Apakah Situs WordPress Anda Aman? Apakah Situs Web WordPress Rentan?

Dua atau tiga dekade lalu, perampokan hanya sebatas membobol dan masuk untuk mencuri uang atau barang berharga seseorang. Akan pembuat kerusakan dan perampok hari ini, mengambil bentuk hacker. Siapapun yang menemukan dan mengeksploitasi kerentanan dalam perangkat lunak untuk tujuan keuntungan pribadi atau untuk alasan politik.

Sebelum saya mulai, Anda harus tahu artikel ini tidak membahas seluk beluk keamanan WP melainkan membahas penyebab kerentanan WordPress. Jika bukan itu yang Anda cari, saya sarankan Anda membaca – “Meningkatkan Keamanan WordPress – Panduan Lengkap Untuk Mengamankan Situs WordPress“. Meskipun, saya harus menyatakan bahwa memahami sifat kerentanan WP di masa lalu, memberikan wawasan yang bagus tentang bagaimana Anda dapat memastikan protokol keamanan situs web Anda.

Mengapa orang membobol situs web dan pusat data? Membobol situs web yang menyimpan informasi klien, ID email, nomor kartu kredit, dll lebih menguntungkan daripada merampok bank. Jika Anda menjalankan situs web yang cukup berhasil, saya yakin ratusan, bahkan ribuan upaya untuk mendapatkan akses ke informasi situs web Anda telah dilakukan.

Baru-baru ini, AshleyMadison.com diretas dan rincian 37 juta pengguna telah dicuri. Para peretas telah menuntut agar situs tersebut ditutup, jika gagal mereka akan merilis rincian informasi pengguna yang dicuri termasuk fantasi seksual. Ini memberi Anda gambaran tentang jenis kehancuran yang dapat disebabkan oleh peretas hanya dengan mendapatkan akses ke informasi.

Keamanan web adalah topik yang sangat penting dan semakin relevan mengingat jumlah situs web yang bermunculan untuk mengumpulkan informasi pribadi penggunanya.

Sebanyak 65% dari web berjalan dengan WordPress sebagai Sistem Manajemen Konten, jadi hari ini saya akan membahas keamanan WordPress dan bagaimana situs WP telah ditargetkan atau diretas di masa lalu.

Mengapa Berinvestasi Dalam Praktik Keamanan yang Baik?

• Anda berutang kepada pelanggan dan klien Anda yang mempercayai Anda dengan informasi pribadi yang sensitif untuk menjaganya tetap aman.
• Situs Anda diretas – Anda kehilangan uang.
• Situs Anda diretas – Peringkat mesin pencari Anda hampir sekali jalan ke neraka.

Situs web WordPress diretas oleh ribuan, jika bukan ratusan ribu. Tidak setiap situs web melaporkan fakta bahwa mereka telah diretas di masa lalu. Ini bukan dukungan yang bagus untuk merek mereka seperti yang Anda duga.

Saya ingin menyoroti perlunya artikel tentang keamanan WordPress ini.

Menurut sebuah penelitian, seperti yang dibagikan oleh Sandro Gucci (Pendiri Enable Security).

• 73,2% dari instalasi WordPress paling populer rentan terhadap kerentanan yang dapat dideteksi menggunakan alat otomatis gratis.
• Hanya 7.814 website (18.55%) yang diupgrade ke WordPress 3.6.1, ini adalah WP versi terbaru saat pengujian dilakukan.
• 13.034 situs web (30,95%) masih menjalankan versi WordPress yang rentan, versi 3.6. WordPress 3.6 memiliki 5 kerentanan yang diketahui saat itu.

Dan jika Anda bertanya-tanya, nah ini hanya beberapa karakterisasi umum yang tidak adil dari situs web kecil yang tidak dikenal di suatu tempat di web gelap, Anda akan salah. Statistik tersebut dibuat berdasarkan studi terhadap sekitar 42.000 situs WordPress di situs Alexa's Top One Million. Itu adalah sejumlah besar situs web yang rentan untuk dianggap sebagai situs web yang paling banyak dikunjungi di web. Situs web ini mengumpulkan sejumlah besar informasi tentang pengunjung dan pelanggan mereka.

