Sorotan Fitur iThemes Security Pro – Manajemen Versi

Diterbitkan: 2021-04-13

Dalam posting Sorotan Fitur, kami menyoroti fitur di iThemes Security Pro dan berbagi sedikit tentang mengapa kami mengembangkan fitur tersebut, untuk siapa fitur tersebut, dan bagaimana menggunakan fitur tersebut.

Hari ini kita akan membahas Manajemen Versi, alat hebat yang membuat pengelolaan pembaruan WordPress atau tema dan plugin menjadi mudah.

Mengapa Kami Mengembangkan Manajemen Versi

Menjaga perangkat lunak diperbarui adalah bagian penting dari setiap strategi keamanan. Pembaruan tidak hanya untuk perbaikan bug dan fitur baru. Pembaruan juga dapat mencakup tambalan keamanan penting. Tanpa tambalan itu, Anda membiarkan ponsel, komputer, server, router, atau situs web Anda rentan terhadap serangan.

Patch Selasa

Patch Tuesday adalah istilah tidak resmi untuk merujuk pada bug reguler dan perbaikan keamanan yang dirilis Microsoft pada hari Selasa kedua setiap bulan. Sungguh fantastis bahwa Microsoft merilis perbaikan keamanan pada irama yang dapat diandalkan. Patch Tuesday juga merupakan hari di mana kerentanan keamanan yang ditambal Microsoft diungkapkan secara publik.

Lihat bagian Apa yang Diperbarui & Cara Mengotomatiskan Pembaruan Anda dari The Ultimate Guide to WordPress Security in 2020 ebook untuk mempelajari cara menerapkan pembaruan Patch Tuesday secara otomatis.

Eksploitasi Rabu

Pada hari Rabu setelah Patch Tuesday, adalah umum untuk melihat banyak penyerang mengeksploitasi kerentanan yang diketahui sebelumnya pada sistem yang sudah ketinggalan zaman dan belum ditambal. Jadi, hari Rabu setelah Patch Tuesday secara tidak resmi diciptakan sebagai Exploit Wednesday.

Mengapa Peretas Menargetkan Kerentanan yang Ditambal?

Peretas menargetkan kerentanan yang ditambal karena mereka tahu orang tidak memperbarui (termasuk plugin dan tema di situs web Anda). Merupakan standar industri untuk mengungkapkan kerentanan secara publik pada hari kerentanan tersebut ditambal. Setelah kerentanan diungkapkan kepada publik, kerentanan menjadi "kerentanan yang diketahui" untuk versi perangkat lunak yang sudah ketinggalan zaman dan belum ditambal. Perangkat lunak dengan kerentanan yang diketahui adalah sasaran empuk bagi peretas.

Peretas menyukai sasaran empuk, dan memiliki perangkat lunak dengan kerentanan yang diketahui seperti memberikan petunjuk langkah demi langkah kepada peretas untuk membobol situs web WordPress, server, komputer, atau perangkat lain yang terhubung ke internet.

Pengungkapan yang Bertanggung Jawab

Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

Dengan pengungkapan yang bertanggung jawab, laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkap akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan Zero Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal.

Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

Plugin & Tema Kedaluwarsa adalah Kerentanan WP #1

Sulit untuk melacak setiap kerentanan WordPress yang diungkapkan — kami melacak dan membagikannya di Roundup Kerentanan WordPress kami — dan membandingkan daftar itu dengan versi plugin dan tema yang telah Anda instal di situs web Anda. Namun, ini tidak menghentikan peretas WordPress untuk menargetkan plugin dan tema dengan kerentanan yang diketahui. Memiliki perangkat lunak dengan kerentanan yang diketahui terinstal di situs Anda memberi peretas cetak biru yang mereka butuhkan untuk mengambil alih situs web Anda.

Pemindaian Situs Pro Keamanan iThemes memeriksa situs web Anda untuk mengetahui kerentanan WordPress, plugin, dan tema dan menerapkan tambalan jika tersedia.

Pada akhir 2018, peretas secara aktif memanfaatkan eksploitasi di plugin Kepatuhan WP GDPR. Eksploitasi memungkinkan pengguna yang tidak sah — orang yang tidak masuk ke situs web — untuk mengubah pengaturan pendaftaran pengguna WP dan mengubah peran pengguna baru default dari pelanggan menjadi administrator. Untungnya, pengembang plugin Kepatuhan WP GDPR bertindak cepat dan merilis tambalan untuk kerentanan sehari setelah diungkapkan secara publik.

Namun, seperti halnya Exploit Wednesday, peretas menargetkan kerentanan meskipun patch telah dirilis. Dalam beberapa hari dan minggu setelah pengungkapan kerentanan Kepatuhan WP GDPR, kami menerima banyak laporan bahwa situs web WordPress diretas oleh penyerang yang mengeksploitasi kerentanan.

