Statistik Keamanan WordPress: Seberapa Amankah WordPress Sebenarnya?
Diterbitkan: 2023-11-01Apakah WordPress benar-benar aman? Itu mungkin pertanyaan yang ada di benak banyak pengguna baru, terutama ketika mereka mendengar bahwa ini adalah proyek sumber terbuka. Lantas, apakah ada statistik tentang keamanan WordPress yang bisa memberikan jawabannya?
Faktanya, ada, dan dalam postingan ini, kami telah mencoba mengumpulkan sebanyak mungkin angka-angka bermakna tentang topik ini. Di bawah ini, kami akan memeriksa laporan dan statistik industri mengenai keamanan inti WordPress, tema dan plugin, informasi login, dan lingkungan hosting.
Pada akhirnya, kami ingin Anda tidak hanya memiliki gambaran bagus tentang situasi keamanan WordPress tetapi juga mengetahui secara pasti di mana letak risikonya sehingga Anda dapat mengatasinya.
Secara statistik, WordPress adalah target paling populer bagi para peretas
Titik data pertama yang penting ketika berbicara tentang keamanan WordPress adalah 43%. Menurut W3Techs, jumlah tersebut adalah jumlah situs web yang menggunakan WordPress di seluruh dunia. Perhatikan, ini bukan pangsa pasarnya dalam sistem manajemen konten (yang lebih tinggi) namun total situs web di Internet.
Itu angka yang cukup besar. Dan ini penting karena, meskipun sebagai penggemar WordPress, hal ini merupakan sesuatu yang bisa dibanggakan, hal ini juga memiliki sisi negatifnya – yaitu paparan.
Banyaknya situs web yang berjalan di WordPress berarti bahwa platform tersebut adalah target utama para peretas. Faktanya, dalam laporan penelitian ancaman Sucuri tahun 2022, situs WordPress menyumbang 96,2% dari semua situs web yang terinfeksi.
Kedengarannya Tidak Aman, Bukan?
Ketika Anda melihat statistik seperti itu secara terpisah, pikiran pertama Anda mungkin adalah WordPress memang memiliki masalah keamanan. Mengapa lagi hal ini bisa menyebabkan sebagian besar peretasan berhasil?
Itu sebabnya kami mulai dengan nomor pertama. WordPress hanyalah target yang jauh lebih menonjol dan menguntungkan. Menggunakan sistem yang memungkinkan Anda mencoba dan menyerang ratusan juta situs web dibandingkan situs dengan basis pengguna yang jauh lebih kecil akan jauh lebih ekonomis dan efisien. Tampaknya itu juga yang dipikirkan para peretas.
Kabar buruknya adalah, mereka sering kali berhasil. Setiap tahun ratusan ribu situs WordPress berhasil diretas. Kabar baiknya adalah, seperti yang akan Anda lihat di bawah, hal ini bukan karena WordPress pada dasarnya tidak aman. Faktanya, sebagian besar peretasan sukses ini sebenarnya bisa dihindari. Anda hanya perlu tahu cara melindungi diri sendiri.
Statistik Kerentanan Inti WordPress
Untuk menjawab apakah WordPress aman atau tidak, mari kita mulai dengan statistik tentang keamanan perangkat lunak inti WordPress.
Kebanyakan Situs Web yang Diretas Belum Diperbarui
Menurut laporan Sucuri, sebagian besar situs WordPress yang diretas sudah ketinggalan zaman. Pada tahun 2022, lebih dari separuh orang yang terinfeksi malware tidak menjalankan WordPress versi terbaru.
Hal ini tidak mengherankan, Beberapa versi CMS yang lebih lama mempunyai masalah keamanan yang diketahui umum dan telah diungkapkan kepada publik. Jadi, jika Anda terus menjalankan situs web Anda di salah satunya, Anda hanya mengundang seseorang untuk memanfaatkannya.
Faktanya, edisi WordPress dengan masalah keamanan terbanyak semuanya hingga versi 4.0. Sejak itu, jumlah kerentanan terus menurun.
Laporan Sucuri juga mencerminkan hal itu. Dibandingkan dengan angka-angka sebelumnya, jumlah situs WordPress yang diretas karena tidak diperbarui telah menurun.
Faktanya, WordPress memiliki tingkat infeksi terendah karena versinya yang ketinggalan jaman di antara semua CMS yang mereka temui.
Hal ini telah terjadi selama dua tahun berturut-turut dan pangsa WordPress sedikit menurun selama waktu tersebut. Ini tahun 2021 untuk perbandingan.
Ini adalah Masalah Pengguna, Bukan Masalah WordPress
Jadi, bagaimana keadaan pengguna WordPress yang selalu memperbarui situs web mereka? Ya, banyak yang tidak. Berikut adalah versi WordPress yang berjalan di situs web seperti yang dilacak oleh WordPress.org.
