Menggunakan OWASP Top 10 untuk meningkatkan keamanan WordPress
Diterbitkan: 2018-08-23Keamanan WordPress dapat menjadi subjek yang menakutkan bagi mereka yang baru mengenal WordPress, dan memiliki situs web. Namun, dengan kepatuhan dan standar seperti daftar 10 besar OWASP, bisnis dapat dengan mudah memulai dengan keamanan WordPress.
Artikel ini menjelaskan apa itu daftar 10 Teratas OWASP. Ini juga menjelaskan bagaimana administrator situs WordPress dapat memiliki situs web WordPress yang sesuai dengan 10 Teratas Owasp .
Apa itu Daftar 10 Teratas OWASP?
OWASP Top 10 adalah daftar 10 risiko keamanan aplikasi web paling kritis. Karena itu, ini bukan standar kepatuhan semata, tetapi banyak organisasi menggunakannya sebagai pedoman. Organisasi Open Web Application Security Project (OWASP) menerbitkan daftar pertama pada tahun 2003. Sekarang mereka merilis daftar yang diperbarui setiap tiga tahun.
Manakah dari 10 kerentanan dan risiko keamanan teratas OWASP?
OWASP menerbitkan daftar OWASP Top 10 terbaru tahun 2017. Berikut daftar risiko keamanan di dalamnya:
A1: Injeksi
A2: Otentikasi Rusak
A3: Paparan Data Sensitif
A4: Entitas Eksternal XML
A5: Kontrol Akses Rusak
A6: Kesalahan Konfigurasi Keamanan
A7: Pembuatan Skrip Lintas Situs (XSS)
A8: Deserialisasi Tidak Aman
A9: Menggunakan komponen dengan kerentanan yang diketahui
A10: Pencatatan & pemantauan yang tidak memadai
Menerapkan 10 Keamanan Teratas OWASP di WordPress Anda
Bagian ini menjelaskan apa yang perlu Anda lakukan untuk memastikan situs WordPress Anda tidak rentan terhadap salah satu dari 10 kerentanan dan kelemahan keamanan OWASP Teratas.
Mengatasi A1: Injeksi di WordPress
SQL Injection adalah kerentanan aplikasi teknis yang biasanya disebabkan oleh kurangnya sanitasi input pengguna. Dengan mengeksploitasinya, peretas jahat dapat memperoleh akses ke data di database WordPress.
Tim inti WordPress biasanya memperbaiki kerentanan injeksi dalam beberapa hari. Hal yang sama berlaku untuk sebagian besar pengembang plugin WordPress. Oleh karena itu mengapa penting untuk selalu menggunakan plugin terpelihara dengan baik yang dikembangkan oleh pengembang yang responsif.
Satu-satunya cara Anda dapat memastikan inti, plugin, dan tema WordPress Anda tidak rentan terhadap jenis kerentanan ini adalah dengan memperbarui semua perangkat lunak Anda. Selalu instal semua patch keamanan yang dirilis pengembang.
Mengatasi A2: Otentikasi Rusak di WordPress
Jenis kelemahan keamanan ini juga merupakan kerentanan teknis. Kerentanan ini adalah hasil dari desain aplikasi web yang rusak, kurangnya perencanaan. Penyerang dapat mengeksploitasi masalah otentikasi yang rusak untuk mengakses data sensitif.
Hanya pengembang yang dapat mengatasi masalah ini. Selama Anda menggunakan inti dan plugin WordPress versi terbaru, situs web Anda tidak akan rentan terhadap kerentanan seperti itu. Tentu saja, dengan asumsi Anda selalu menggunakan plugin yang terpelihara dengan baik.
Meskipun karena kita berbicara tentang otentikasi, ada baiknya mengingatkan Anda untuk menerapkan otentikasi dua faktor di situs WordPress Anda . Jika Anda tidak yakin plugin mana yang akan digunakan, berikut adalah daftar beberapa plugin WordPress otentikasi dua faktor terbaik .
Mengatasi A3: Paparan Data Sensitif di WordPress
Menurut GDPR, data sensitif dan pribadi adalah data apa pun yang terkait dengan pengguna yang dapat diidentifikasi. Itu bisa berupa nama pelanggan Anda, detail penagihan mereka, dan data pemegang kartu jika ada situs web e-niaga. Dalam hal layanan keuangan, itu juga bisa berupa rincian rekening bank, atau dalam perawatan kesehatan, itu bisa berupa riwayat kesehatan mereka. Perhatikan bahwa meskipun alamat IP dapat diklasifikasikan sebagai data sensitif, Anda masih dapat menyimpan log aktivitas WordPress , yang memungkinkan Anda melacak semua yang terjadi di situs web Anda.
