Daftar praktik buruk CISA yang membahayakan keamanan WordPress

CISA, yang merupakan singkatan dari Cybersecurity & Infrastructure Security Agency, adalah agen federal AS yang beroperasi di bawah Departemen Keamanan Dalam Negeri. Didirikan pada tahun 2018, ia menggantikan NPPD – Direktorat Perlindungan dan Program Nasional dan ditugaskan untuk meningkatkan keamanan siber terhadap serangan yang berasal dari peretas yang didukung oleh swasta dan negara.

CISA melakukan banyak pekerjaan untuk membantu memastikan keselamatan dan keamanan infrastruktur dan sistem penting. Untuk tujuan ini, ia menerbitkan beberapa panduan dan daftar untuk membantu entitas pemerintah dan bisnis swasta menjaga praktik keamanan yang baik dan tetap aman saat online. Anda dapat dengan mudah menerapkan panduan CISA ke situs WordPress pribadi atau bisnis Anda untuk keamanan yang sesuai dengan standar CISA.

Salah satu sumber daya yang disediakan CISA untuk publik adalah katalog praktik buruknya. Meskipun katalog ini masih dalam proses – dan akan selalu karena sifat ancaman yang dinamis dan terus berkembang – katalog ini memberi kita wawasan yang sangat berharga tentang apa yang dianggap CISA sebagai praktik yang benar-benar buruk.

Keamanan CISA dan WordPress

Praktik buruk CISA sering terjadi di lingkungan WordPress, membuat daftar ini semakin relevan bagi administrator WordPress dan pemilik situs web. Untungnya, menghilangkan praktik buruk ini mudah dan dapat dilakukan dalam waktu singkat.

Jika Anda ingin meningkatkan keamanan Anda ke tingkat berikutnya, lihat panduan keamanan WordPress untuk daftar lengkap dan terperinci dari semua yang dapat Anda lakukan untuk memastikan situs web Anda aman.
Agensi juga telah membuka halaman GitHub di mana administrator dan profesional TI lainnya dapat memberikan pendapat mereka tentang praktik buruk untuk dimasukkan dalam katalog.

Risiko 1: Menggunakan perangkat lunak yang tidak didukung

Selalu, perangkat lunak dilengkapi dengan bug – yang merupakan salah satu alasan mengapa pengembang merilis pembaruan. Pembaruan tidak hanya mengatasi bug dan lubang keamanan tetapi juga menambahkan fitur dan peningkatan baru. Menginstal pembaruan ini sesegera mungkin sangat penting untuk menjaga keamanan infrastruktur Anda.

Perangkat lunak yang tidak didukung, seperti versi lama, perangkat lunak yang telah habis masa pakainya, dan plugin yang dibatalkan, tidak menerima pembaruan, membuatnya sangat berbahaya karena dapat menimbulkan kerentanan yang diketahui ke lingkungan Anda.
Penyerang dapat mengeksploitasi kerentanan ini untuk mendapatkan akses tidak sah ke sistem Anda. Pada gilirannya, ini memungkinkan mereka untuk mencuri data Anda, menurunkan situs web Anda, dan melakukan sejumlah aktivitas jahat lainnya.

Larutan

Menginstal pembaruan sesegera mungkin dapat secara signifikan meminimalkan risiko yang terkait dengan lubang keamanan dan bug. Sama halnya, Anda ingin memastikan bahwa pemasok dan pengembang yang Anda pilih responsif dan sering mengeluarkan pembaruan (dan tidak setahun sekali).

Saat memilih plugin, lihat riwayat versi untuk melihat seberapa sering pembaruan dirilis. Pembaruan harian bukanlah pertanda baik; namun, pembaruan tahunan juga dapat menunjukkan ada yang tidak beres. Anda mungkin juga ingin memeriksa komentar pengguna untuk melihat seberapa responsif pengembang terhadap pertanyaan pengguna.

