30+ Masalah & Kerentanan Keamanan WordPress Paling Umum

Diterbitkan: 2023-08-18

WordPress adalah salah satu sistem manajemen konten (CMS) teraman yang dapat Anda gunakan untuk menjalankan situs web. Namun, setiap perangkat lunak hadir dengan kerentanan dan masalah keamanan, yang sebagian besar bergantung pada perilaku pengguna. Jika Anda tidak tahu apa masalah ini atau bagaimana cara mencegahnya, perangkat lunak yang paling aman sekalipun mungkin tidak dapat melindungi situs web Anda dari serangan.

Kabar baiknya adalah melindungi situs WordPress lebih mudah dibandingkan dengan sistem lain karena Anda memiliki akses ke plugin keamanan yang kuat. Gabungkan itu dengan kredensial yang aman dan semua kecuali serangan yang paling canggih tidak akan memiliki peluang untuk menembus situs Anda.

Pada artikel ini, kita akan berbicara tentang pentingnya pencegahan untuk menjaga keamanan WordPress. Kemudian, kita akan membahas jenis masalah paling umum yang mungkin dihadapi pemilik situs WordPress dan jenis serangan apa yang paling sering menjadi sasaran situs web.

Dari penginstalan WordPress awal pertama Anda hingga mengelola situs yang ramai dan sukses, kami siap membantu Anda.

wanita yang bekerja di depan komputer desktop

Pentingnya menutup semua potensi kerentanan keamanan

Konsep menjaga situs web Anda "aman" bisa jadi agak kabur. Ketika orang berbicara tentang melindungi situs Anda, mereka biasanya mengacu pada mencegah pengguna WordPress yang tidak sah membuat perubahan, mencegah file berbahaya diunggah, atau mengurangi kemungkinan pelanggaran data.

Gagal melindungi situs web Anda dari potensi pelanggaran keamanan dapat memengaruhi Anda dalam banyak cara, bahkan jika Anda tidak berurusan dengan sejumlah besar informasi pengguna yang sensitif. Misalnya, jika Anda menjalankan bisnis online kecil namun mapan, masalah keamanan dapat berdampak negatif terhadap cara pandang pelanggan terhadap Anda.

Untuk memahami betapa pentingnya pencegahan masalah keamanan, mari kita uraikan alasannya mereka bisa sangat merusak:

  • Akses tidak sah. Banyak pembaruan untuk situs WordPress berisi tambalan untuk kerentanan keamanan yang telah ditemukan sejak versi sebelumnya dirilis. Jika situs web Anda tidak diperbarui, berisiko diakses dan dieksploitasi oleh peretas yang mengetahui kerentanan ini.
  • Kehilangan informasi rahasia. Jika situs web Anda disusupi, pelaku jahat dapat memperoleh kendali atas situs Anda dan data sensitif, termasuk informasi pengguna dan materi rahasia lainnya. Jika Anda menjalankan toko online atau jenis situs lainnya yang menangani data pribadi pengguna, ini dapat menimbulkan implikasi serius, baik secara hukum maupun reputasi Anda.
  • Kinerja situs web yang buruk. Jika seseorang memperoleh akses ke situs web Anda, mereka dapat mengubah cara kerjanya dan berdampak negatif pada kinerjanya. Dalam beberapa kasus, penyerang bahkan mungkin tidak perlu masuk untuk membuat situs web "turun", seperti serangan Direct Denial of Service (DDoS).
  • Pelanggaran kepatuhan. Di industri tertentu, gagal mengamankan data pengguna dapat membuat Anda melanggar kepatuhan terhadap peraturan. Misalnya, di sektor kesehatan dan keuangan, perusahaan diharuskan menggunakan perangkat lunak terkini untuk memastikan tingkat keamanan data tertinggi. Dan situs yang menerima pembayaran kartu kredit harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
orang yang mengerjakan desain di komputer

Jika Anda menjalankan situs web WordPress, keamanan adalah yang paling penting. Menopang situs web Anda sejak awal akan mencegah jenis masalah yang paling umum dan membantu Anda menjaga keamanan data pengguna.

Cara mengungkap kerentanan keamanan di situs WordPress Anda

Sayangnya, mungkin untuk menggunakan komputer yang terinfeksi tanpa menyadarinya. Dalam banyak kasus, perangkat berakhir dengan malware dan pengguna tidak ada yang lebih bijak.