Seperti yang Anda lihat, hanya sekitar 60%% yang menggunakan versi terbaru. Namun, kabar baiknya adalah setidaknya sebagian besar menggunakan WordPress 4.0 atau lebih tinggi, dimana situasi kerentanan menjadi jauh lebih baik. Ditambah lagi, tiga perempatnya telah memperbarui ke versi utama terbaru, yang merupakan peningkatan dari sebelumnya. Pada tahun 2016, porsinya hanya sekitar 50%.
Salah satu alasannya kemungkinan adalah pembaruan otomatis yang diperkenalkan di versi 5.6. Anda tidak lagi harus bergantung pada pengguna untuk mengklik tombol Perbarui secara manual. Sebaliknya, situs web dapat secara otomatis menginstal versi WordPress baru, yang tampaknya berkontribusi terhadap tren positif ini.
Infrastruktur Keamanan WordPress Berfungsi
Meskipun pengguna enggan memperbarui situs web mereka, sistem keamanan untuk inti WordPress melakukan tugasnya dengan sangat baik. Tim keamanan WordPress dengan cepat menemukan dan menambal masalah di setiap rilis WordPress baru.
Pada tahun 2023, kami telah memiliki tiga rilis keamanan yang menambal 20-30 potensi kerentanan. WordPress 6.0.3 sendiri berisi 16 perbaikan keamanan. Ada juga empat rilis keamanan dalam proyek ini pada tahun 2022, yang mengatasi total 26 bug keamanan.
Ditambah lagi, kewaspadaan ini meluas ke bagian ekosistem lainnya. Elementor mengalami kerentanan kritis yang segera ditambal, Ninja Forms menerima pembaruan paksa dari WordPress.org, dan BackupBuddy juga menambal kelemahan keamanan tingkat tinggi dan memberikan versi terbaru kepada penggunanya.
Jadi, meskipun WordPress memiliki masalah keamanan sama seperti perangkat lunak lainnya, WordPress memiliki sistem pengaman yang dapat merespons masalah tersebut dengan cepat. Salah satu rintangan terbesar yang masih ada adalah membuat pengguna menerapkan solusi tersebut.
Statistik tentang Tema WordPress dan Keamanan Plugin
Sebagai CMS paling populer, WordPress hadir dengan banyak sekali ekstensi, banyak di antaranya gratis. Pada saat penulisan ini, terdapat hampir 60.000 plugin di direktori WordPress saja, serta lebih dari 11.000 tema.
Itu belum termasuk ribuan plugin lain yang tersedia di bagian lain web, seringkali sebagai solusi premium. Itulah hal keren tentang WordPress, apa pun yang Anda cari, kemungkinan besar sudah ada solusinya.
Pada saat yang sama, setiap ekstensi yang Anda pasang di situs Anda merupakan titik masuk potensial bagi penyerang. Tema dan plugin adalah tanggung jawab masing-masing pengembang. Mereka tidak diuji seketat inti WordPress dan, oleh karena itu, lebih cenderung mengandung kelemahan keamanan. Selain itu, terkadang pengembang berhenti mendukung pekerjaan mereka dan menjadi ketinggalan jaman.
Oleh karena itu, tidak mengherankan jika mereka berperan besar dalam statistik keamanan WordPress, khususnya plugin. Faktanya, menurut WPScan.com, mereka mengandung sebagian besar kerentanan WordPress.
Patchstack mencapai angka yang sama.
Tampaknya terutama plugin gratis menjadi masalah. Sucuri melaporkan bahwa tema dan plugin premium menyumbang 8,62% dari semua kerentanan pihak ketiga, sedangkan ekstensi gratis menyumbang 91,38%.
Di sini juga, masalah umum adalah pemilik situs web menggunakan versi lama dengan masalah keamanan yang diketahui. Sucuri lebih lanjut melaporkan bahwa 36% dari semua situs web yang disusupi memiliki setidaknya satu plugin atau tema yang rentan saat sedang diperbaiki.
Akun Ekstensi Populer untuk Mayoritas Peretasan
Distribusi plugin dan tema mana yang menyebabkan masalah juga menarik. Menurut Sucuri, komponen rentan yang paling sering terdeteksi termasuk versi Formulir Kontak 7 yang sudah ketinggalan zaman (27,44%), Perpustakaan Freemius (20,85%), dan WooCommerce (14,51%). Ada beberapa lainnya.