Memiliki plugin atau tema rentan yang tambalannya tersedia tetapi tidak diterapkan adalah penyebab nomor satu situs web WordPress yang diretas. INI SANGAT FRUSTRASI!!!!! Ini berarti bahwa sebagian besar peretasan WP dapat dicegah.

Sangat menyedihkan untuk memikirkan semua orang yang menghabiskan banyak uang untuk membersihkan situs web mereka, pendapatan yang hilang saat situs mereka tidak aktif, dan pendapatan masa depan yang hilang karena kehilangan kepercayaan pelanggan mereka. Itu membuatnya semakin menjengkelkan ketika Anda tahu semua penderitaan itu bisa dicegah dengan pembaruan sederhana.

Dengan Manajemen Versi, kami ingin memudahkan orang untuk mengelola pembaruan dan membantu mencegah mereka menggunakan versi perangkat lunak yang diketahui memiliki kerentanan.

Apa itu Manajemen Versi?

Fitur Manajemen Versi di iThemes Security Pro memungkinkan Anda memperbarui WordPress, plugin, dan tema secara otomatis.

Selain itu, Manajemen Versi juga memiliki opsi untuk mengeraskan situs web Anda ketika Anda menjalankan perangkat lunak yang sudah ketinggalan zaman dan memindai situs web lama.

Pembaruan Otomatis WP vs. Manajemen Versi

Saya tahu apa yang Anda pikirkan: “Bukankah WordPress memiliki opsi untuk memperbarui otomatis?” Ya, berkat penambahan pembaruan otomatis di WordPress 5.5, ini sekarang benar, tetapi fitur pembaruan otomatis di iThemes Security Pro jauh lebih kuat. Mari luangkan waktu sebentar untuk membandingkan pembaruan otomatis WP dan iThemes Security Pro.

Mari saya mulai dengan mengatakan bahwa menurut saya WordPress menambahkan pembaruan otomatis sangat bagus untuk masa depan WordPress. Komunitas WordPress yang mengadopsi pembaruan otomatis berarti lebih sedikit situs web yang akan diretas. Lebih sedikit situs web yang diretas akan menyebabkan lebih sedikit orang yang memiliki persepsi salah bahwa WordPress adalah platform yang tidak aman.

Pembaruan otomatis juga akan menyebabkan pengembang plugin dan tema mendorong rilis yang lebih baik. Jika kami tahu bahwa pelanggan kami mengandalkan pembaruan otomatis, kami akan memastikan rilis kami tidak memerlukan serangkaian rilis lanjutan untuk memperbaiki bug yang diperkenalkan dengan rilis awal. Ini akan membantu mengubah persepsi bahwa WordPress membutuhkan lebih banyak perawatan manual dibandingkan platform lain.

Berikut adalah tiga cara iThemes Security Pro Version Management menawarkan lebih banyak fleksibilitas dibandingkan dengan pembaruan otomatis WordPress default.

Plugin dan manajemen tema yang disederhanakan – kelola semua pembaruan plugin dan tema Anda dari pengaturan manajemen versi.
Tambahkan periode penundaan khusus untuk pembaruan plugin dan tema – Pembaruan otomatis WordPress hanya menawarkan opsi untuk segera menerapkan pembaruan. Penjadwal pembaruan memungkinkan Anda membuat penundaan khusus. Menunda bisa menjadi pilihan yang baik untuk plugin atau tema yang cenderung membutuhkan beberapa rilis lanjutan untuk memperbaiki masalah setelah rilis besar.
Hanya Terapkan Pembaruan yang Memperbaiki Kerentanan yang Diketahui – hanya terapkan pembaruan yang memperbaiki kerentanan yang diketahui. Opsi ini sangat cocok jika Anda ingin menjalankan semua pembaruan secara manual tetapi ingin segera menerima patch keamanan.

Pembaruan Otomatis WordPress

WordPress menawarkan dua opsi untuk pembaruan otomatis plugin dan tema, Hidup atau Mati. Anda akan mengaktifkan pembaruan otomatis plugin di halaman Plugin WordPress.

Opsi pembaruan otomatis tema agak tersembunyi di halaman detail tema.

Pembaruan Otomatis Manajemen Versi

Penjadwal pembaruan Manajemen Versi memiliki opsi untuk menonaktifkan pembaruan otomatis, segera memperbarui, atau menunda pembaruan selama yang Anda inginkan. Plus, Anda dapat mengonfigurasi jadwal pembaruan plugin dan tema di pengaturan Manajemen Versi.