Hal yang sama dapat terjadi dengan situs web. Situs WordPress Anda mungkin rentan terhadap serangan, atau mungkin sudah terinfeksi malware. Kecuali penyerang membuatnya terlihat jelas, atau Anda memiliki akses ke alat yang tepat, hal ini sulit dikenali.

Sama seperti Anda memiliki perangkat lunak antivirus untuk komputer, ada juga pemindai keamanan untuk WordPress. Alat seperti Jetpack Security dapat memindai situs web Anda untuk menemukan kerentanan keamanan WordPress dan memberi tahu Anda jika ada masalah atau kejanggalan yang perlu Anda perbaiki.

pemberitahuan dari Jetpack bahwa semuanya terlihat aman di situs

Alat Pemindaian Jetpack Security bergantung pada basis data kerentanan WPScan, yang digunakan oleh perusahaan perusahaan. Artinya, basis datanya sangat komprehensif, dan memiliki kemampuan untuk mengidentifikasi kerentanan paling umum yang mungkin dihadapi situs Anda.

Selain itu, Jetpack Security adalah plugin keamanan yang mudah digunakan yang dikembangkan oleh Automattic, perusahaan di belakang WordPress.com. Selain Pemindaian Jetpack, ini termasuk Pencadangan VaultPress dan Akismet. Jadi, saat Anda memilih alat ini, Anda akan dapat melindungi situs Anda dari kerentanan serta spam, dan Anda juga akan mendapatkan fitur pencadangan lanjutan.

20 masalah keamanan dan kerentanan WordPress yang paling umum

Di bagian ini, kami akan berfokus pada masalah keamanan paling umum yang terlihat di situs WordPress. Setiap masalah ini dapat menyebabkan kerentanan yang dapat dieksploitasi oleh penyerang.

Ini bisa menjadi banyak informasi untuk dicerna, jadi jangan kewalahan. Kami akan memberi tahu Anda apa yang perlu Anda ketahui tentang setiap masalah keamanan, dan menyediakan beberapa sumber daya tambahan untuk mempelajarinya lebih lanjut dan cara memperbaikinya.

1. Kurangnya plugin keamanan WordPress

Plugin keamanan adalah salah satu alat WordPress paling populer. Bergantung pada plugin mana yang Anda gunakan, itu mungkin dapat memindai situs web Anda dari malware, menyiapkan firewall, membantu Anda membuat cadangan, mencegah spam, dan banyak lagi.

Anda dapat melakukan semua yang dilakukan plugin keamanan secara manual. Namun, itu biasanya melibatkan penyesuaian banyak aspek situs Anda di bagian belakang. Misalnya, mengedit file inti untuk memblokir IP yang mencurigakan. Seperti yang dapat Anda bayangkan, mengamankan situs Anda secara manual bisa sangat memakan waktu.

Keindahan dari plugin keamanan adalah mereka dapat menghemat banyak waktu dan kerumitan Anda. Terlebih lagi, mereka dapat bertindak sebagai solusi lengkap untuk banyak kerentanan WordPress yang lebih umum.

Plugin WordPress menawarkan fungsionalitas yang berbeda, jadi sebaiknya pilih alat yang mencakup sebanyak mungkin kerentanan, seperti Jetpack Security.

Beranda Keamanan Jetpack

Seperti yang kami sebutkan, Jetpack Security dapat membantu Anda mengotomatiskan pencadangan, menyimpan log keamanan untuk situs Anda, menyiapkan firewall, memindai situs Anda dari malware, dan banyak lagi. Plus, itu terintegrasi dengan Akismet untuk membantu Anda mencegah spam dalam komentar dan formulir di situs Anda.

2. Kurangnya pemindaian situs secara teratur

Pemindaian rutin seperti pemeriksaan kesehatan untuk situs web Anda. Mereka membantu Anda mengidentifikasi ancaman seperti infeksi malware, celah keamanan, dan aktivitas yang tidak biasa.

Informasi Pemindaian Jetpack tentang memindai situs web

Sederhananya, jika Anda tidak menjalankan pemindaian reguler di situs web WordPress Anda, Anda membuatnya rentan terhadap ancaman keamanan. Hal ini dapat menyebabkan situs disusupi, hilangnya data sensitif, rusaknya peringkat mesin telusur, dan hilangnya kepercayaan dari pengunjung.

