5 Serangan WordPress Paling Umum dan Cara Mencegahnya

Apakah Anda khawatir peretas akan menyerang situs web WordPress Anda? Kami berharap kami dapat memberi tahu Anda untuk tidak khawatir, tetapi sebenarnya situs web WordPress terus-menerus menjadi sasaran peretas. Ini terutama karena popularitasnya karena WordPress memberdayakan sepertiga dari semua situs web di internet.

Meskipun WordPress sendiri adalah platform pembuatan situs web yang aman, ia tidak berfungsi sendirian. Anda memerlukan plugin dan tema untuk menjalankan situs WordPress. Plugin dan tema sering mengembangkan kerentanan yang dieksploitasi oleh peretas untuk meretas situs web.

Begitu mereka memiliki akses ke situs web Anda, mereka menjalankan segala jenis aktivitas jahat seperti mencuri informasi sensitif, menipu pelanggan, dan menampilkan konten ilegal. Sementara itu, situs Anda dapat ditandai dengan peringatan di hasil pencarian atau dapat dimasukkan daftar hitam oleh Google, atau bahkan ditangguhkan oleh host web Anda. Semua ini menyebabkan hilangnya pengunjung dan pendapatan.

Sementara pengembang WordPress menjaga platform tetap aman, pemilik situs WordPress juga perlu mengambil tindakan sendiri. Pada artikel ini, kami membahas serangan paling umum di situs WordPress dan tindakan pencegahan yang dapat Anda lakukan terhadapnya.

TL; DR: Jika Anda khawatir peretas menyerang situs web WordPress Anda, Anda dapat segera mengambil tindakan perlindungan situs web. Anda dapat menginstal plugin keamanan WordPress kami, MalCare. Ini akan memindai dan memantau situs Anda setiap hari dan memblokir peretas yang mencoba masuk.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Final Thoughts”]

Mengapa WordPress Menjadi Target Populer Untuk Peretas?

WordPress adalah platform pembuatan situs web yang memungkinkan siapa saja membangun situs web tanpa mengetahui cara membuat kode. Selain itu, WordPress bebas biaya.

Hasilnya, platform ini memberdayakan lebih dari 1,3 miliar situs aktif saat ini.

Kelemahan dari semua ini adalah situs web WordPress lebih ditargetkan daripada situs web yang dibangun di platform lain mana pun.

Sekarang ada beberapa cara yang dapat digunakan peretas untuk masuk ke situs Anda. Kami telah mempersempitnya menjadi 5 yang paling umum. Kami akan menjelaskan apa yang terjadi dan bagaimana Anda dapat melindungi situs WordPress Anda darinya.

5 Serangan Paling Umum di Website WordPress

1. Plugin dan Tema Rentan

Situs WordPress dibuat menggunakan tiga elemen – instalasi inti, tema, dan plugin. Ketiga elemen tersebut berpotensi membuat situs rentan terhadap peretasan.

Selama bertahun-tahun, tidak ada kerentanan besar di inti WordPress. Itu dikelola oleh tim pengembang yang sangat berpengalaman dan berkualitas. Mereka bekerja keras untuk memastikan platform benar-benar aman sehingga Anda tidak perlu khawatir di sana.

Namun, plugin dan tema WordPress dibuat oleh pengembang pihak ketiga dan cenderung cukup sering mengembangkan kerentanan WordPress.

Ketika pengembang menemukan kerentanan apa pun, mereka segera memperbaikinya dan merilis versi terbaru.

Anda, pemilik situs, perlu memperbarui ke versi terbaru dan situs Anda akan aman. Penting untuk segera menginstal pembaruan keamanan tersebut. Ini karena ketika pengembang merilis pembaruan, mereka juga merilis alasan pembaruan tersebut. Dengan demikian, kerentanan diumumkan kepada publik.

Ini berarti peretas sekarang tahu bahwa ada kerentanan. Mereka juga tahu bahwa tidak semua pemilik situs segera memperbarui situs mereka. Jadi begitu mereka mengetahui bahwa sebuah plugin atau tema rentan, mereka memprogram bot dan pemindai untuk menjelajahi internet dan menemukan situs yang menggunakannya. Mengetahui dengan tepat apa kerentanannya memudahkan mereka untuk mengeksploitasi, membobol, dan memasukkan malware seperti wp feed malware, dll;.

