Ribuan Situs WordPress Berpotensi Menggunakan Plugin Rentan: Inilah Cara Menjaga Keamanan Situs Anda

Pada bulan Maret 2024, kerentanan kritis ditemukan di plugin WordPress WordPress Otomatis. Tersedia di pasar Code Canyon, WordPress Otomatis adalah pengikis konten otomatis yang mengambil artikel, video, produk, gambar, dan jenis konten lainnya dari sumber eksternal dan menerbitkan ulang konten tersebut di situs web Anda secara otomatis.

Firma riset Patchstack menemukan kerentanan tersebut, yang memungkinkan pelaku kejahatan menggunakan serangan injeksi SQL untuk mengambil kendali penuh atas situs web yang rentan. Semua jenis situs web – mulai dari toko vape hingga blog pribadi – rentan terhadap serangan jika mereka menggunakan versi plugin yang belum dipatch.

Meskipun plugin telah segera ditambal, beberapa pemilik situs web tidak memasang tambalan tersebut karena mereka tidak menyadari tingkat keparahan masalahnya. Ulasan pengguna terbaru untuk plugin WordPress Otomatis menunjukkan bahwa setidaknya beberapa situs web hilang sepenuhnya karena kerentanan.

Tidak ada situs web yang benar-benar kebal terhadap peretasan, dan WordPress – yang mendukung sekitar 43 persen situs web di dunia – merupakan target prioritas pelaku kejahatan.

Namun, inilah kabar baiknya: Ketika sebuah situs web diretas, hal itu biasanya bukan karena peretas menargetkan situs tersebut secara spesifik. Seringkali, situs web diretas karena menjalankan tema atau plugin WordPress rentan yang ditemukan melalui penggunaan pemindai otomatis.

Dengan kata lain, jika situs Anda tidak diketahui memiliki kerentanan yang mudah ditemukan dengan pemindai dan dieksploitasi dengan cara otomatis, peretas biasanya akan melanjutkan.

Oleh karena itu, Anda dapat menjaga situs WordPress Anda tetap aman hanya dengan mengikuti beberapa praktik keamanan yang masuk akal. Dalam panduan ini, kami akan menjelaskan dengan tepat apa yang perlu Anda lakukan untuk meminimalkan risiko plugin tidak aman yang menyebabkan situs Anda mati sebelum waktunya.

Perbarui Tema dan Plugin Anda Segera

Saat Anda masuk ke WordPress, Anda akan selalu melihat pemberitahuan di sidebar jika pembaruan tersedia untuk tema atau plugin situs Anda. Dalam beberapa kasus, plugin dengan pembaruan yang tertunda bahkan akan menampilkan pesan di bagian atas halaman. Jika situs Anda memiliki banyak plugin, Anda mungkin melihat pemberitahuan pembaruan hampir setiap kali Anda masuk dan terkadang cenderung menunda-nunda saat mengunduh dan menginstal pembaruan tersebut. Namun, Anda melakukannya dengan risiko sendiri, karena Anda tidak pernah tahu kapan pembaruan dapat menyertakan perbaikan untuk masalah keamanan kritis.

Plugin WordPress Otomatis segera diperbarui ketika pembuatnya diberitahu tentang kelemahan keamanan. Namun, perjanjian non-disclosure dilaporkan menghalangi pembuat plugin untuk mendiskusikan kelemahan tersebut hingga dipublikasikan oleh Patchstack. Oleh karena itu, beberapa pengguna mengabaikan pembaruan tersebut.

Pertahankan Cadangan Situs dan Basis Data Lengkap

Semakin umum bagi web host untuk menawarkan pencadangan situs web dan basis data otomatis penuh, yang merupakan hal yang bagus untuk keamanan. Jika situs web Anda diretas, memiliki cadangan berarti Anda dapat memulihkan situs ke keadaan sebelumnya – terkadang dengan satu klik. Jika host Anda tidak menawarkan layanan ini, beberapa plugin WordPress dapat melakukan pekerjaan tersebut untuk Anda. Namun, penting untuk memelihara perpustakaan cadangan dari beberapa titik waktu yang berbeda. Jika situs web Anda diretas, mungkin perlu beberapa saat sebelum Anda menyadarinya.

Pertimbangkan Menjalankan Plugin Keamanan

Jika situs web Anda adalah bisnis Anda, tidak ada alasan untuk tidak memiliki solusi keamanan. Plugin keamanan dapat secara otomatis memantau upaya akses dan memblokir pengguna yang tampaknya berbahaya. Beberapa jaringan pengiriman konten juga menyediakan layanan ini. Plugin keamanan juga dapat memantau file dan kode mentah situs Anda dan memberi tahu Anda jika ada perubahan yang tidak terduga. Jika file baru tiba-tiba muncul di server Anda, kemungkinan besar situs Anda telah diretas.

Dapatkan Tema dan Plugin Anda dari Sumber Tepercaya

Repositori WordPress selalu menjadi tempat paling andal untuk menemukan tema dan plugin untuk situs Anda. Karena semua yang ada di situs WordPress.org gratis dan open source, semua plugin dan tema di sana dipantau oleh komunitas sukarelawan WordPress yang sangat besar. Namun, dalam banyak kasus, Anda mungkin memerlukan fungsionalitas yang tidak tersedia dalam tema atau plugin gratis – dan dalam kasus ini, Anda harus membayar untuk perangkat lunak premium. Pastikan seseorang telah mengaudit kode tersebut dan menyatakannya aman.

Hapus Tema dan Plugin yang Tidak Digunakan

Setiap tema dan plugin yang dipasang di situs WordPress Anda harus diperlakukan sebagai potensi lubang keamanan karena itulah yang dilakukan peretas – mereka terus-menerus meneliti setiap bagian kode WordPress yang ada dan mencari kerentanan untuk dieksploitasi. Setiap kali Anda menghapus tema atau plugin dari situs Anda, Anda menghilangkan potensi titik masuk. Periksa plugin dan tema situs Anda dan hapus apa pun yang tidak Anda gunakan. Ada baiknya juga untuk memeriksa plugin aktif Anda dan memastikan bahwa Anda benar-benar membutuhkan semuanya.

Temukan Pengganti untuk Plugin yang Terbengkalai

Apakah sudah lama sekali sejak terakhir kali Anda melihat pemberitahuan pembaruan untuk plugin tertentu? Jika ya, Anda mungkin ingin memeriksa log perubahan plugin untuk menentukan kapan terakhir kali diperbarui. Kecuali jika fungsi plugin sangat sederhana, Anda harus menganggapnya ditinggalkan oleh pembuatnya jika plugin tersebut belum diperbarui selama lebih dari satu tahun atau lebih. Dalam hal ini, Anda harus mencari plugin yang menyediakan fungsi yang sama dan masih aktif diperbarui. Lubang keamanan dapat mengintai plugin lama dalam waktu lama sebelum ditemukan – dan jika plugin yang memiliki lubang tersebut tidak lagi diperbarui oleh pembuatnya, kerentanan tersebut tidak akan pernah diperbaiki.

Pekerjakan Pengembang untuk Mengaudit Plugin dan Tema Lama

Misalkan situs web Anda memiliki plugin yang sangat penting yang telah ditinggalkan oleh pengembang dan tidak lagi diperbarui. Dalam hal ini, Anda harus memastikan bahwa plugin tersebut aman dan tidak memiliki kerentanan. Dalam hal ini, menyewa seorang pengembang dan meminta orang tersebut mengaudit plugin untuk Anda adalah ide yang sangat bagus. Mempertahankan plugin mungkin menjadi pengeluaran berkelanjutan sampai Anda menemukan penggantinya.