpapar memungkinkan mereka mengidentifikasi kerentanan lain yang mungkin ada di lingkungan WordPress tersebut.

Lonjakan aktivitas serangan tercatat mencapai puncaknya pada 7 Juni 2025, dengan lebih dari 4 juta upaya eksploitasi terblokir dalam sehari. Aktivitas serupa terus berlanjut selama beberapa hari berikutnya. Menurut data dari Wordfence—perusahaan keamanan yang memantau lalu lintas WordPress—sejumlah alamat IP teridentifikasi sebagai sumber utama serangan. Administrator situs disarankan untuk segera memblokir IP-IP tersebut melalui firewall server atau plugin keamanan. Salah satu indikator kompromi yang paling jelas adalah adanya permintaan ke jalur /wp-json/gravitysmtp/v1/tests/mock-data dengan parameter ?page=gravitysmtp-settings dalam log akses web server. Jika ditemukan jejak ini, kemungkinan besar situs telah menjadi sasaran atau bahkan sudah dikompromikan.

Bagaimana Bug CVE-2026-4020 Terjadi dan Mengapa Serius?

Bug ini berawal dari desain yang terlalu permisif dalam plugin Gravity SMTP. Saat mengembangkan endpoint REST untuk mengirimkan data uji internal, pengembang menggunakan permission_callback yang tidak memeriksa otorisasi pengguna. Alih-alih memastikan hanya pengguna terautentikasi yang dapat mengakses data, fungsi tersebut secara default mengembalikan true, sehingga membuka akses bagi siapa saja. Kondisi ini dikenal sebagai “information disclosure” atau kebocoran informasi tanpa perlu autentikasi. Meskipun dampaknya tidak langsung merusak integritas sistem, informasi yang bocor—seperti kredensial layanan email—dapat dimanfaatkan untuk serangan lebih lanjut.

Yang membuatnya berbahaya adalah sifatnya yang “tanpa autentikasi”. Artinya, penyerang tidak perlu mencuri password atau mengeksploitasi kerentanan lain untuk masuk. Mereka cukup mengirimkan permintaan HTTP GET ke endpoint yang salah konfigurasi tersebut, dan sistem akan dengan senang hati mengembalikan data sensitif. Laporan sistem yang dihasilkan sering kali mencakup konfigurasi SMTP, API key dari layanan email seperti SendGrid atau Mailgun, serta daftar plugin dan tema yang terpasang. Dengan informasi ini, penyerang dapat melakukan serangan berjenjang: mulai dari pengiriman email palsu atas nama situs korban, hingga pencarian kerentanan spesifik pada plugin atau tema yang digunakan.

Selain itu, informasi sistem yang terpapar juga memudahkan penyerang untuk melakukan reconnaissance atau pengintaian sebelum melancarkan serangan yang lebih serius. Mereka dapat mengetahui versi plugin tertentu yang rentan terhadap CVE lain, atau mencari tahu apakah situs menggunakan sistem manajemen konten yang sudah kadaluwarsa. Dalam konteks serangan siber modern, tahap pengintaian ini sering kali menjadi kunci keberhasilan eksploitasi selanjutnya. Dengan kata lain, meski CVE-2026-4020 hanya diberi peringkat “medium”, dampaknya bisa jauh lebih luas jika digabungkan dengan serangan lain.

Dampak Nyata: Dari Pencurian Kredensial hingga Serangan Lanjutan

Salah satu dampak paling langsung dari eksploitasi bug ini adalah pencurian kredensial layanan email. Banyak situs WordPress yang menggunakan Gravity SMTP untuk mengirim email transaksional—seperti konfirmasi pendaftaran, notifikasi pembelian, atau pemberitahuan akun—terhubung dengan layanan pihak ketiga seperti SendGrid, Mailgun, atau Amazon SES. Ketika kredensial ini bocor, penyerang dapat memanfaatkannya untuk mengirimkan jutaan email spam atau phishing atas nama situs korban. Email palsu ini kemudian dapat digunakan untuk menipu pengunjung situs, mencuri data pribadi, atau bahkan menyebarkan malware.

Lebih jauh, informasi sistem yang bocor juga memungkinkan penyerang untuk melakukan serangan berjenjang. Misalnya, jika laporan sistem menunjukkan bahwa situs menggunakan plugin tertentu yang memiliki kerentanan kritis, penyerang dapat langsung menargetkan kerentanan tersebut. Dalam beberapa kasus, mereka bahkan dapat memalsukan identitas pemilik situs untuk melakukan tindakan berbahaya, seperti mengubah konten situs, menambahkan backdoor, atau mencuri data pengguna. Bayangkan dampaknya jika situs tersebut adalah toko online atau platform keuangan—kerugian reputasi dan finansial bisa sangat besar.

