Apa itu Serangan Hack WordPress Bertarget dan Tidak Bertarget

Diterbitkan: 2014-07-08

Jika Anda telah membaca tentang keamanan WordPress dan mencari peretasan dan penyesuaian keamanan WordPress untuk diterapkan pada plugin keamanan WordPress atau WordPress Anda untuk melindunginya dari serangan peretas, Anda akan melihat bahwa ada dua jenis serangan, peretasan WordPress bertarget dan tidak bertarget serangan.

Apa perbedaan antara serangan WordPress yang ditargetkan dan tidak ditargetkan dan bagaimana Anda dapat melindungi WordPress Anda dari kedua serangan ini? Artikel ini menjelaskan perbedaan antara kedua jenis serangan peretasan ini dan menjelaskan mengapa beberapa atau tweak dan peretasan WordPress dapat melindungi Anda dari satu jenis serangan dan bukan yang lain, dan sebaliknya.

Serangan Hack WordPress yang Tidak Ditargetkan

Serangan peretas WordPress yang tidak ditargetkan adalah serangan otomatis dan tidak secara khusus diluncurkan terhadap situs web WordPress saja. Misalnya jika peretas mencoba mengeksploitasi kerentanan yang diketahui di WordPress versi lama, mereka tidak mencari situs WordPress secara manual, memeriksa versi mereka dan melihat apakah mereka rentan terhadap kerentanan tersebut atau tidak.

Sebaliknya mereka menggunakan alat otomatis untuk mengirim permintaan HTTP tertentu yang digunakan untuk mengeksploitasi kerentanan ke sejumlah situs, biasanya berbagai alamat IP. Bergantung pada respons HTTP yang diterima kembali, alat ini menentukan apakah situs web target adalah instalasi WordPress yang rentan atau tidak.

Lindungi WordPress dari Serangan yang Tidak Ditargetkan

Oleh karena itu jika Anda menyembunyikan versi WordPress Anda, atau bahkan menyembunyikan fakta bahwa Anda menggunakan WordPress untuk situs Anda, Anda tidak akan melindungi situs Anda dari serangan peretasan WordPress yang tidak ditargetkan. Untuk melindungi WordPress dari serangan peretasan yang tidak ditargetkan, ikuti rekomendasi di bawah ini:

  1. Perbarui semua perangkat lunak Anda; selalu gunakan versi terbaru dan teraman dari WordPress, plugin dan tema yang Anda gunakan. Ini juga berlaku untuk MySQL, Apache, dan perangkat lunak lain yang berjalan di lingkungan web Anda.
  2. Selalu hapus instalan dan hapus plugin, tema, dan komponen serta file lain yang tidak diperlukan yang tidak digunakan.
  3. Jangan gunakan nama pengguna biasa seperti admin, administrator, dan root untuk akun administrator WordPress Anda. Jika Anda mengganti nama akun administrator WordPress.
  4. Lindungi halaman login dan admin WordPress dengan menambahkan lapisan otentikasi tambahan. Baca Melindungi Halaman Login WordPress dengan Otentikasi HTTP untuk informasi lebih lanjut.
  5. Gunakan kata sandi yang kuat; ini tidak hanya berlaku untuk WordPress tetapi untuk layanan atau situs web lain yang Anda gunakan secara online. Jika Anda memiliki banyak pengguna yang menggunakan WordPress, gunakan Plugin untuk membuat Kebijakan Kata Sandi WordPress untuk memastikan pengguna menggunakan kata sandi yang kuat.

Serangan Hack WordPress yang Ditargetkan

Serangan peretasan yang ditargetkan secara khusus ditargetkan ke situs web dan blog Anda. Ada beberapa alasan mengapa situs WordPress Anda mungkin menjadi korban serangan yang ditargetkan dan alasan mengapa WordPress Anda menjadi korban serangan yang ditargetkan tidaklah penting. Yang penting adalah memahami apa yang terjadi dalam serangan yang ditargetkan sehingga Anda dapat melindungi situs web dan blog WordPress Anda dengan lebih baik.

