Apa yang harus diambil dari peretasan GoDaddy pada November 2021
Diterbitkan: 2021-11-23Pada 6 September 2021, pelaku yang belum diketahui melanggar dan mendapatkan akses ke data 1.200.000 pelanggan GoDaddy. GoDaddy melihat pelanggaran tersebut pada tanggal 17 November, sekitar 36 hari kemudian. Pelanggaran itu dilaporkan ke SEC sekitar lima hari kemudian dan 41 hari setelahnya.
Sementara penyelidikan masih berlangsung, kami tahu bahwa email pelanggan dan nomor pelanggan terungkap. Pelanggan WordPress yang Dikelola Aktif juga telah melihat kredensial mereka terbuka, termasuk untuk database sFTP dan WordPress. Beberapa pelanggan juga telah membuka kunci pribadi SSL mereka.
Sebelum kita melangkah lebih jauh, jika Anda mencurigai bahwa salah satu akun Anda telah terekspos, pastikan Anda segera mengubah semua kata sandi Anda.
Anda mungkin juga perlu memberi tahu pelanggan Anda tentang pelanggaran tersebut. Karena ini adalah persyaratan peraturan, Anda perlu memeriksa undang-undang dan peraturan apa di yurisdiksi Anda yang memaksa Anda untuk melakukannya.
Apakah GoDaddy bersalah, kami belum tahu – penyelidikan masih berlangsung. Ini, bagaimanapun, adalah sesuatu yang diperdebatkan karena beberapa alasan.
Keamanan WordPress, seperti semua bentuk keamanan lainnya, adalah yang pertama dan terpenting tentang mengelola risiko
Peretas dan perangkat lunak/spesialis keamanan terkunci dalam tarik ulur tanpa akhir. Untuk sebagian besar, simpul tetap menggedor di tengah. Namun, kerentanan, teknologi baru, dan banyak hal lain dapat mengganggu keseimbangan rapuh ini kapan saja. Keseimbangan itu biasanya dipulihkan dengan cukup cepat. Namun, ini masih menyisakan jendela peluang, betapapun kecilnya, untuk kerusakan, yang terkadang tidak dapat diperbaiki, untuk dilakukan.
Karena itu, tidak ada sistem yang sepenuhnya kebal terhadap serangan. Tentu, penyedia layanan bertanggung jawab untuk memastikan bahwa semuanya diperbarui dan diamankan – dan sebagian tanggung jawab ada pada mereka. Ini tidak berarti bahwa kita berada di bawah belas kasihan mereka. Administrator dan pemilik WordPress masih dapat mengambil langkah-langkah untuk mengamankan diri mereka sebanyak mungkin untuk meminimalkan risiko.
WordPress, khususnya, bergantung pada beberapa subsistem untuk berfungsi – yang masing-masing mungkin rentan terhadap kerentanan dan serangan. Kebijakan keamanan WordPress yang baik mengambil pendekatan 360 derajat dan sama-sama memastikan proses keamanan WordPress berulang yang menangani risiko dan masalah keamanan saat muncul.
Pelanggaran bisa memakan waktu sangat lama untuk diperhatikan
GoDaddy, salah satu perusahaan hosting terbesar di dunia, membutuhkan waktu 36 hari untuk menyadari bahwa mereka telah diretas. Tiga puluh enam hari mungkin tampak lama, tetapi laporan IBM menunjukkan bahwa, rata-rata, perusahaan membutuhkan waktu hampir 200 hari untuk menyadari adanya pelanggaran. Hal ini membuat 36 hari tampak cukup masuk akal, tapi tetap saja, banyak yang bisa terjadi dalam 36 hari.
Kebenaran dari masalah ini adalah bahwa peretas telah mengubah proses menutupi jejak mereka menjadi sebuah bentuk seni, sehingga cukup sulit bahkan bagi perusahaan terbesar untuk menyadari bahwa mereka telah dilanggar. Ini diperburuk oleh fakta bahwa banyak peretas didukung oleh anggaran yang kuat, yang dalam beberapa kasus didanai oleh negara.