Jadi, mengapa kami masih mengizinkan plugin ini ada jika kinerjanya buruk dalam hal keamanan? Di sini, hal yang sama berlaku seperti WordPress pada umumnya. Bukan berarti plugin ini lebih tidak aman, hanya saja plugin ini sangat populer. Formulir Kontak 7 sendiri memiliki lebih dari lima juta pemasangan.
Ditambah lagi, para pengembang ini benar-benar melakukan pekerjaan yang baik dalam memperbaiki masalah keamanan setelah masalah tersebut diketahui. Masalah hanya terjadi ketika pengguna tidak menerapkannya. Selain itu, ada upaya yang sedang dilakukan untuk mengatasi kekurangan plugin. Ada proposal terbaru untuk Pemeriksa Plugin yang mirip dengan plugin pemeriksa tema yang sedang dikerjakan.
Jadi, apa yang kita pelajari dari hal itu? Selalu perbarui tema dan plugin Anda seperti situs WordPress Anda lainnya.
Kerentanan Masuk
Kredensial login adalah faktor lain dalam situs web yang berhasil diretas. Nama pengguna dan kata sandi yang lemah menimbulkan risiko keamanan yang serius. Mereka mudah disusupi melalui serangan brute force dan pengisian kredensial.
Ketika hal seperti itu terjadi, tidak masalah seberapa mutakhir situs Anda atau keamanan plugin dan tema Anda. Setelah seseorang memiliki akses penuh ke situs Anda, hanya ada sedikit batasan mengenai apa yang dapat mereka lakukan.
Contohnya, Sucuri menemukan pengguna admin WordPress yang jahat di 32,69% situs web yang terinfeksi. Sekadar iseng, berikut adalah nama pengguna dan email yang paling sering mereka gunakan.
Di sisi lain, ini adalah salah satu bagian yang paling banyak berada di bawah kendali langsung pengguna. Misalnya, WordPress hadir dengan pembuat kata sandi aman otomatis. Mengapa tidak memanfaatkannya?
Namun, Anda perlu melakukan hal yang sama untuk akun lain yang terkait dengan situs web Anda seperti hosting dan kredensial FTP. Selain itu, ada langkah-langkah tambahan untuk melindungi halaman login Anda seperti membatasi upaya login dan otentikasi dua faktor.
Statistik Keamanan Hosting
Lingkungan hosting dan teknologi yang ada di dalamnya juga berperan dalam keamanan, terutama versi PHP yang dijalankan WordPress. Misalnya, PHP 7 memperkenalkan fitur keamanan yang lebih baik dibandingkan pendahulunya PHP 5.
Ditambah lagi, pengembang PHP memiliki kebijakan akhir masa pakai yang cukup ketat untuk versi lama mereka. Pada saat penulisan ini, apa pun sebelum 8.0 tidak lagi menerima dukungan atau perbaikan keamanan dan oleh karena itu lebih baik dihindari dalam jangka panjang.
Di sini, WordPress tidak terlihat terlalu bagus. Meskipun sebagian besar situs web WordPress berjalan pada setidaknya PHP 7.0 dan hampir setengahnya menggunakan versi 7.4, hanya seperempatnya saja yang menggunakan versi yang didukung secara aktif.
Bahkan ada sekitar 6% yang masih berjalan pada versi PHP 5.x, yang sudah bertahun-tahun tidak mendapat dukungan apa pun. Jadi, jika Anda belum melakukannya, perbarui versi PHP Anda.
Statistik Keamanan WordPress Singkatnya
Tidak ada CMS yang 100% aman, kenyataannya tidak ada yang terhubung ke web. Namun, terlepas dari apa yang mungkin Anda dengar di tempat lain, statistik keamanan WordPress secara keseluruhan sangat baik. Ya, memang ada permasalahan yang perlu diperbaiki, namun sebagian besar permasalahan tersebut sedang ditangani secara aktif.
Jika Anda ingin membantu meningkatkan angka tersebut lebih jauh lagi, Anda dapat melakukannya dengan mengikuti praktik terbaik berikut:
- Selalu perbarui WordPress dan plugin serta temanya
- Hanya gunakan ekstensi dari sumber yang memiliki reputasi baik
- Gunakan kata sandi dan kredensial yang kuat untuk segala sesuatu yang berhubungan dengan situs web Anda
- Pertimbangkan untuk menggunakan Firewall dan/atau CDN
- Batasi upaya masuk
- Gunakan sertifikat SSL untuk mengenkripsi lalu lintas di situs web Anda, termasuk dasbor Anda
- Pilih host yang memungkinkan Anda memperbarui versi PHP Anda
Jika Anda mengikuti ini, Anda harus memiliki statistik keamanan positif setidaknya untuk situs WordPress Anda sendiri.
Statistik apa tentang status keamanan WordPress yang menurut Anda paling menarik? Beri tahu kami di komentar di bawah!