Risiko 2: Kata sandi buruk

Kata sandi yang buruk termasuk kata sandi default, kata sandi daur ulang, kata sandi yang sebelumnya telah bocor, dan kata sandi yang lemah. Kata sandi yang buruk bisa sangat mudah diretas, memberi penyerang rute yang mudah ke sistem Anda. Berbagi kata sandi adalah praktik buruk lain yang sering terjadi di lingkungan WordPress dan di luarnya. Kata sandi bersama sangat meningkatkan risiko kata sandi bocor dan mempersulit pelacakan masalah dan meminta pertanggungjawaban tim.

Larutan

Kebijakan kata sandi WordPress yang kuat sangat membantu Anda mengeluarkan kata sandi yang buruk. WPassword adalah plugin WordPress yang menawarkan kontrol granular kepada administrator tentang bagaimana pengguna mengatur kebijakan kata sandi mereka, memastikan kata sandi yang aman dan efektif digunakan.

Risiko 3: Otentikasi satu faktor

Otentikasi faktor tunggal adalah risiko ketiga dan terakhir yang masuk ke katalog praktik buruk CISA. Dalam pengaturan autentikasi satu faktor, pengguna dapat masuk hanya dengan nama pengguna dan kata sandi mereka. Di lingkungan Two-Factor Authentication (2FA) atau MFA, pengguna harus mengautentikasi melalui metode kedua (atau lebih).

Otentikasi satu faktor bisa sangat bermasalah jika kata sandi bocor, dan sementara kebijakan kata sandi yang baik sangat membantu dalam meminimalkan risiko, faktor otentikasi sekunder sangat meningkatkan keamanan keseluruhan situs WordPress Anda.

2FA dengan cepat menjadi standar emas untuk otentikasi. Meskipun premisnya cukup sederhana, ia dapat menghentikan sebagian besar serangan paling umum di jalurnya. Ini menjadikannya favorit di antara raksasa industri, penghobi, dan semua orang di antaranya.

Larutan

WordPress tidak menawarkan 2FA langsung dari kotak. Namun, menerapkan 2FA di situs WordPress Anda mudah, berkat WP 2FA. Plugin WordPress 2FA ini hadir dengan lebih banyak opsi daripada yang bisa Anda lakukan, memastikan semua pengguna Anda dapat memanfaatkan 2FA untuk WordPress yang lebih aman.

Rencana tindakan keamanan WordPress untuk menghilangkan praktik buruk

Kebiasaan buruk seperti kebiasaan buruk. Mereka harus terus diperiksa dari waktu ke waktu untuk memastikan tidak ada yang jatuh melalui celah-celah. Inilah sebabnya mengapa keamanan WordPress adalah proses berulang; salah satu yang harus sering kita perhatikan untuk memastikan bahwa kita mengikuti praktik terbaik setiap saat.

Meskipun tidak diragukan lagi ada praktik buruk lain yang tidak masuk daftar CISA, apa yang mereka tawarkan adalah titik awal yang baik. Untuk rekap,

1. Instal pembaruan segera setelah tersedia. Jika Anda khawatir tentang pembaruan yang merusak situs Anda, instal lingkungan staging untuk menguji pembaruan sebelum meluncurkannya ke lingkungan langsung.
2. Terapkan kebijakan kata sandi WordPress yang kuat menggunakan WPassword untuk menyingkirkan kata sandi yang lemah dari lingkungan Anda. Dorong pengguna untuk menggunakan pengelola kata sandi untuk mengurangi panggilan dukungan untuk kata sandi yang terlupakan yang terlalu rumit.
3. Aktifkan dan gunakan kebijakan untuk mewajibkan otentikasi dua faktor WordPress pada semua pengguna. Gunakan WP 2FA untuk memanfaatkan banyak fiturnya, yang mencakup integrasi Authy, masa tenggang, dan pelabelan putih, di antara banyak lainnya.

Meskipun daftar CISA merupakan titik awal yang baik, mengamankan situs WordPress Anda memerlukan pendekatan yang lebih komprehensif. Dari memastikan kata sandi yang kuat hingga pengerasan WordPress, ada banyak hal yang dapat Anda lakukan sendiri dengan mengikuti panduan WP White Security untuk keamanan WordPress yang luar biasa.

PS Kami merekomendasikan untuk menyiapkan lingkungan pengujian WordPress jika Anda memiliki pengalaman terbatas dalam mengamankan situs web WordPress.