Anda mungkin berpikir bahwa negara yang menjalankan kediktatoran mungkin tidak tertarik dengan situs WordPress Anda, tetapi ini belum tentu benar. Meskipun mereka mungkin tidak tertarik dengan situs web Anda, khususnya, itu masih bisa terjebak dalam perselisihan. Hasil akhirnya sama merusaknya.
Meskipun semakin sulit untuk mengungkap peretasan, semuanya bermuara pada pengelolaan risiko – termasuk memastikan Anda memiliki sistem yang diperlukan untuk mencatat akses ke sumber daya.
Di WordPress, plugin log aktivitas dapat membuat semua perbedaan. Semakin luas cakupan log aktivitas, semakin luas bidang pandang yang akan Anda miliki di sistem – membantu Anda memastikan tidak ada yang luput dari pengawasan.
Plugin WP Activity Log kami mencakup berbagai aktivitas pengguna dan sistem dan mencakup banyak ekstensi log aktivitas untuk dukungan plugin WordPress pihak ketiga seperti WooCommerce. Hal ini dapat menenangkan pikiran administrator bahwa setiap aspek situs web mereka sedang dipantau, secara drastis mengurangi risiko aktivitas terlarang yang tidak terdeteksi.
Satu plugin penting lainnya yang layak disebut adalah plugin Website File Changes Monitor untuk WordPress. Plugin ini pada dasarnya mengambil sidik jari dari file situs web WordPress Anda setiap kali memindainya dan membandingkan hasilnya dengan pemindaian sebelumnya untuk melaporkan perubahan paling cepat.
Kata sandi secara harfiah adalah kunci untuk seluruh infrastruktur Anda
Penyelidikan awal telah menunjukkan bahwa seluruh peretasan GoDaddy dimungkinkan karena kata sandi yang disusupi. Melihat bagaimana satu kata sandi dapat menghancurkan seluruh rumah membuat kami menyadari betapa pentingnya setiap kata sandi.
Tentu saja, kami tidak berspekulasi tentang kasus GoDaddy, karena semua detailnya belum tersedia. Namun, kami tahu satu atau dua hal tentang kata sandi WordPress dan bagaimana mengubahnya dari kewajiban potensial menjadi setelan kuat Anda.
Kebijakan keamanan kata sandi WordPress yang kuat yang mencakup kompleksitas wajib dan kedaluwarsa otomatis adalah tempat yang baik untuk memulai. Anda juga harus memblokir pengguna yang tidak aktif dan memblokir akun pengguna setelah sejumlah upaya login yang gagal. Semua ini mudah dikonfigurasi melalui WPassword, sebuah plugin yang menambahkan beberapa pukulan serius pada kata sandi Anda.
Tentu saja, otentikasi dua faktor di WordPress, yang dengan cepat menjadi seperti kata sandi itu sendiri, sangat penting untuk memastikan keamanan akun. WP 2FA menawarkan pendekatan yang sepenuhnya dapat disesuaikan untuk otentikasi dua faktor WordPress - membantu Anda melindungi pengguna dan WordPress Anda tanpa harus menemukan kembali roda.
Bergerak kedepan
Tidak dapat disangkal bahwa penyedia hosting bertanggung jawab atas keamanan di pihak mereka – dan mereka harus bertanggung jawab atas segala kegagalan jika ditemukan. Namun, tidak ada jaminan bahwa pelanggaran tidak akan terjadi. Karena itu, kita perlu melihat keamanan sebagai tanggung jawab bersama.
Saat ini, pemilik WordPress memiliki sumber daya yang hebat – mulai dari informasi hingga produk dan layanan yang dirancang untuk membantu mereka tetap aman dan terlindungi. Ketika semua dikatakan dan dilakukan, kami berutang kepada pengguna dan pelanggan kami untuk menjaga mereka tetap aman dan harus melakukan segala yang kami bisa untuk memastikan data mereka aman bersama kami.