Selain itu, eksploitasi massal terhadap bug ini juga berpotensi menimbulkan dampak yang lebih luas bagi ekosistem WordPress. Jika banyak situs dikompromikan secara bersamaan, hal ini dapat memicu penurunan kepercayaan pengguna terhadap platform WordPress. Administrator situs yang menjadi korban juga mungkin akan menghadapi tuntutan hukum atau denda jika data pengguna bocor akibat eksploitasi ini. Dalam jangka panjang, insiden semacam ini dapat mendorong perubahan dalam praktik keamanan WordPress, seperti peningkatan pengujian keamanan pada plugin sebelum dirilis atau penerapan mekanisme autentikasi yang lebih ketat pada endpoint REST.

Langkah-Langkah Darurat: Bagaimana Menghentikan Eksploitasi dan Memulihkan Situs

Bagi administrator situs WordPress yang menggunakan plugin Gravity SMTP, langkah pertama yang harus dilakukan adalah memperbarui plugin ke versi terbaru, yaitu 2.1.5 atau yang lebih baru. Pembaruan ini secara resmi dirilis pada 17 Maret 2025 dan mencakup perbaikan untuk bug CVE-2026-4020. Dengan melakukan pembaruan, endpoint REST yang salah konfigurasi akan ditutup, dan akses tak terautentikasi ke sistem laporan akan dicegah. Jika pembaruan tidak memungkinkan—misalnya karena alasan kompatibilitas—maka solusi sementara adalah menonaktifkan endpoint REST tersebut secara manual melalui file .htaccess atau dengan menggunakan plugin keamanan.

Administrator juga disarankan untuk segera memeriksa log akses web server mereka. Salah satu indikator kompromi yang paling jelas adalah adanya permintaan ke jalur /wp-json/gravitysmtp/v1/tests/mock-data dengan parameter ?page=gravitysmtp-settings. Jika jejak ini ditemukan, situs mungkin telah menjadi sasaran serangan. Selain itu, administrator juga harus memeriksa apakah ada aktivitas mencurigakan di akun email yang terhubung dengan situs, seperti pengiriman email dalam jumlah besar yang tidak biasa. Jika ditemukan tanda-tanda kompromi, langkah-langkah pemulihan seperti memutar ulang kredensial email, memindai malware, dan memperbarui semua password yang terkait harus segera dilakukan.

Langkah selanjutnya adalah memblokir alamat IP yang teridentifikasi sebagai sumber utama eksploitasi. Menurut data dari Wordfence, sejumlah alamat IP telah tercatat sebagai sumber serangan yang paling aktif. Administrator dapat menambahkan IP-IP ini ke dalam daftar blokir firewall server atau plugin keamanan seperti Wordfence, Sucuri, atau iThemes Security. Selain itu, administrator juga disarankan untuk memeriksa apakah ada perubahan yang tidak sah pada file inti WordPress, plugin, atau tema. Jika ditemukan file yang mencurigakan, file tersebut harus segera dihapus atau dipulihkan dari cadangan yang aman.

Ancaman Ganda: WordPress dan Risiko Plugin yang Tidak Terkelola

Insiden ini menyoroti risiko besar yang dihadapi oleh ekosistem WordPress akibat penggunaan plugin yang tidak terkelola dengan baik. WordPress, sebagai platform manajemen konten paling populer di dunia, memiliki ribuan plugin yang dikembangkan oleh berbagai pihak—tidak semuanya memiliki standar keamanan yang sama. Ketika sebuah plugin memiliki celah keamanan, dampaknya bisa sangat luas karena plugin tersebut digunakan oleh ribuan atau bahkan jutaan situs. Selain Gravity SMTP, baru-baru ini juga ditemukan kerentanan kritis pada plugin Avada Builder yang digunakan oleh satu juta situs, yaitu CVE-2026-871. Kerentanan ini memungkinkan penghapusan file secara sewenang-wenang tanpa autentikasi, yang dapat menyebabkan kerusakan parah pada situs.

Masalah ini diperparah oleh fakta bahwa banyak administrator situs tidak selalu memperbarui plugin mereka secara rutin. Alasannya beragam: khawatir akan ketidakcocokan dengan tema atau plugin lain, tidak mengetahui adanya pembaruan, atau bahkan karena ketidaktahuan akan pentingnya pembaruan keamanan. Padahal, pembaruan rutin adalah salah satu cara paling efektif untuk mencegah eksploitasi celah keamanan. Selain itu, banyak situs juga tidak memiliki sistem pemantauan atau pencadangan yang memadai, sehingga jika terjadi kompromi, pemulihan bisa menjadi sangat sulit.

Untuk mengurangi risiko ini, administrator situs disarankan untuk menerapkan praktik keamanan yang lebih ketat. Pertama, pastikan semua plugin, tema, dan inti WordPress selalu diperbarui ke versi terbaru. Kedua, gunakan plugin keamanan yang dapat memindai kerentanan dan memblokir upaya eksploitasi secara otomatis. Ketiga, terapkan prinsip least privilege, yaitu hanya memberikan hak akses yang diperlukan bagi setiap pengguna dan plugin. Terakhir, lakukan pencadangan rutin terhadap situs dan basis data, sehingga jika terjadi kompromi, situs dapat dipulihkan dengan cepat.

