7 Mitos Keamanan WordPress: Sepenuhnya Rusak dan Dibantah
Diterbitkan: 2023-10-21Meskipun merupakan sistem manajemen konten paling populer di dunia, mitos tentang keamanan platform WordPress terus beredar. Karena sifatnya yang bersumber terbuka, pengguna yang tidak berpengalaman mungkin menganggapnya kurang aman dibandingkan produk komersial. Selain itu, mereka mungkin terkejut dengan laporan masalah keamanan WordPress di berita.
Mitos #1: Keamanan adalah Tugas Penyedia Hosting Anda
Sebagai pemilik situs web pemula atau pemula, Anda mungkin berpikir bahwa menjaga keamanan situs web Anda adalah domain orang yang Anda bayar untuk menjaganya tetap online. Dan itu memang benar; penyedia hosting web Anda memang merupakan garis pertahanan pertama. Tugas mereka adalah memastikan server web Anda tidak mudah dimasuki dan melindungi entitas fisik tempat situs Anda berada. Jika tidak, mereka hanyalah tuan rumah yang buruk.
Keamanan Situs Web Terutama Tanggung Jawab Anda
Namun, selain itu, seberapa terlibatnya penyedia hosting Anda dengan keamanan situs WordPress Anda sangat bergantung pada paket Anda. Pada shared host, VPS host, atau bahkan dedicated server, pada dasarnya Anda hanya menyewa ruang server. Apa yang Anda lakukan dengannya terserah Anda.
Artinya, penyedia hosting tidak membantu Anda dengan cara apa pun dalam menjaga keamanan situs WordPress Anda. Itu tugasmu.
Tentu saja, beberapa penyedia akan menawarkan fitur keamanan tambahan seperti firewall atau CDN. Mereka juga akan memantau server mereka dari malware, virus, dll., dan mengambil tindakan jika mereka mendeteksi sesuatu di situs Anda. Namun, seringkali itu juga berarti mereka menonaktifkan situs Anda dan meminta Anda memperbaikinya. Bukan solusi ideal, apalagi jika Anda seorang pemula.
Hosting Terkelola Dapat Membantu
Jika Anda ingin penyedia hosting Anda mengambil peran lebih aktif dalam keamanan situs WordPress Anda, Anda harus menggunakan hosting terkelola. Disebut demikian karena, selain menyediakan ruang server, penyedia hosting terkelola juga mengambil alih beberapa tugas sehari-hari saat menjalankan situs web. Keamanan adalah salah satunya seperti pengoptimalan kecepatan, pembaruan situs, dan dukungan ahli.
Tentu saja, layanan semacam ini membutuhkan biaya tambahan, namun sering kali sepadan, tergantung pada kepercayaan diri Anda terhadap tingkat keahlian Anda dalam mengamankan situs Anda. Ini dapat memberikan banyak ketenangan pikiran.
Namun, secara keseluruhan mari kita hilangkan mitos keamanan WordPress ini untuk selamanya: Kecuali itu bagian dari layanan yang Anda pesan, penyedia hosting Anda tidak bertanggung jawab atas keamanan situs web Anda dan menjaganya agar tidak dibobol dan diretas. Tanggung jawab itu ada di tangan Anda.
Mitos #2: WordPress Itu Sendiri Memiliki Risiko Keamanan
Sekarang, Anda mungkin berpikir, “Oke, jika penyedia hosting tidak melakukan ini untuk saya, bukankah berisiko jika mengandalkan perangkat lunak gratis? Seberapa baikkah sesuatu yang dilakukan sekelompok sukarelawan di waktu luang mereka? Ditambah lagi, saya melihat orang-orang Wix memberi tahu saya di TV bahwa WordPress juga tidak aman.”
Baiklah, mari kita selesaikan yang ini selanjutnya.