Alat pemindaian situs biasanya berjalan di latar belakang tanpa memengaruhi fungsionalitas apa pun. Jadi, jika Anda memiliki plugin keamanan atau alat pemindaian, biasanya akan berjalan secara otomatis sesering mungkin dan hanya memberi tahu Anda jika menemukan sesuatu yang salah dengan situs web Anda.

Pikirkan tentang pemindai situs seperti alat antivirus untuk situs web Anda. Setiap sistem operasi (OS) modern hadir dengan pemindai malware bawaan dan alat penghapus, bahkan jika Anda tidak menyadarinya, mereka berjalan di latar belakang. Alat-alat ini membantu menjaga keamanan komputer Anda dan, tanpanya, pengalaman Anda akan jauh lebih buruk.

3. Kurangnya cadangan situs reguler

Cadangan bertindak sebagai jaring pengaman, menjaga data situs Anda jika terjadi kecelakaan teknis atau pelanggaran keamanan. Tanpa pencadangan rutin, Anda dapat kehilangan semua konten situs web dan data pengguna.

Mungkin keuntungan terbesar dari pencadangan situs reguler adalah mereka memberi Anda titik pemulihan jika Anda mengalami masalah. Alih-alih menghabiskan berjam-jam atau berhari-hari memecahkan masalah pelanggaran keamanan, Anda dapat dengan mudah mengembalikan situs Anda ke keadaan sebelumnya tanpa kehilangan data penting.

backup terbaru yang tersedia dengan VaultPress Backup

Idealnya, pencadangan harus otomatis, dan Anda tidak boleh membiarkan terlalu banyak waktu di antaranya. Plugin seperti Jetpack Security menyertakan alat cadangan yang memungkinkan Anda menyimpan informasi situs web ke cloud. Dengan Pencadangan VaultPress (yang merupakan bagian dari Keamanan Jetpack), Anda akan mendapatkan akses ke pencadangan waktu nyata setiap kali Anda melakukan perubahan pada situs web.

4. Versi atau plugin WordPress yang kedaluwarsa

Memperbarui inti dan plugin WordPress Anda sangat penting untuk keamanan dan fungsionalitas situs Anda. Itu karena versi perangkat lunak yang kedaluwarsa cenderung memiliki kerentanan yang dapat dieksploitasi oleh peretas.

Selain itu, mereka dapat menyebabkan masalah kompatibilitas yang memengaruhi kinerja situs web Anda. Hal ini dapat menyebabkan data disusupi, hilangnya fungsionalitas situs, dan pengalaman pengguna yang buruk.

Jika situs web WordPress Anda memiliki banyak pembaruan yang tertunda, inilah saatnya untuk bekerja memperbarui semua komponennya. Anda juga dapat mengaktifkan pembaruan otomatis untuk inti WordPress langsung dari Dasbor → Pembaruan layar.

pengembang bekerja pada dua layar komputer

5. Versi PHP yang kedaluwarsa

Hypertext Preprocessor, atau PHP, adalah tulang punggung WordPress. Ini adalah salah satu bahasa pemrograman utama tempat CMS dibuat. Menggunakan versi PHP yang kedaluwarsa dapat menyebabkan masalah keamanan WordPress dan masalah kompatibilitas.

Versi PHP yang lebih baru juga meningkatkan performa secara drastis . Biasanya, host web Anda akan memperbarui server Anda untuk menggunakan versi PHP yang lebih baru saat dirilis. Jika Anda ingin memeriksa ulang versi PHP yang Anda gunakan, Anda dapat melakukannya langsung dari WordPress.

6. Lingkungan hosting yang tidak aman

Tugas penyedia hosting Anda adalah membantu Anda membangun situs web dengan memberi Anda sumber daya terbaik. Itu berarti server yang stabil dengan perangkat keras yang layak, dasbor manajemen hosting yang mudah digunakan, dan langkah-langkah keamanan yang solid.

Jika host web Anda tidak menyediakan setelan keamanan dasar, ini akan memengaruhi cara Anda menjalankan situs web. Pada dasarnya, Anda harus menghabiskan lebih banyak waktu untuk menutupi kerentanan keamanan WordPress dasar daripada bekerja di situs Anda.