Serangan yang ditargetkan lebih berbahaya daripada yang tidak ditargetkan hanya karena daripada memiliki sejumlah alat otomatis yang memindai situs web secara acak, ada manusia yang menganalisis setiap detail tentang situs web Anda dengan harapan menemukan sesuatu yang dapat dieksploitasi.

Anatomi Serangan WordPress yang Ditargetkan

Pada awalnya penyerang akan menggunakan alat otomatis untuk memeriksa apakah versi WordPress Anda rentan terhadap kerentanan yang diketahui. Karena alat otomatis digunakan, menyembunyikan versi WordPress Anda tidak membantu dalam skenario seperti itu.

Penyerang juga akan mencoba menentukan plugin apa yang berjalan di WordPress Anda dan apakah ada di antara mereka yang rentan terhadap kerentanan tertentu. Sekali lagi sebagian besar tugas ini dilakukan dengan menggunakan alat otomatis.

Tautan terlemah dalam keamanan WordPress biasanya adalah kredensial. Oleh karena itu menggunakan alat otomatis penyerang akan mencoba menghitung semua pengguna WordPress dan bahkan meluncurkan serangan kamus kata sandi terhadap WordPress.

Masih banyak cara dan sarana lain cara hack blog atau website WordPress dan serangan yang ditargetkan tidak secara khusus memanfaatkan kelemahan keamanan di WordPress atau salah satu komponennya. Itu juga bisa menjadi lubang keamanan di perangkat lunak server web atau konfigurasi dll, tetapi tiga di atas adalah titik masuk serangan peretasan yang paling umum.

Lindungi WordPress dari Serangan Tertarget

Ada banyak peretasan dan penyesuaian WordPress yang dapat Anda terapkan untuk melindungi WordPress Anda dari serangan peretasan yang ditargetkan seperti yang disorot dalam daftar di bawah ini:

  1. Untuk memulainya, semua yang berlaku untuk melindungi WordPress Anda dari serangan WordPress yang tidak ditargetkan berlaku juga untuk serangan yang ditargetkan
  2. Amankan dan Lindungi Akun Administrator WordPress Anda
  3. Aktifkan SSL WordPress untuk mengakses halaman login dan halaman admin WordPress Anda melalui lapisan komunikasi terenkripsi untuk menghindari nama pengguna dan kata sandi WordPress Anda dibajak
  4. Gunakan plugin pemantauan dan audit keamanan WordPress untuk melacak semua yang terjadi di WordPress Anda dan mengidentifikasi aktivitas yang mencurigakan sebelum menjadi masalah keamanan
  5. Gunakan peran pengguna WordPress untuk meningkatkan keamanan WordPress dengan memastikan setiap pengguna hanya memiliki hak minimum yang diperlukan untuk melakukan pekerjaan itu
  6. Gunakan pemindai kotak hitam keamanan WPScan WordPress dan alat lain untuk sering memindai dan mengaudit situs web WordPress Anda.

Melindungi WordPress dari Semua Jenis Serangan Peretas

Dari waktu ke waktu Anda mungkin membaca tentang tweak keamanan WordPress tertentu yang menurut beberapa orang berfungsi sementara yang lain mengatakan tidak, seperti menyembunyikan versi WordPress Anda. Dalam kasus seperti itu, kita tahu bahwa menyembunyikan versi WordPress tidak meningkatkan keamanannya, jadi mengapa menerapkan tweak seperti itu? Jika Anda ragu tentang tweak tertentu, jika tweak tidak memengaruhi kinerja WordPress Anda dan mudah diterapkan, lanjutkan dan terapkan. Lebih baik aman daripada menyesal!

Terlepas dari tips di atas, ada banyak cara lain untuk meningkatkan keamanan blog dan situs web WordPress Anda dan melindunginya dari serangan peretasan WordPress yang ditargetkan dan tidak. Idealnya Anda harus terus memperbarui diri dengan berlangganan blog keamanan WordPress di mana tip, peretasan, dan penyesuaian keamanan WordPress sering dipublikasikan.