Statistik itu benar karena pada September 2013, saya tidak berpikir itu akan menyimpang jauh sejak itu dan bahkan jika demikian, statistik yang ditampilkan di sini menunjukkan skala masalah keamanan yang mengganggu WordPress.

Jika Anda ingin lebih banyak bukti yang membuktikan bahwa WordPress dapat disusupi. Saya merujuk Anda ke studi oleh Netcraft,

• Pada Februari 2014, ada 12.000 blog WordPress yang berfungsi sebagai platform untuk situs phishing.
• Lebih dari 8% dari semua URL malware yang diblokir oleh Netcraft untuk mendistribusikan malware yang dihosting web adalah blog WordPress.

Saya harus menunjukkan bahwa tidak satu pun dari blog itu dijalankan di Automattic wordpress.com. Ini harus cukup jelas menggambarkan bahwa bahkan WordPress, jika tidak digunakan dengan hati-hati dan beberapa pengetahuan tentang keamanan WP bisa rentan. Alasan lain untuk ini mungkin terkait dengan fakta bahwa semua blog yang dihosting di wordpress.com diperbarui segera setelah pembaruan WordPress dirilis. Perlu dicatat sejak saat itu pembaruan WordPress otomatis diperkenalkan di WP versi 3.7 untuk melindungi situs web dari eksploitasi zero day.

Dan bahkan setelah itu, ada sejumlah masalah keamanan yang mengganggu WordPress. Lihat daftar kerentanan WordPress ini di berbagai versi platform.

Sekarang tidak ada yang dapat Anda lakukan untuk mencegah hal ini terjadi, kerentanan baru hampir selalu ditemukan. Jelas, tim inti WP telah menangani keamanan dengan sangat serius dan membuat WordPress jauh lebih aman.

Tetapi seperti setiap perangkat lunak populer lainnya, mengeksploitasi kerentanan menjadi lebih menguntungkan ketika lebih banyak orang mulai menggunakannya.

Tidak percaya padaku? Jika Anda yakin bahwa entah bagaimana WordPress akan tiba-tiba menjadi bebas dari semua kerentanan, lihat grafik ini!

Sementara jumlah kerentanan telah menurun dari waktu ke waktu dari tertinggi pada tahun 2007 dan 2014, insentif untuk menemukan kerentanan baru dan eksploitasi terus meningkat mengingat meningkatnya profitabilitas karena meningkatnya popularitas WordPress.

WordPress mungkin aman di luar kotak, tetapi setelah menambahkan begitu banyak plugin/tema dan kode khusus, jumlah kerentanan mulai bertambah dengan sangat tergesa-gesa.

Meskipun demikian, kami dapat membuat perubahan kecil pada WordPress Anda, untuk membuatnya jauh lebih aman. Pertama kita perlu memiliki pemahaman menyeluruh tentang keamanan WordPress, ini sangat membantu dalam mencari tahu penyebab kegagalan dalam keamanan.

Anda mungkin terkejut mengetahui bahwa, sangat jarang terjadi bahwa platform inti WP salah dalam kasus pelanggaran keamanan. Jauh lebih mungkin bahwa sesuatu yang Anda tambahkan ke WP Anda, menciptakan kerentanan yang mungkin dieksploitasi oleh peretas.

Bagaimana Situs WordPress Dikompromikan?

Kesulitan dengan memastikan keamanan lengkap adalah, tidak ada hal seperti itu.

Dengan asumsi WordPress Anda sepenuhnya aman, Anda masih memiliki Apache, klien FTP, MySQL, dan perangkat lunak apa pun yang berjalan di server Anda yang harus Anda khawatirkan. Situs web Anda hanya seaman tautan terlemahnya. Dan itu termasuk kualitas perangkat lunak host Anda, tema dan plugin yang dioperasikan situs web Anda.