Baiklah, mari masuk ke pengaturan dan lihat lebih dekat opsi Manajemen Versi yang berbeda.

Cara Menggunakan Manajemen Versi di iThemes Security Pro

Untuk mulai menggunakan Manajemen Versi, aktifkan modul di halaman utama pengaturan keamanan.

Sekarang klik tombol Configure Settings untuk melihat lebih dekat pada pengaturan.

Pembaruan WordPress – Secara otomatis menginstal rilis WordPress terbaru.
Pembaruan Plugin – Secara otomatis menginstal pembaruan plugin terbaru. Mengaktifkan pengaturan ini akan menonaktifkan fitur plugin pembaruan otomatis WordPress untuk mencegah konflik.
Pembaruan Tema – Secara otomatis menginstal pembaruan tema terbaru. Mengaktifkan pengaturan ini akan menonaktifkan fitur tema pembaruan otomatis WordPress untuk mencegah konflik.
Perkuat Situs Saat Menjalankan Perangkat Lunak Kedaluwarsa – Secara otomatis menambahkan perlindungan ekstra ke situs ketika pembaruan yang tersedia belum diinstal selama sebulan.
- Paksa semua pengguna yang tidak mengaktifkan dua faktor untuk memberikan kode masuk yang dikirim ke alamat email mereka sebelum masuk kembali.
- Nonaktifkan WP File Editor (yang memblokir orang dari mengedit plugin atau kode tema).
- Nonaktifkan pingback XML-RPC, dan blokir beberapa upaya otentikasi per permintaan XML-RPC (keduanya akan membuat XML-RPC lebih kuat terhadap serangan tanpa harus mematikannya sepenuhnya).

Pindai Situs WordPress Lama – Jalankan pemindaian harian akun hosting untuk situs WordPress lama yang memungkinkan penyerang menyusup ke server. Satu situs WordPress usang dengan kerentanan dapat memungkinkan penyerang untuk berkompromi dengan semua situs lain di akun hosting yang sama.
Pembaruan Otomatis Jika Memperbaiki Kerentanan – Opsi ini bekerja bersama-sama dengan iThemes Security Pro Site Scan untuk memeriksa situs web Anda untuk mengetahui kerentanan WordPress, plugin, dan tema dan menerapkan tambalan saat tersedia.

Pembaruan Plugin & Tema

Sekarang mari kita lihat lebih dekat dalam mengonfigurasi pembaruan plugin dan tema. Sebelum kita mulai, saya ingin memberikan pengingat singkat bahwa mengaktifkan pengaturan pembaruan plugin dan tema akan menonaktifkan fitur pembaruan otomatis WordPress untuk mencegah konflik.

Pengaturan Pembaruan Plugin dan Tema memiliki tiga pilihan.

Kosong/Tidak Ada – Membiarkan pengaturan kosong akan memungkinkan WordPress mengelola pembaruan plugin dan tema.
Kustom – Opsi Kustom memungkinkan Anda untuk menyesuaikan pembaruan secara tepat sesuai keinginan Anda. Kami akan membahas ini lebih lanjut hanya sedikit.
Semua – Semua akan memperbarui semua plugin atau tema Anda segera setelah pembaruan tersedia.

Sekarang mari kita lihat lebih dekat opsi Custom .

Memilih opsi Kustom menyediakan tiga pilihan berbeda untuk plugin dan pembaruan tema Anda.

Aktifkan – Pilih plugin mana yang ingin Anda perbarui segera setelah rilis baru.
Nonaktifkan – Gunakan opsi ini untuk plugin yang ingin Anda perbarui secara manual.
Penundaan – Opsi penundaan memungkinkan Anda untuk mengatur jumlah hari yang Anda inginkan untuk menunda pembaruan rilis. Ini bisa menjadi pilihan yang baik untuk pengembang yang cenderung membutuhkan beberapa rilis lanjutan untuk memperbaiki masalah setelah rilis besar.

Seperti yang dapat kita lihat, pengaturan Pembaruan otomatis khusus menawarkan lebih banyak fleksibilitas daripada opsi pembaruan otomatis aktif atau nonaktif WordPress.

Membungkus

Memiliki plugin atau tema rentan yang tambalannya tersedia tetapi tidak diterapkan adalah penyebab nomor satu situs web WordPress yang diretas. Itu berarti sebagian besar peretasan WordPress dapat dicegah hanya dengan memperbarui.

Fitur iThemes Security Pro Version Management memungkinkan Anda mengelola pembaruan otomatis pada jadwal Anda. iThemes Security Pro telah mencakup apakah Anda ingin menginstal semua pembaruan baru segera setelah dirilis atau hanya jika pembaruan memperbaiki kerentanan.

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.