Untuk memastikan situs WordPress Anda patuh , jika Anda menyimpan data sensitif di situs WordPress Anda, pastikan bahwa hanya pengguna yang perlu menggunakan data yang memiliki akses ke sana, dan tentu saja, data tersebut harus dienkripsi. Selalu gunakan pengguna dan peran WordPress untuk mengelola hak istimewa pengguna dan akses ke data sensitif dengan lebih baik.
Haruskah Anda menyimpan data sensitif di situs WordPress Anda?
Tidak ada jawaban yang pasti. Itu semua tergantung pada pengaturan dan sumber daya. Meskipun usaha kecil biasanya akan lebih baik menyimpan data pada penyedia pihak ketiga.
Misalnya dalam kasus toko e-niaga, jauh lebih mudah menggunakan sistem pembayaran seperti Stripe atau PayPal untuk menangani dan menyimpan data pemegang kartu. Mereka sudah menyiapkan infrastruktur. Lihat panduan kami tentang keamanan e-niaga untuk administrator WordPress untuk informasi lebih lanjut tentang cara menjaga dan menjalankan situs e-niaga yang aman.
Hal yang sama berlaku untuk alamat email dan daftar buletin pelanggan. Idealnya Anda tidak boleh menyimpan data seperti itu di situs web Anda. Gunakan layanan pihak ketiga, seperti Mailchimp untuk menyimpan data di infrastruktur yang lebih aman dan andal, daripada di situs WordPress Anda.
Mengatasi A4: Entitas Eksternal XML (XXE) di WordPress
Ini adalah kerentanan perangkat lunak teknis. Ini terjadi ketika aplikasi salah menangani file dan data XML. Instalasi WordPress di luar kotak tidak banyak berurusan dengan file XML jarak jauh, meskipun Anda mungkin menggunakan plugin yang melakukannya.
Untuk memastikan situs WordPress Anda tidak rentan terhadap jenis kerentanan seperti itu, gunakan versi terbaru dari inti WordPress, plugin, dan perangkat lunak lainnya. Selalu gunakan plugin yang terpelihara. Pertimbangkan untuk mengubah plugin apa pun yang Anda gunakan yang belum diperbarui selama lebih dari setahun.
Mengatasi A5: Kontrol Akses Rusak di WordPress
Ini adalah kerentanan aplikasi teknis. Masalah ini terjadi saat aplikasi tidak memberlakukan pembatasan yang diperlukan pada pengguna yang diautentikasi. Oleh karena itu, ketika penyerang mengeksploitasi kerentanan tersebut, mereka dapat mengakses data sensitif.
Hanya pengembang yang dapat memperbaiki masalah jenis ini. Untuk memastikan situs web Anda tidak rentan, perbarui inti WordPress, plugin, dan perangkat lunak lain yang Anda gunakan di situs web Anda.
Mengatasi A6: Kesalahan Konfigurasi Keamanan di Situs WordPress
Kesalahan konfigurasi keamanan sangat umum di situs web WordPress. Perangkat lunak yang tidak ditambal dan eksploitasi default adalah dua serangan sukses paling umum di situs web WordPress. Dalam beberapa tahun terakhir, tim inti WordPress telah melakukan banyak hal untuk membantu pengguna mengatasi masalah tersebut. Misalnya WordPress tidak lagi memiliki nama pengguna admin default, yang merupakan penyebab banyak peretasan WordPress.
Untuk memastikan situs WordPress Anda tidak memiliki kesalahan konfigurasi keamanan, ubah semua default. Ini berlaku untuk WordPress, plugin, dan perangkat lunak & perangkat lain yang Anda gunakan. Misalnya jika sebuah plugin memiliki set kredensial default, tidak melindungi data sensitif dengan kata sandi, atau menyimpannya di lokasi default, konfigurasikan autentikasi yang kuat dan ubah jalur default. Ini berlaku untuk perangkat lunak dan perangkat lain yang Anda gunakan termasuk router rumah internet Anda, yang biasanya memiliki kredensial default.
Mengatasi A7: Cross-site Scripting (XSS) di WordPress
Cross-site Scripting, juga dikenal sebagai XSS adalah kerentanan aplikasi teknis. Kemungkinan besar ini adalah salah satu kerentanan teknis yang paling umum. Kerentanan XSS terjadi ketika data yang tidak tepercaya tidak divalidasi dan lolos. Saat penyerang jahat mengeksploitasi kerentanan skrip lintas situs, mereka dapat mencuri cookie pengguna yang masuk dan meniru identitas mereka. Mereka juga dapat membajak sesi mereka.
