Membongkar Mitos Keamanan Hosting WordPress

Hosting WordPress itu rumit. Setiap situs WordPress bergantung pada tumpukan perangkat lunak dan perangkat keras yang dibuat oleh perusahaan dan komunitas dengan standar dan nilai yang sulit dipahami dari luar. Hal ini menimbulkan kesalahpahaman dan mitos, terutama dalam hal keamanan.
Pada artikel ini, kita melihat beberapa mitos hosting WordPress yang paling merusak, dengan fokus khusus pada mitos yang mengarah pada kesalahan keamanan.

Situs Kecil Jangan Diretas

Media sering melaporkan pelanggaran keamanan yang signifikan di mana tujuan penyerang tampak jelas. Para korban menyimpan gigabyte data pribadi yang dapat digunakan untuk pencurian identitas. Banyak menyimpan nomor kartu kredit, yang dicuri karena alasan yang jelas. Beberapa penyerang terlibat dalam spionase industri.
Semua itu tidak berlaku untuk situs web yang lebih kecil dengan beberapa akun pengguna: tidak banyak data pribadi yang berguna di sana. Mereka jarang menyimpan nomor kartu kredit, dengan bijak memilih untuk menggunakan pemroses pembayaran. Jadi mengapa seorang penjahat menginvestasikan upaya untuk meretas situs kecil?
Pertama, tidak banyak usaha. Sebagian besar peretasan dilakukan secara otomatis: bot menjelajah web untuk mencari situs yang rentan, mengkompromikannya dengan serangan yang telah diprogram sebelumnya. Penyerang melepaskan botnya dan menunggu alamat IP masuk.
Kedua, bahkan sebuah situs kecil sangat berharga. Ini memiliki audiens, yang dapat terinfeksi malware. Itu dapat diseret ke botnet penyerang dan digunakan untuk menyusup ke situs lain atau untuk mengambil bagian dalam serangan DDoS. Ini dapat digunakan untuk spam SEO. Setiap situs web mewakili paket bandwidth, penyimpanan, dan kekuatan pemrosesan — semuanya berguna bagi penjahat.

Jika Berhasil, Mengapa Meng-upgrade?

Orang-orang yang tidak menghabiskan hidup mereka menatap kode di layar cukup puas ketika teknologi melakukan apa yang seharusnya. Mereka mungkin merasa bahwa pembaruan, yang membawa perubahan, adalah gangguan yang tidak diinginkan. WordPress tidak sulit untuk dipelajari, tetapi cukup sulit sehingga pemikiran tentang perubahan mengkhawatirkan beberapa dari jutaan penggunanya.
Orang yang menggunakan WordPress setiap hari menjadi terbiasa. Mereka lebih suka menghindari perubahan demi perubahan, sehingga mereka sering enggan untuk memperbarui. Lagi pula, mengapa mengubah apa yang berhasil.
Jawaban pengembang untuk ini ada dua. Perangkat lunak tidak pernah diam dan harus berubah untuk mengikuti perubahan di dunia. Dan, yang lebih penting, pembaruan memperbaiki bug yang menyebabkan kerentanan keamanan. Situs yang tidak diperbarui selama beberapa bulan hampir pasti rentan. Di bagian sebelumnya, kami berbicara tentang botnet dan peretasan otomatis. Ini adalah sistem manajemen konten yang tidak ditambal yang dicari oleh bot tersebut. Akhirnya, mereka akan menemukan situs yang belum ditambal, dan itu akan diretas.