Saya berharap saya memiliki statistik terbaru yang dapat saya tunjukkan kepada Anda juga, tetapi penelitian ini disajikan sebagai infografis di blog WpWhiteSecurity memberikan banyak wawasan tentang bagaimana situs web WordPress diretas dan apa yang membuatnya rentan.

Studi ini dilakukan berdasarkan informasi dari 170.000 situs web yang diretas pada tahun 2012. Jumlah peretasan meningkat 18% dari tahun sebelumnya (2012), lucunya jumlah kerentanan tidak meningkat dengan persentase yang sama. Tetapi bahkan sedikit peningkatan kerentanan memengaruhi lebih banyak situs web, karena peningkatan penggunaan produk berbasis WordPress dan WordPress.

• 41% WordPress yang diretas diretas melalui kerentanan keamanan di platform hosting mereka.
• 29% diretas melalui masalah keamanan di Tema WordPress yang mereka gunakan.
• 22% diretas melalui masalah keamanan di Plugin WordPress yang mereka gunakan.
• 8% diretas karena mereka memiliki kata sandi yang lemah.
• Dari penjelasan di atas, kita dapat menyimpulkan bahwa lebih dari 51% situs WordPress yang diretas diretas melalui kerentanan pada tema atau plugin WordPress yang mereka gunakan.

Sebagian besar peretasan terjadi sebagai akibat dari pemasangan perangkat lunak dalam bentuk plugin, tema, dan karena penyedia layanan hosting web gagal meningkatkan keamanan di ujung server secara memadai.

Tidak ada gunanya membahas langkah-langkah untuk melindungi situs web Anda, sebelum membahas opsi bagus apa saja yang Anda miliki dalam hal keamanan dalam hal hosting, tema, dan plugin. Dan saya pasti akan membahas bagaimana Anda dapat menemukan perangkat lunak pihak ketiga yang baik dan hosting yang aman untuk situs web Anda, sebelum saya mulai merekomendasikan langkah-langkah keamanan khusus untuk memperkuat keamanan WP.

Kesimpulan

Situs web WordPress jarang rentan karena kesalahan dalam kode inti dari sistem manajemen konten. Tetapi sebuah situs web tidak beroperasi hanya berdasarkan sistem manajemen konten, itu membutuhkan host web untuk meng-host CMS di web, tema untuk membuatnya mewah dan plugin untuk menambahkan fungsi yang diperlukan. Sekarang menambahkan beberapa lapisan perangkat lunak pihak ketiga ke instalasi WordPress Anda mulai membuat keamanan Anda sedikit keropos, jika tidak dilakukan dengan benar.

Inti WordPress Anda, plugin & tema, dan host web perlu berkomunikasi agar situs WordPress Anda tetap berjalan. Interaksi ini terkadang memiliki kekurangan dan membuat situs web rentan.

Tentu 8% situs web dapat disusupi karena kata sandi yang lemah tetapi ada banyak sekali bukti yang menunjukkan bahwa menambahkan plugin/tema yang ditulis dengan buruk atau host web yang berjalan pada perangkat lunak usang adalah penyebab utama sebagian besar dari semua situs web WordPress diretas atau dimatikan.

Sekarang kami telah menetapkan beberapa kejelasan sehubungan dengan penyebab kerentanan WordPress, sebagai bagian dari posting berikutnya dalam seri Keamanan WP, saya akan membahas langkah-langkah yang perlu Anda ambil untuk meningkatkan keamanan WordPress Anda.

Jika situs WordPress Anda pernah diretas atau menjadi korban serangan DDOS, silakan bagikan detailnya. Baik Aigars atau saya akan mencoba untuk memperbaiki masalah, jika itu dalam kekuatan kita. Bersulang