Cara Melindungi Situs Anda dari Plugin & Tema Rentan

1. Gunakan hanya tema dan plugin tepercaya yang ditemukan di repositori WordPress atau pasar seperti ThemeForest dan Code Canyon.
2. Periksa daftar plugin Anda secara teratur dan simpan hanya yang Anda gunakan. Hapus yang tidak Anda perlukan atau tidak aktif.
3. Pindai tema Anda secara teratur dan Idealnya, Anda hanya menyimpan tema yang sedang Anda gunakan secara aktif.
4. Jangan pernah menggunakan tema dan plugin bajakan. Mereka biasanya mengandung malware yang akan menginfeksi situs web Anda.
5. Pastikan Anda mengenali semua plugin dan tema di situs Anda. Terkadang peretas memasang plugin dan tema mereka sendiri yang memasang pintu belakang situs web. Ini memberi mereka akses rahasia ke situs Anda.

2. Serangan Brute Force

Untuk masuk ke situs WordPress Anda, Anda perlu memasukkan kredensial login Anda, yaitu nama pengguna dan kata sandi.

Sering kali, pemilik situs WordPress menggunakan nama pengguna dan kata sandi yang mudah diingat. Banyak pengguna WordPress mempertahankan nama pengguna default 'admin'. Kata sandi umum termasuk 'password123' atau '1234567'.

Peretas sangat menyadari hal ini dan menyerang halaman login situs WordPress.

Mereka membuat database nama pengguna dan kata sandi yang umum digunakan. Selanjutnya, mereka memprogram bot untuk menargetkan situs WordPress dan mencoba berbagai kombinasi yang ada di database mereka.

Jika kredensial login Anda lemah, bot memiliki peluang tinggi untuk menebaknya dan masuk ke situs Anda. Ini dikenal sebagai 'Brute Force Attacks' dan diperkirakan memiliki tingkat keberhasilan 10%!

Cara Melindungi Situs Anda dari Brute Forcing

Ada beberapa langkah yang dapat Anda ambil untuk mengamankan situs Anda dari serangan brute force:

1. Secara default, nama pengguna WordPress Anda adalah admin. Anda dapat mengubahnya dari admin menjadi sesuatu yang lebih unik.
2. Gunakan kata sandi WordPress yang kuat. Kami menyarankan untuk menggunakan frasa sandi yang dikombinasikan dengan angka dan simbol seperti Birdsofafeather123$.
3. Gunakan kredensial unik yang belum pernah Anda gunakan di situs web lain.
4. Batasi jumlah upaya login di situs Anda. Ini berarti pengguna WordPress hanya memiliki kesempatan terbatas untuk memasukkan kredensial yang tepat seperti 3 percobaan atau 5 percobaan. Setelah ini, mereka harus menggunakan opsi 'lupa kata sandi'. Anda dapat menginstal plugin keamanan MalCare kami di situs Anda dan secara otomatis akan menerapkan perlindungan login ini untuk Anda.
5. Gunakan otentikasi dua faktor di mana pengguna WordPress harus memasukkan kredensial mereka bersama dengan kata sandi satu kali yang dibuat di ponsel cerdas mereka atau dikirim ke alamat email terdaftar mereka.

3. Serangan Injeksi

Hampir setiap situs web memiliki bidang input seperti formulir kontak, bilah pencarian situs, atau bagian komentar yang memungkinkan pengunjung memasukkan data. Beberapa situs web juga mengizinkan pengunjung untuk mengunggah dokumen dan file gambar.

Biasanya data ini diterima dan dikirim ke database Anda untuk diproses dan disimpan. Bidang ini memerlukan konfigurasi yang tepat untuk memvalidasi dan membersihkan data sebelum masuk ke database Anda. Ini akan memastikan bahwa hanya data valid yang diterima. Jika langkah-langkah ini kurang, peretas mengeksploitasinya dan memasukkan kode berbahaya.

Mari kita ambil contoh situs WordPress yang memiliki formulir kontak. Idealnya formulir ini harus menerima nama, alamat email, dan nomor telepon.

1. Bidang nama hanya boleh menerima huruf alfabet.
2. Bidang alamat email harus menerima format alamat email yang valid seperti [email protected].
3. Bidang nomor telepon hanya boleh berisi angka.

Sekarang jika konfigurasi ini tidak ada, peretas dapat memasukkan skrip berbahaya seperti:

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

Ini adalah kode yang akan memerintahkan database untuk menjalankan fungsi tertentu. Dengan cara ini, peretas dapat menjalankan skrip jahat di situs Anda yang dapat mereka gunakan untuk mendapatkan kontrol penuh atas situs Anda.