Hal pertama yang harus Anda pahami adalah bahwa tidak ada koneksi internet yang benar-benar aman. Ribuan situs web diretas setiap hari, dari yang terbesar hingga yang terkecil. Ini seperti kehidupan, pada akhirnya, hanya ada tingkat ketidakamanan yang berbeda dan pastikan Anda membuat sesuatu yang buruk tidak mungkin terjadi.
WordPress Memiliki Tindakan Keamanan yang Luas
Di sini, kinerja WordPress tidak lebih buruk dari yang lain. Faktanya, selama bertahun-tahun, platform ini telah menerapkan sistem yang kuat untuk menemukan dan mengatasi masalah keamanan pada produk inti.
Terdapat tim keamanan khusus yang terdiri dari sekitar 50 pakar, termasuk pengembang utama, peneliti keamanan, dan profesional keamanan web lainnya. Banyak dari mereka bekerja untuk WordPress.com, sebuah perusahaan yang memiliki kepentingan dalam pengamanan perangkat lunak yang menjadi dasar seluruh bisnis mereka.
Selain itu, tim berkonsultasi dengan tim keamanan dari perusahaan hosting lain dan bahkan sistem manajemen konten.
Peran mereka adalah secara aktif memantau kerentanan WordPress dan dengan cepat merespons apa pun yang muncul. Jika ada laporan yang cukup parah, mereka mempunyai kemungkinan untuk segera membuat dan mengirimkan patch. Ini akan diinstal secara otomatis di situs WordPress mana pun yang lebih tinggi dari versi 3.7 kecuali Anda secara khusus menonaktifkan fitur ini.
Selain itu, WordPress umumnya sering menerima pembaruan, sekitar dua hingga tiga versi utama baru per tahun dengan pembaruan kecil, pemeliharaan, dan keamanan di antaranya. Masing-masing dilengkapi dengan perbaikan untuk potensi masalah keamanan dan proses pengujian yang ekstensif.
Komunitasnya Adalah Aset Utamanya
Selain hal-hal di atas, Anda mungkin mempunyai gambaran yang salah tentang seperti apa sebenarnya “kelompok relawan” ini. Banyak dari mereka adalah karyawan perusahaan bernilai jutaan dolar yang menggunakan WordPress untuk bisnis mereka. Ditambah lagi, mereka semua memiliki kemampuan untuk menjaga perangkat lunak yang menjadi dasar penghidupan mereka tetap aman.
Secara umum, sifat open source WordPress adalah bagian dari kekuatannya. Kode sumber tersedia secara bebas, terbuka bagi siapa saja untuk memeriksa serta menemukan dan melaporkan celah keamanan. Dan banyak orang melakukannya. Maksud saya, lihat saja jumlah kontributor untuk WordPress 6.3.
Terakhir, ada banyak penyedia hosting khusus dan plugin keamanan untuk lebih meningkatkan keamanan situs WordPress. Belum lagi, ribuan postingan blog dan tutorial di luar sana yang membantu pengguna menerapkan langkah-langkah keamanan juga.
Jadi, apa pendapat kami tentang mitos keamanan WordPress ini? Itu tidak benar. Sistem yang diterapkan untuk memastikan keamanan dan impregnabilitas produk inti WordPress setara atau melampaui sistem entitas komersial.
Mitos #3: WordPress adalah Platform yang Paling Banyak Diretas
Sesuatu yang mungkin berkontribusi pada ketidaknyamanan Anda dalam menggunakan WordPress adalah statistik yang mengatakan bahwa ini adalah CMS yang paling banyak diretas di luar sana. Dan memang benar, platform ini pernah menjadi berita karena beberapa masalah keamanan tingkat tinggi di masa lalu. Maksud saya, lihat saja grafik ini, bukankah itu membuat Anda ragu menggunakan WordPress untuk hal yang serius?
Pertimbangkan Ukuran WordPress
Pada titik ini, kita harus merujuk kembali pada salah satu hal pertama yang kami katakan di bagian pendahuluan. WordPress adalah sistem manajemen konten paling populer di luar sana.
Seberapa populerkah itu?