Alat keamanan dasar tersedia di dasbor hosting

Penyedia hosting WordPress yang aman akan menawarkan fitur seperti cadangan otomatis, Firewall Aplikasi Web (WAF), pemblokiran otomatis pada IP berbahaya yang diketahui, mitigasi DDoS, dan banyak lagi. Jika Anda menggunakan host web yang tidak menawarkan tindakan keamanan WordPress yang layak, sebaiknya beralih ke penyedia hosting WordPress berkualitas lebih tinggi.

7. Kata sandi dan kredensial masuk yang lemah

Menggunakan kata sandi yang lemah dan kredensial masuk mungkin merupakan masalah keamanan paling umum dengan situs web WordPress. Faktanya, ini adalah masalah besar untuk situs atau perangkat lunak apa pun yang mengharuskan Anda masuk.

Penting untuk dicatat bahwa ini tidak hanya mencakup halaman login admin WordPress. Web hosting yang lemah dan kredensial File Transfer Protocol (FTP) juga dapat menyebabkan kerentanan.

Halaman login situs WordPress

Sederhananya, sebagian besar pengguna tidak menyukai kerumitan kata sandi yang unik dan rumit untuk setiap aplikasi yang mereka gunakan.

Meskipun kata sandi yang lemah dan didaur ulang mungkin lebih mudah diingat, kata sandi tersebut dapat membahayakan situs Anda. Itu karena mereka mempermudah penyerang untuk memaksa masuk ke situs web atau menggunakan kredensial yang bocor untuk mendapatkan akses ke akun di platform lain.

Jika Anda ingin menjaga keamanan situs Anda, siapa pun yang memiliki akses ke alat penting perlu mempelajari cara menggunakan kredensial yang aman, hanya dengan membuat kata sandi dan nama pengguna yang kuat. Selain itu, menambahkan dukungan untuk Autentikasi Dua Faktor (2FA) dapat membantu mengamankan situs Anda lebih jauh.

8. Kurangnya 2FA

Otentikasi Dua Faktor, atau 2FA, menambahkan lapisan keamanan ekstra dengan meminta langkah verifikasi kedua selama proses login. Ini membuat proses masuk yang tidak sah menjadi jauh lebih sulit, karena penyerang juga akan melakukannya memerlukan akses ke akun email atau ponsel Anda, bergantung pada jenis 2FA yang Anda konfigurasikan untuk situs Anda.

Tidak ada alasan untuk tidak menawarkan 2FA sebagai opsi di situs web Anda. Menerapkan sistem ini sangat mudah dan ada banyak plugin WordPress, termasuk Jetpack, yang dapat mengatur 2FA untuk Anda.

9. Penyimpanan data masuk yang tidak aman

Menyimpan data login secara tidak aman, seperti dalam plaintext (atau menggunakan Post-it), sama saja dengan membiarkan detail bank Anda terbuka. Praktik penyimpanan yang buruk memudahkan penyerang mendapatkan detail ini jika mereka mendapatkan akses ke lokasi. Ini dapat menyebabkan akses tidak sah, pelanggaran data, dan potensi hilangnya kontrol situs web.

Sebagai aturan praktis, jangan menyimpan informasi masuk di mana pun di mana orang lain dapat mengaksesnya, baik secara fisik maupun digital. Jika Anda harus menyimpan kredensial masuk, gunakan alat penyimpanan kata sandi, seperti 1Password, yang dapat mengenkripsi data tersebut untuk Anda.

tim bekerja di sekitar meja besar

10. Peran pengguna yang salah kelola dan tidak terdefinisi

Peran pengguna yang dikelola dengan buruk dapat menyebabkan pengguna memiliki lebih banyak izin daripada yang mereka butuhkan, yang menimbulkan risiko keamanan. Ini dapat mengakibatkan perubahan yang tidak sah atau tidak disengaja pada situs, kebocoran data, atau penyalahgunaan sumber daya.

Idealnya, Administrator harus menjadi satu-satunya orang yang memiliki akses penuh ke backend WordPress. Untuk setiap peran pengguna lainnya, akun harus diberikan izin minimal yang diperlukan untuk menjalankan tugasnya.

memilih dari dropdown peran pengguna di WordPress

Kabar baiknya adalah bahwa WordPress memberi Administrator kendali penuh atas penetapan peran pengguna. Selain itu, setiap peran dilengkapi dengan serangkaian izin yang ditentukan agar sesuai dengan tugas mereka. Dan, jika Anda ingin membuat peran tambahan atau mengubah izinnya, Anda dapat melakukannya menggunakan plugin WordPress.