Serangan injeksi paling populer di situs WordPress termasuk serangan injeksi SQL dan Cross-Site Scripting.

Cara Melindungi Situs Web Anda dari Serangan Injeksi

1. Banyak serangan injeksi berasal dari tema dan plugin yang mengaktifkan input pengunjung di situs Anda. Kami menyarankan hanya menggunakan tema dan plugin tepercaya. Selanjutnya, selalu perbarui plugin dan tema Anda.
2. Mengontrol entri lapangan dan pengiriman data. Ini teknis dan akan membutuhkan bantuan pengembang.
3. Gunakan firewall WordPress. Jika Anda telah menginstal MalCare di situs Anda, MalCare secara otomatis memasang firewall yang kuat untuk melindungi situs Anda dari peretas.

4. Phishing dan Pencurian Data

Pengunjung berinteraksi dengan situs web Anda dengan berbagai cara. Beberapa dari mereka hanya membaca posting blog Anda, yang lain menghubungi Anda melalui kontak Anda, dan seterusnya. Jika Anda menjalankan situs e-niaga, maka banyak pengunjung yang membeli barang dari situs web Anda. Ini berarti mereka harus masuk ke situs web Anda dan memasukkan informasi kartu kredit.

Ketika seseorang memasukkan informasi kartu kredit ke situs Anda, itu mentransfer dan menyimpan informasi di server situs Anda. Informasi ini dapat dicegat saat sedang ditransfer. Apalagi data kartu kredit bisa dicuri.

Mereka juga dapat membobol situs web Anda dan berpose seperti Anda. Mereka mengirim email atau mengarahkan pengunjung ke situs web lain dan mengelabui mereka agar mengungkapkan data pribadi dan informasi pembayaran.

Cara Melindungi Situs Anda Dari Phishing dan Pencurian Data

1. Gunakan sertifikat SSL. Ini akan mengenkripsi data yang ditransfer dari dan ke situs Anda. Bahkan jika seorang peretas mencegatnya, mereka tidak dapat menggunakannya karena mereka tidak akan dapat menguraikannya. Lihat panduan kami tentang cara menggunakan SSL dan HTTPS. Itu juga akan menghapus situs WordPress bukan peringatan aman di situs Anda.
2. Gunakan Plugin Keamanan WordPress untuk menerima peringatan jika ada aktivitas mencurigakan di situs web Anda. Plugin juga akan memblokir upaya peretasan.

5. Pencurian Kue

Pernahkah Anda memperhatikan bahwa ketika Anda masuk ke suatu situs, browser Anda meminta 'ingat saya' atau 'simpan kata sandi'? Ini dilakukan agar Anda tidak perlu memasukkan kredensial login setiap kali ingin mengakses situs web. Anda dapat memilih untuk mengizinkan browser menyimpan detail login Anda.

Browser dapat menyimpan data tersebut karena cookie. Cookie adalah potongan kecil data yang merekam interaksi pengunjung dengan situs web. Misalnya, jika Anda menjalankan toko online, situs Anda mungkin melacak perjalanan pelanggan seperti produk apa yang mereka telusuri dan apa yang mereka beli. Data ini digunakan dalam analitik dan juga pengiklan menyesuaikan iklan dengan preferensi pengunjung. Kini, cookie juga dapat menyimpan detail bank dan informasi pribadi.

Jika peretas dapat mencuri kuki situs web Anda, mereka dapat mengakses data sensitif bisnis dan pengunjung Anda. Mereka dapat mengeksploitasi data ini untuk melakukan tindakan jahat seperti menipu pelanggan dengan menggunakan informasi kartu kredit mereka.

Anda dapat membaca lebih lanjut tentang ini di panduan mudah kami untuk Pencurian Cookie dan Pembajakan Sesi.

Cara Melindungi Situs Anda Dari Pencurian Cookie dan Pembajakan Sesi

• Ubah kunci dan garam WordPress Anda secara teratur. Kunci dan garam menyediakan enkripsi yang aman dari informasi yang disimpan dalam cookie browser. Langkah ini bersifat teknis. Kami merekomendasikan penggunaan fitur pengerasan WordPress MalCare untuk mengubah kunci dan garam Anda. Dari dasbor MalCare, akses Keamanan > Pengerasan WordPress > Ubah Kunci dan Garam Keamanan WordPress.

• Di sini juga, kami menyarankan untuk memasang sertifikat SSL untuk melindungi data situs web Anda.