Menurut W3techs, ini mendukung lebih dari 43% situs web di Internet.
Secara absolut, ada lebih dari 470 juta situs. Itu banyak sekali situs webnya. Selain itu, seperti yang Anda lihat dari grafik di atas, tidak ada sistem lain yang bisa mendekati statistik ini.
Jadi, mengapa WordPress menjadi platform yang paling banyak diretas? Karena masih banyak lagi situs WordPress yang bisa diretas.
Coba pikirkan, jika Anda adalah seseorang yang membobol situs orang lain untuk mencari nafkah, sistem mana yang akan Anda targetkan? Negara dengan jumlah calon korban yang tidak ada habisnya, dan kemungkinan besar ada orang yang membiarkan pintu samping tetap terbuka, atau negara yang targetnya jauh dan sulit dijangkau? Anda mungkin tahu jawabannya.
Inti WordPress Bukan Masalahnya
Terakhir, jika Anda mendalami statistiknya lebih dalam, Anda akan segera mengetahui bahwa hanya sebagian kecil dari peretasan WordPress yang berhasil terjadi karena WordPress itu sendiri. Dan bahkan dalam kasus tersebut, sering kali karena situs web tersebut menjalankan versi yang sudah ketinggalan zaman.
Sebagian besar kerentanan berasal dari ekstensi WordPress, khususnya plugin.
Jadi, ya, WordPress memang merupakan platform yang paling banyak dibobol, dan sebagian besar mitos keamanan ini memang benar adanya. Namun, alasan di baliknya jauh lebih berbeda.
Mitos #4: Maka Plugin WordPress Tidak Aman
Seorang pengamat yang jeli (yang tentunya Anda juga) mungkin telah memperhatikan bahwa kita baru saja melemparkan seluruh argumen kita ke bawah bus di atas sana. Rupanya, kami mengakui bahwa plugin WordPress adalah masalah keamanan yang sangat besar.
Karena mereka adalah bagian penting dari ekosistem dan pengalaman WordPress (karena semua orang menggunakannya untuk menambahkan lebih banyak fitur ke situs web) itu berarti Anda tidak punya pilihan selain membangun situs web yang tidak aman dengan WordPress.
Oh tidak, rusak!
Masalah Dengan Plugin
Tentu saja, di sini Anda juga harus lebih bernuansa.
Ya, jelas ada masalah dengan plugin WordPress. Mereka adalah titik masuk umum ke situs web.
Namun, untuk memahaminya, pertama-tama Anda harus melihat banyaknya plugin yang ada. Repositori WordPress sendiri memiliki sekitar 60.000. Selain itu, masih banyak lagi yang tersedia di toko lain di web.
Namun, apa yang menjadi aset ekosistem WordPress juga bisa menjadi liabilitas. Pembuat plugin ini memiliki tingkat keahlian yang berbeda dan tidak semua plugin dipelihara dan diperbarui secara aktif. Oleh karena itu, mereka dapat memiliki tingkat kualitas dan keamanan kode yang berbeda.
Komunitas WordPress menyadari hal itu dan melakukan yang terbaik untuk menanggapi masalah ini. Ada beberapa kasus di mana plugin dengan masalah umum telah dihilangkan dari direktori plugin. Selain itu, kami memiliki orang-orang yang mengerjakan pemeriksa plugin yang mirip dengan plugin pemeriksa tema untuk meningkatkan kualitas plugin WordPress secara keseluruhan.
Jadi, aturan pertama untuk menghindari risiko keamanan ini adalah memastikan Anda menggunakan plugin yang a) berasal dari sumber yang memiliki reputasi baik dan b) menerima dukungan dan pemeliharaan aktif.
Ini Bukan Hanya Tentang Plugin, Ini Tentang Cara Anda Menggunakannya
Namun, plugin itu sendiri hanyalah salah satu bagian dari persamaan. Dalam banyak kasus, masalahnya terletak pada cara orang menggunakannya di situs mereka. Dalam laporan yang sama seperti disebutkan di atas, juga dikatakan bahwa 36% situs yang diretas memiliki plugin yang sudah ketinggalan zaman.