11. Pemantauan login dan aktivitas pengguna yang tidak memadai

Tanpa pemantauan yang memadai, Anda mungkin melewatkan perilaku mencurigakan atau aktivitas berbahaya di situs Anda. Kurangnya visibilitas ini dapat menyebabkan perubahan yang tidak sah, pelanggaran data, dan penyalahgunaan sistem — yang semuanya dapat merusak fungsionalitas situs Anda.

Di luar kotak, inti WordPress tidak menawarkan fungsionalitas log keamanan apa pun. Namun, Anda dapat menggunakan plugin seperti Jetpack dengan fitur log aktivitasnya untuk melacak apa yang terjadi di situs web Anda (dan siapa yang mengaksesnya).

Beberapa host web WordPress juga memberi Anda akses ke log aktivitas di tingkat server, yang memungkinkan Anda memantau jika ada yang membuat perubahan pada konfigurasinya.

Saat menggunakan jenis alat ini, sebaiknya konfigurasikan notifikasi untuk jenis aktivitas tertentu, seperti upaya login yang gagal. Dengan begitu, Anda akan mendapatkan peringatan jika terjadi sesuatu yang tidak jelas tanpa harus membaca lusinan halaman log.

beberapa perangkat di atas meja kayu

12. Tema dan plugin yang mengandung kerentanan

Tema dan plugin WordPress dengan kerentanan keamanan sering menjadi sasaran peretas. Jika mereka berhasil mengeksploitasi kerentanan ini, itu dapat menyebabkan akses tidak sah, pelanggaran data, dan banyak lagi.

Kabar baiknya adalah hal ini biasanya hanya terjadi jika Anda menggunakan plugin dan tema yang kedaluwarsa. Demikian pula, kemungkinan besar hal ini akan terjadi saat Anda mengunduh plugin dan tema premium versi "gratis" dari situs web yang tidak bereputasi baik.

Versi gratis ini dapat menyertakan kode yang memungkinkan penyerang mendapatkan akses ke situs Anda. Jadi, kecuali Anda secara teratur memindai kerentanan, sebaiknya hindari ini.

Namun, ada banyak plugin dan tema berkualitas yang juga gratis. Jadi, jika Anda perlu menginstalnya, sebaiknya baca komentar pengguna di situs seperti WordPress.org sebelum mengunduhnya. Banyak pengguna akan membagikan cerita mereka tentang masalah atau masalah keamanan WordPress, yang dapat membantu Anda membuat keputusan.

13. Database WordPress salah konfigurasi

Basis data yang salah konfigurasi dapat membuat data situs Anda terbuka, membuatnya rentan terhadap serangan injeksi SQL dan/atau pelanggaran data. Salah satu jenis kesalahan konfigurasi yang paling umum adalah menggunakan awalan default untuk database di WordPress ( wp) .

Ini memudahkan penyerang untuk mengidentifikasi database dan mencoba mengaksesnya. Demikian pula, menggunakan kredensial yang lemah di tingkat basis data dapat membuatnya rentan.

Ingatlah bahwa WordPress menyimpan semua konten situs Anda dalam database unik. Artinya, jika seseorang memperoleh akses ke database, mereka dapat melihat semua yang ada di situs web Anda dan mengubah setelan penting.

14. Jaringan pengiriman konten (CDN) yang salah konfigurasi

Jika audiens Anda tersebar di seluruh dunia, menerapkan Jaringan Pengiriman Konten (CDN) dapat menjadi cara yang bagus untuk meningkatkan kinerjanya bagi pengunjung yang jauh dari server Anda. Namun, CDN yang dikonfigurasi dengan buruk dapat menyebabkan celah keamanan.

Penyerang dapat mengeksploitasi kerentanan ini untuk meluncurkan serangan DDoS, memanipulasi konten, atau mendapatkan akses tidak sah ke data sensitif. Yang kami maksud dengan kesalahan konfigurasi adalah kesalahan manusia dalam hal konten apa yang di-cache CDN, masalah dengan konfigurasi SSL/TLS, atau mengekspos alamat IP asli situs.