Hal itu mengakhiri Serangan WordPress yang paling umum. Sebelum mengakhiri, kami ingin menunjukkan beberapa tindakan pengerasan WordPress yang akan membuat situs Anda lebih kuat dari serangan semacam itu.

Bagaimana Cara Memperkuat Situs WordPress Anda Terhadap Serangan ?

Meskipun Anda dapat mengambil tindakan khusus untuk melindungi situs web Anda dari serangan tertentu, ada beberapa tindakan keamanan keseluruhan yang dapat Anda terapkan di situs Anda untuk perlindungan yang lebih baik. Ini disebut langkah-langkah pengerasan WordPress. Kami telah menjelaskannya secara singkat di sini, tetapi Anda dapat membaca panduan mendalam tentang Pengerasan WordPress untuk penjelasan yang lebih detail.

1. Menonaktifkan editor file

WordPress memiliki fitur yang memungkinkan Anda mengedit file tema dan plugin langsung dari dashboard. Banyak pemilik situs web tidak memerlukan fitur ini, sebagian besar digunakan oleh pengembang. Tetapi jika seorang peretas membobol dasbor wp-admin Anda, mereka dapat memasukkan kode berbahaya ke dalam file tema dan plugin Anda. Jadi, jika Anda tidak membutuhkan fitur ini, fitur ini dapat dinonaktifkan.

2. Menonaktifkan instalasi plugin atau tema

Saat peretas dapat mengakses situs Anda, mereka memasang plugin atau tema mereka sendiri. Plugin dan tema ini biasanya berbahaya dan mengandung backdoor. Ini memberi peretas akses rahasia ke situs Anda.

Plus, seperti yang kami sebutkan, tema dan plugin yang rentan adalah penyebab utama situs yang diretas. Jika Anda memiliki banyak pengguna di situs web Anda, mereka mungkin memasang plugin atau tema yang tidak aman. Ini dapat membuka situs Anda untuk peretas. Jika Anda ingin menghindari ini, Anda dapat menonaktifkan penginstalan plugin dan tema di situs Anda.

Jika Anda tidak menginstal plugin dan tema secara teratur di situs Anda, Anda dapat menonaktifkan opsi penginstalan.

3. Membatasi upaya login

Seperti yang kami sebutkan sebelumnya, Anda dapat membatasi jumlah kemungkinan pengguna WordPress harus memasukkan kredensial login yang benar untuk masuk ke situs. Ini menghilangkan risiko serangan brute force.

4. Mengubah kunci dan garam keamanan

Kunci dan garam mengenkripsi informasi yang disimpan di browser Anda. Jadi, meskipun seorang peretas berhasil mencuri cookie Anda, mereka tidak dapat menguraikannya. Namun, jika peretas mengakses kunci dan garam ini, mereka dapat menggunakannya untuk mendekripsi cookie. Mengganti kunci dan garam Anda secara teratur dapat membantu menghindari pencurian cookie.

5. Memblokir eksekusi PHP di folder yang tidak dikenal

Hanya ada file dan folder tertentu di situs WordPress Anda yang mengeksekusi kode. Folder lain hanya menyimpan informasi seperti folder Unggahan Anda yang menyimpan gambar dan video.

Namun, ketika peretas memperoleh akses ke situs web Anda, mereka memasukkan kode php ke dalam folder acak atau bahkan membuat folder sendiri.

Anda dapat memblokir aktivitas tersebut dengan menonaktifkan eksekusi PHP di folder yang tidak dikenal.

Menerapkan langkah-langkah ini membutuhkan keahlian teknis. Kami tidak menyarankan melakukannya secara manual. Jauh lebih aman dan mudah menggunakan plugin seperti MalCare yang memungkinkan Anda melakukannya hanya dengan beberapa klik.

Dengan itu, kami yakin situs web WordPress Anda aman dan terlindung dari peretas.

Pikiran Akhir

Peretas memiliki banyak cara untuk masuk ke situs WordPress Anda dan mereka sering membuat yang baru!

Anda perlu mengambil langkah-langkah keamanan untuk melindungi situs web Anda dan memastikannya aman dari serangan peretasan.

Kami merekomendasikan penggunaan MalCare Security Plugin kami untuk mengamankan situs WordPress Anda. Ini akan memblokir peretas dan bot berbahaya untuk mengakses situs Anda. Anda dapat yakin bahwa situs Anda dipantau dan dilindungi.

Cegah Peretasan Dengan Plugin Keamanan MalCare kami !