Jadi, sama seperti inti WordPress, belum tentu perangkat lunaknya yang menjadi masalah, karena masalah keamanan memang sedang diperbaiki, hanya saja pengguna tidak menerapkan perbaikan tersebut.
Selain itu, seringkali terjadi masalah pada jumlah plugin. Seperti yang terlihat jelas di atas, perluasan memang membawa risiko. Oleh karena itu, semakin banyak yang Anda miliki, semakin besar potensi pintu samping yang Anda perkenalkan ke situs Anda.
Solusinya: instal plugin sebanyak yang Anda perlukan untuk menyelesaikan pekerjaan. Jika Anda tidak aktif menggunakan plugin, hapus plugin tersebut. Jangan membiarkannya berlama-lama di situs web Anda karena tidak menghasilkan apa-apa selain menjadi tua dan berpotensi menimbulkan risiko keamanan.
Mitos #5: Situs Anda Bukan Target, Tidak Ada yang Peduli
Yang ini adalah mitos klasik tentang keamanan situs web, bahkan di luar WordPress. Banyak orang, terutama mereka yang menjalankan hobi atau situs web kecil, merasa bahwa situs tersebut tidak menawarkan target yang cukup menguntungkan bagi peretas untuk tertarik menyerangnya. Maksud saya, jika Anda hanya memposting gambar hamster peliharaan Anda, apa yang bisa diperoleh seseorang dari membobol situs web Anda?
Peretasan Bukanlah Masalah Pribadi
Ada dua hal yang harus Anda pahami di sini. Pertama, peretasan situs web tidak seperti yang Anda lihat di film. Tidak ada orang bertudung yang duduk di depan laptop yang memilih sendiri situs Anda dan kemudian menghabiskan waktunya secara manual mencari cara untuk masuk ke dalamnya.
Tidak, sebagian besar serangan terjadi secara otomatis. Ada sekumpulan bot otomatis yang terus-menerus memindai web untuk mencari kerentanan yang diketahui di situs web dan, jika mereka menemukannya, manfaatkan itu. Seringkali Anda hanyalah korban peluang.
Mengambil Alih Situs Anda Sebenarnya Bukan Tujuannya
Kedua, meretas situs web sering kali bukan tentang mencuri data keuangan atau informasi sensitif lainnya. Dalam kebanyakan kasus, peretas hanya mencoba mengambil alih sebagian situs Anda untuk menggunakannya demi keuntungan mereka sendiri:
- Rekrut itu sebagai bagian dari botnet untuk menggunakannya dalam hal-hal seperti serangan DDoS
- Kirim spam dari server email Anda
- Sebarkan malware ke komputer pengunjung Anda
- Posting tautan ke situs web penipuan di situs Anda
Beberapa orang juga melakukannya hanya untuk merusak situs Anda dan membuktikan keahlian mereka.
Jadi, ingatlah itu. Ini bukan tentang kamu. Ini hanyalah tentang menjadi target yang dapat dieksploitasi dan Anda harus melakukan yang terbaik untuk menghindarinya.
Mitos #6: Menggunakan Kata Sandi yang Kuat Akan Menjaga Situs Anda Aman
Menggunakan informasi login yang aman jelas merupakan bagian dari keamanan WordPress, dan hal tersebut bukanlah mitos. Ada banyak cara di mana kata sandi dan nama pengguna yang lemah dapat kembali mengganggu Anda:
- Serangan brute force – Berarti suatu program secara acak mencoba kombinasi nama pengguna dan kata sandi yang berbeda hingga berhasil.
- Pengisian kredensial – Ini mirip dengan serangan brute force, namun lebih bertarget. Dalam kasus ini, peretas menggunakan kredensial yang telah disusupi, misalnya terungkap dalam serangan siber lainnya. Serangan ini didasarkan pada kenyataan bahwa banyak orang menggunakan kembali nama pengguna dan kata sandi mereka.