Mengonfigurasi CDN bisa jadi rumit dengan beberapa penyedia. Jika Anda mencari opsi langsung, CDN Jetpack sangat mudah disiapkan dan digunakan. Tidak diperlukan konfigurasi, jadi Anda tidak perlu khawatir tentang kesalahan pengguna!

pria berdiri di ruang komputer dan server

15. Izin file dan direktori tidak aman

Izin file dan direktori menentukan siapa yang dapat membaca, menulis, dan mengeksekusi file di situs WordPress Anda. Izin ini sangat penting untuk menjaga keamanan dan integritas situs Anda.

Jika mereka tidak aman atau salah konfigurasi, mereka dapat membuat situs Anda rentan terhadap berbagai ancaman seperti penyerang dapat mengunggah malware atau mendapatkan akses tidak sah ke file.

File tidak aman juga membuka potensi pelanggaran data. Jika izin tidak diatur dengan benar, penyerang akan dapat membaca atau mengubah konten file, yang berarti mereka dapat mencuri atau menghapus data penting.

16. Pengunggahan file yang menghadap publik tidak dibatasi

Banyak situs web WordPress memungkinkan pengguna mengunggah file melalui formulir. Ini dapat berguna jika Anda ingin orang dapat mengirimkan file untuk Anda tinjau, melampirkan gambar ke komentar, dan banyak lagi.

pria menulis di buku catatan di sebelah komputer

Formulir apa pun yang memungkinkan pengguna mengunggah dan mengirimkan file ke situs Anda harus diamankan dengan ketat. Itu berarti kontrol penuh atas jenis file apa yang dapat diunggah orang, sehingga mereka tidak dapat menggunakan formulir untuk mendapatkan malware di server Anda.

Jika Anda menggunakan plugin keamanan WordPress yang menawarkan pemindaian malware waktu-nyata, itu akan mendeteksi file jahat apa pun yang berhasil melewati keamanan formulir Anda. Tanpa pemindaian keamanan, Anda mungkin akan menghosting file berbahaya yang dapat memberi penyerang akses ke situs Anda.

17. Layanan dan integrasi pihak ketiga yang tidak aman

Seperti yang mungkin sudah Anda ketahui, menggunakan layanan dan integrasi pihak ketiga di WordPress adalah praktik umum. Ini dapat membantu Anda menambahkan fungsionalitas baru. Namun, jika Anda menghubungkan situs web Anda dengan layanan yang tidak aman, Anda mungkin akan mendapatkan kerentanan tambahan di situs web Anda.

Misalnya, jika layanan pihak ketiga menyediakan API yang tidak aman untuk integrasi, layanan tersebut dapat berfungsi sebagai gerbang serangan. Peretas dapat mengeksploitasi keamanan API yang lemah untuk melakukan tindakan seperti menyuntikkan kode berbahaya, mencuri data, atau mengganggu fungsionalitas situs Anda.

Layanan pihak ketiga dengan standar keamanan rendah juga dapat membahayakan kredensial Anda, yang dapat memberi penyerang akses ke situs web Anda jika Anda tidak menggunakan 2FA atau perlindungan tambahan. Singkatnya, Anda tidak boleh menghubungkan situs web Anda dengan layanan pihak ketiga mana pun kecuali Anda yakin itu memiliki reputasi baik.

18. Tindakan AJAX yang tidak diautentikasi

AJAX (Asynchronous JavaScript and XML) adalah teknik yang digunakan untuk membuat aplikasi web yang dinamis dan responsif dengan mengirim dan mengambil data dari server secara asinkron. Itu berarti proses pengiriman dan pengambilan tidak mengganggu pemuatan halaman.

Sejauh WordPress berjalan, biasanya menggunakan AJAX untuk menangani pengiriman dan pengambilan data di latar belakang. Misalnya, banyak plugin menggunakan AJAX untuk mendukung pemuatan konten "tak terbatas". Ini juga sering digunakan untuk mengaktifkan fungsi pencarian instan di situs e-niaga.