Masa Depan Keamanan WordPress: Antara Inovasi dan Risiko

Insiden Gravity SMTP dan Avada Builder menunjukkan bahwa ancaman terhadap WordPress terus berkembang, tidak hanya dari serangan eksternal tetapi juga dari desain dan pengelolaan plugin yang kurang hati-hati. Meskipun WordPress sendiri memiliki sistem pembaruan otomatis, banyak administrator yang memilih untuk menonaktifkannya karena alasan stabilitas. Hal ini menciptakan celah yang dimanfaatkan oleh penyerang. Di sisi lain, perkembangan teknologi seperti AI dan otomatisasi juga membuka peluang baru untuk meningkatkan keamanan WordPress, misalnya dengan menggunakan AI untuk mendeteksi aktivitas mencurigakan atau memprediksi kerentanan sebelum dieksploitasi.

Namun, tantangan terbesar tetap pada pengelolaan plugin. WordPress memiliki lebih dari 60.000 plugin, dan tidak semuanya dikelola dengan standar keamanan yang sama. Beberapa plugin bahkan dikembangkan oleh pengembang independen yang mungkin tidak memiliki sumber daya untuk melakukan audit keamanan secara berkala. Untuk mengatasi hal ini, komunitas WordPress dan perusahaan keamanan perlu bekerja sama untuk meningkatkan standar pengembangan plugin, misalnya dengan mewajibkan audit keamanan sebelum plugin dirilis atau dengan menerapkan sertifikasi keamanan bagi plugin yang memenuhi kriteria tertentu.

Selain itu, administrator situs juga perlu lebih sadar akan risiko yang dihadapi. Banyak dari mereka yang masih menganggap keamanan sebagai sesuatu yang opsional, padahal dampaknya bisa sangat besar. Dengan meningkatnya ancaman eksploitasi massal seperti yang terjadi pada Gravity SMTP, kesadaran akan pentingnya keamanan WordPress harus menjadi prioritas utama. Ini termasuk tidak hanya pembaruan rutin, tetapi juga pemantauan aktivitas, pencadangan data, dan penerapan praktik keamanan yang ketat.

Apa yang Harus Dilakukan Administrator dan Pengguna WordPress Sekarang?

Bagi administrator situs WordPress, langkah pertama adalah memeriksa apakah situs mereka menggunakan plugin Gravity SMTP. Jika ya, segera perbarui plugin ke versi 2.1.5 atau yang lebih baru. Jika pembaruan tidak memungkinkan, nonaktifkan plugin tersebut sementara dan cari alternatif yang lebih aman. Selanjutnya, periksa log akses web server untuk mencari indikator kompromi, seperti permintaan ke endpoint yang salah konfigurasi. Jika ditemukan aktivitas mencurigakan, segera lakukan pemindaian malware dan perbarui semua kredensial yang terkait.

Bagi pengguna WordPress yang tidak memiliki akses administratif, langkah terbaik adalah memastikan bahwa situs yang mereka kelola atau kunjungi menerapkan praktik keamanan yang baik. Ini termasuk pembaruan rutin, penggunaan plugin keamanan, dan pemantauan aktivitas mencurigakan. Jika Anda adalah pengembang plugin atau tema, pastikan untuk selalu menerapkan praktik keamanan terbaik, seperti memvalidasi input pengguna, membatasi akses endpoint REST, dan melakukan audit keamanan secara berkala.

Bagi komunitas WordPress secara keseluruhan, insiden ini harus menjadi pengingat akan pentingnya kolaborasi dalam meningkatkan keamanan. WordPress tidak bisa lagi dianggap sebagai platform yang aman secara default—setiap plugin dan tema memiliki potensi risiko. Oleh karena itu, setiap pihak, mulai dari pengembang, administrator, hingga pengguna, harus mengambil peran aktif dalam menjaga keamanan ekosistem WordPress.

Kesimpulan: Keamanan WordPress Adalah Tanggung Jawab Bersama

Bug CVE-2026-4020 di plugin Gravity SMTP adalah contoh nyata betapa rentannya ekosistem WordPress terhadap eksploitasi massal. Meskipun bug ini hanya diberi peringkat “medium”, dampaknya bisa sangat luas jika tidak ditangani dengan serius. Dari pencurian kredensial email hingga serangan berjenjang, ancaman ini menunjukkan bahwa keamanan WordPress bukanlah sesuatu yang bisa dianggap remeh.

Untuk administrator situs, langkah-langkah pencegahan seperti pembaruan rutin, pemantauan aktivitas, dan penerapan praktik keamanan yang ketat adalah kunci untuk melindungi situs dari eksploitasi. Bagi komunitas WordPress, insiden ini harus menjadi dorongan untuk meningkatkan standar pengembangan plugin dan kesadaran akan pentingnya keamanan. Pada akhirnya, keamanan WordPress adalah tanggung jawab bersama—setiap pihak memiliki peran untuk memastikan bahwa platform ini tetap aman dan dapat diandalkan bagi jutaan pengguna di seluruh dunia.