Tim inti WordPress biasanya menangani masalah XSS yang dilaporkan di inti hanya dalam beberapa hari. Jadi untuk memastikan inti, plugin, dan tema situs WordPress Anda tidak rentan terhadap jenis kerentanan ini, selalu gunakan versi perangkat lunak terbaru. Juga, selalu gunakan plugin yang dipelihara.
Mengatasi A8: Deserialisasi Tidak Aman di WordPress
Deserialisasi Tidak Aman adalah kerentanan aplikasi teknis. Kerentanan ini dapat terjadi ketika aplikasi menggunakan objek serial dari sumber yang tidak dipercaya tanpa melakukan pemeriksaan integritas.
Tim inti WordPress biasanya menangani jenis masalah ini dalam beberapa hari. Jadi untuk memastikan inti, plugin, dan tema situs WordPress Anda tidak rentan terhadap jenis kerentanan ini, selalu gunakan versi perangkat lunak terbaru.
Mengatasi A9: Menggunakan Komponen dengan Kerentanan yang Diketahui di Situs WordPress
Tidak menggunakan perangkat lunak dan aplikasi web yang telah mengetahui kerentanan mungkin terdengar seperti sesuatu yang jelas. Meskipun sayangnya tidak. Yayasan WordPress telah melakukan banyak hal dalam hal ini. Mereka memiliki pembaruan otomatis untuk inti WordPress. Tim peninjau plugin WordPress menandai plugin di repositori yang belum diperbarui untuk sementara waktu sebagai tidak aman.
Namun tidak selalu mudah bagi bisnis untuk menggunakan perangkat lunak versi terbaru dan paling aman. Banyak yang menggunakan perangkat lunak lama dan aplikasi web yang tidak kompatibel dengan versi terbaru WordPress atau plugin lainnya. Jadi mereka harus menggunakan WordPress dan plugin versi lama dan rentan. Dalam kasus seperti itu, jika memungkinkan, hubungi pengembang untuk memperbarui kode.
Untuk memastikan situs web Anda patuh, ini tidak perlu dikatakan lagi: selalu gunakan versi terbaru dari inti dan plugin WordPress. Selain itu, penting untuk menonaktifkan dan menghapus plugin, skrip, dan tema yang tidak digunakan dari situs web Anda. Misalnya, banyak administrator situs tidak menghapus tema dan plugin WordPress default. Jika Anda tidak menggunakannya, hapus.
Ini juga berlaku untuk perangkat lunak baru: ketika mencari plugin baru, selalu teliti. Baca panduan kami tentang cara memilih plugin WordPress untuk informasi lebih lanjut tentang apa yang harus Anda lakukan saat mencari plugin WordPress baru.
Mengatasi A10: Pencatatan & Pemantauan yang Tidak Memadai di WordPress
Pencatatan dan pemantauan sangat penting untuk keamanan situs web WordPress dan jaringan multisitus Anda. Log aktivitas WordPress juga membantu Anda mengelola situs web dengan lebih baik, mengidentifikasi perilaku mencurigakan sebelum menjadi masalah, memastikan produktivitas pengguna, dan banyak lagi. Pelajari lebih lanjut tentang manfaat menyimpan log aktivitas WordPress (log audit) .
Untuk memastikan situs web WordPress Anda patuh , instal log Audit Keamanan WP, plugin log aktivitas WordPress paling komprehensif . Ini akan mencatat semua yang terjadi di situs WordPress Anda dan jaringan multisite dalam log aktivitas. Lihat mengatasi pencatatan yang tidak mencukupi dengan plugin log aktivitas WordPress untuk informasi lebih rinci tentang cara mengatasi bagian dari daftar 10 Teratas OWASP ini.
Membangun Situs WordPress yang Sesuai dengan OWASP dengan OWASP Top 10
Keamanan WordPress bisa menjadi rumit, terutama ketika berhadapan dengan pengaturan besar. Meskipun memulai dan membahas dasar-dasarnya tidak terlalu sulit, seperti yang disoroti artikel ini. Anda dapat memiliki situs web WordPress yang sesuai dengan 10 Teratas OWASP dengan memperhatikan dasar-dasar ini:
- Gunakan versi terbaru dari inti WordPress, plugin dan tema,
- Pastikan Anda mengubah semua default di inti dan plugin WordPress Anda,
- Terapkan kebijakan kata sandi yang kuat,
- Aktifkan 2FA dengan plugin WordPress otentikasi dua faktor,
- Gunakan pengguna dan peran WordPress dengan tepat,
- Catat semua yang terjadi di situs web Anda di log aktivitas WordPress .
Tingkatkan keamanan situs WordPress Anda dengan menggunakan daftar 10 Teratas OWASP ini sebagai panduan. Lihat halaman 10 Teratas OWASP resmi untuk informasi lebih detail.