Jika Anda tidak yakin ini bisa seburuk itu, berikut adalah infografis yang menunjukkan seberapa cepat rata-rata peretas dapat memecahkan kata sandi Anda berdasarkan kerumitannya.
Jadi, kata sandi yang kuat memang membantu melindungi situs Anda. Lalu mengapa poin ini muncul dalam daftar mitos keamanan WordPress?
Karena kata sandi yang kuat saja tidak akan berhasil. Keamanan situs web adalah sebuah teka-teki yang hanya satu bagian saja. Jika Anda mengabaikan sisanya, Anda masih membuka peluang penting bagi penyerang untuk membobol situs web Anda.
Selain itu, kata sandi hanyalah permulaan. Untuk benar-benar mengunci halaman login Anda, sebaiknya batasi upaya login, gunakan autentikasi multifaktor, dan pertimbangkan firewall. Selain itu, kredensial yang kuat tidak hanya penting pada situs itu sendiri tetapi juga untuk semua hal yang terkait dengannya, seperti akun hosting dan FTP Anda.
Mitos #7: Cukup Instal Plugin Keamanan, Pekerjaan Selesai
Banyak pemula, yang tidak tahu banyak tentang keamanan WordPress, mengandalkan plugin untuk menjaga keamanan situs mereka. Dan plugin keamanan WordPress seperti WordFence, MalCare, atau Sucuri adalah anugerah untuk itu. Mereka sangat membantu dalam membantu pengguna yang tidak berpengalaman memperkuat situs mereka dari penyerang hanya dengan beberapa klik.
Namun, sekali lagi, ini bukanlah cara yang pasti untuk menjaga keamanan situs Anda. Area pengaruh plugin ini ada batasnya, mereka hanya dapat mengunci situs itu sendiri tetapi tidak memiliki kekuasaan atas lingkungan yang lebih luas.
Jika situs Anda berada di server yang tidak aman atau akun hosting Anda dibobol karena kata sandi yang lemah, plugin keamanan Anda tidak akan berdaya untuk melindungi situs Anda dari serangan tersebut. Jadi, sekali lagi, plugin keamanan WordPress sendiri bukanlah mitos, hanya saja mereka tidak bisa melakukan tugasnya sendiri.
Mitos Terakhir: Keamanan WordPress Itu Rumit
Gagasan bahwa menjaga situs WordPress Anda tetap aman itu sulit adalah mitos lain yang menghalangi orang untuk memulai situs mereka sendiri. Meskipun ini merupakan topik penting, ini juga bukan ilmu roket. Pada akhirnya, sebagian besar keamanan situs web bergantung pada beberapa praktik terbaik berikut:
- Gunakan penyedia hosting yang tepat, gunakan hosting terkelola jika Anda menginginkan bantuan terkait keamanan
- Selalu perbarui WordPress dan semua plugin serta tema
- Miliki hanya ekstensi minimal di situs Anda, nonaktifkan dan hapus ekstensi yang tidak Anda gunakan secara aktif, dan pastikan ekstensi yang Anda miliki di situs terpelihara dengan baik
- Pastikan kredensial login Anda kuat dan jaga keamanannya, tingkatkan keamanan dengan membatasi upaya login dan melalui autentikasi multifaktor
- Cadangkan situs web Anda secara teratur agar dapat kembali ke versi sebelumnya
- Gunakan plugin keamanan WordPress untuk mendapatkan bantuan, tetapi pertimbangkan juga bagian-bagian yang tidak dapat mereka kendalikan
Dengan adanya hal ini, kemungkinan terjadinya apa pun pada situs Anda akan sangat berkurang, meskipun kemungkinannya tidak akan pernah nol.
Mitos keamanan WordPress apa yang sering Anda dengar atau pernah Anda ikuti? Beri tahu kami di komentar!