Saya Akan Tahu Jika Ada Masalah

Seperti apa tampilan situs web yang diretas? Sebagian besar, sepertinya situs web yang belum diretas — terutama bagi pemiliknya. Seperti yang telah kita bahas, pelaku kejahatan melanggar situs web karena mereka menginginkan data, sumber daya, pengunjung, atau potensi SEO-nya. Jika pemilik situs mengetahui bahwa mereka telah diretas, pelaku kejahatan kehilangan akses ke sumber daya tersebut. Jadi, mereka licik. Mereka mencoba bersembunyi.
Jika Anda melihat lebih dekat, Anda mungkin melihat lonjakan bandwidth atau penggunaan memori. Jika Anda secara teratur memindai malware, Anda mungkin menemukan kode berbahayanya. Tetapi jika Anda menggunakan situs ini secara normal, Anda tidak akan melihat ada yang salah.
Ambil spam SEO sebagai contoh. Saat sebuah situs disusupi, tautan ke situs yang ingin dipromosikan penyerang dimasukkan ke dalam kontennya. Tautan tersebut dapat dilihat oleh Google, dan mungkin dapat dilihat oleh pengunjung biasa, namun disembunyikan dari orang yang masuk ke situs.
Itulah mengapa merupakan ide bagus untuk secara teratur memindai situs Anda dengan alat seperti Sucuri atau Wordfence . Mereka melihat kode berbahaya dan memberi tahu Anda tentang hal itu. Jika Anda tidak memindai, kemungkinan besar Anda akan mengetahui tentang serangan saat Google mulai memperingatkan audiens Anda bahwa situs Anda tidak aman.

SSL Menjaga Situs Anda Aman

Sertifikat SSL memiliki dua pekerjaan. Mereka mengenkripsi data yang berjalan melalui jaringan dari server ke browser dan kembali lagi. Dan mereka digunakan oleh browser untuk memverifikasi bahwa mereka terhubung ke host yang mereka harapkan. Itu saja yang dilakukan oleh sertifikat SSL. Mereka adalah alat keamanan dan privasi yang penting, tetapi mereka tidak melindungi data yang disimpan di server situs. Mereka juga tidak melindungi situs dari penyerang yang berusaha mengeksploitasi kerentanan.

Setiap Plugin WordPress Gratis

Ini adalah mitos yang merusak yang menyebabkan orang mengunduh plugin yang terinfeksi malware. Sebagian besar plugin WordPress bersumber terbuka di bawah lisensi GPL. Ketika pengembang mendistribusikan plugin, mereka juga mendistribusikan kode sumbernya. Mereka diharuskan melakukannya berdasarkan lisensi.
Seringkali, perangkat lunak open source gratis. Tidak ada biaya uang untuk digunakan. WordPress sendiri bersifat open source dan gratis. Tetapi beberapa perangkat lunak open source tidak gratis untuk digunakan . Plugin WordPress premium termasuk dalam kategori ini: mereka adalah open source, tetapi pengembang mengharapkan pengguna membayar biaya lisensi untuk menggunakan plugin.
Ketika pengguna membayar biaya, mereka mendapatkan kode sumber, sesuai kebutuhan. Tetapi open source tidak berarti pengembang harus memberikan kode sumber kepada semua orang — hanya orang-orang yang menerima distribusi plugin, orang-orang yang telah membayar. Ini umumnya disalahpahami. Sangat sah untuk mengambil kode tema premium dan memberikannya secara gratis setelah Anda membayarnya, tetapi ini tidak disarankan di komunitas WordPress, karena alasan yang jelas.
Anda mungkin bertanya-tanya apa hubungannya dengan keamanan. Pelaku jahat tahu bahwa orang ingin menggunakan plugin premium tanpa membayarnya. Jadi, mereka mengambil plugin, menambahkan taburan malware, dan memberikannya secara gratis. Plugin "nulled" atau "pirate" ini berisi backdoors dan kode berbahaya lainnya. Ketika pengguna WordPress yang tidak menaruh curiga menginstal plugin nulled, mereka memberikan kendali atas situs mereka kepada penyerang. Memasang plugin bajak laut di situs Anda adalah ide yang buruk.
Kami telah membahas lima mitos umum hosting WordPress di posting ini, dan masih banyak lagi yang mungkin kami sertakan. Jika Anda ingin melihat posting lanjutan yang menyelami lebih banyak mitos hosting WordPress, beri tahu kami di komentar.