Setiap tindakan AJAX harus mengikuti pedoman keamanan dan autentikasi untuk menjaga keamanan situs Anda. Tanpa verifikasi pengguna yang tepat, penyerang dapat “mengelabui” situs web Anda untuk melakukan tindakan yang mengambil informasi sensitif dari database.

ruangan besar penuh dengan server

19. Server web yang salah konfigurasi

Server web yang tidak dikonfigurasi dengan benar dapat menjadi rentan dari sudut pandang keamanan. Dengan "konfigurasi server", kami bermaksud menerapkan keamanan dasar dan aturan akses untuk melindunginya dari penyerang.

Sebagai contoh, server yang aman tidak akan mengizinkan pengunjung mengeksekusi kode karena mereka tidak memiliki izin yang tepat. Demikian pula, konfigurasi keamanan yang baik akan mencegah IP jahat yang diketahui berinteraksi dengan server menggunakan alat seperti Web Application Firewall (WAF).

Kecuali Anda memiliki akses langsung ke server, keamanan ini bergantung pada host web Anda. Beberapa host web menganggap masalah keamanan WordPress lebih serius daripada yang lain, jadi penting bagi Anda untuk memilih penyedia yang tepat untuk situs web Anda.

20. Eksploitasi zero-day dan kerentanan yang tidak diketahui

Akan selalu ada eksploitasi dan kerentanan WordPress baru yang akan digunakan penyerang untuk merusak situs web Anda.

Eksploitasi zero-day dan kerentanan yang tidak diketahui mengacu pada lubang keamanan dalam perangkat lunak yang tidak diketahui oleh pengembang hingga dieksploitasi oleh penyerang. Kabar baiknya adalah begitu penyerang mulai menargetkan kerentanan baru, pengembang biasanya menambalnya dengan cepat.

Secara teori, tidak mungkin untuk mencegah eksploitasi zero-day karena kita tidak tahu apa itu. Namun, Anda dapat secara drastis mengurangi risiko yang ditimbulkannya dengan menggunakan plugin keamanan WordPress yang tangguh seperti Jetpack Security. Karena Jetpack Scan (diberdayakan oleh WPScan) menggunakan database komprehensif yang diperbarui secara berkala, ia akan dapat dengan cepat mengetahui masalah keamanan WordPress terbaru yang muncul.

Jenis utama ancaman keamanan yang dihadapi situs WordPress

Sejauh ini, kami telah berfokus pada kerentanan keamanan tertentu di WordPress dan bagaimana kerentanan tersebut dapat memengaruhi situs web Anda. Namun, penting untuk memahami seperti apa "serangan" atau "pelanggaran" di situs web Anda dalam kehidupan nyata.

Tidak seperti di film, penyerang biasanya tidak mengetik di layar dengan huruf neon untuk meretas situs web Anda. Pada kenyataannya, "peretasan" jauh lebih menarik dan serangan bisa datang dalam berbagai bentuk. Jadi, mari kita lihat beberapa masalah keamanan WordPress yang paling umum.

1. Malware dan infeksi virus

Anda mungkin akrab dengan istilah malware dan virus. Dalam konteks situs web, malware (kependekan dari perangkat lunak berbahaya) dan virus adalah jenis kode berbahaya yang dapat membahayakan situs Anda atau pengunjungnya.

Malware biasanya dimasukkan ke dalam situs web Anda, dan dapat menyebabkan berbagai masalah. Misalnya, dapat digunakan untuk merusak situs Anda, mencuri data, atau bahkan menyebarkan malware ke pengunjungnya.

Jenis malware situs web dapat mencakup pintu belakang (memungkinkan akses tidak sah), unduhan drive-by (mengunduh perangkat lunak berbahaya secara otomatis ke perangkat pengguna), dan perusakan (mengubah tampilan visual situs web Anda).

pria mengerjakan kode, memakai headphone

2. Serangan injeksi SQL

SQL Injection adalah jenis serangan yang memungkinkan seseorang mengganggu kueri yang dibuat aplikasi ke database-nya. Dalam hal ini, kueri yang dikirimkan WordPress ke database. Tujuan dari jenis serangan ini adalah untuk mendapatkan akses tidak sah ke informasi atau ke situs itu sendiri.

Begini cara kerjanya: Saat WordPress mengambil input pengguna, ia menyusunnya dalam Structured Query Language (SQL) untuk mengambil informasi terkait dari database. Jika kueri tidak "dibersihkan" terlebih dahulu, penyerang dapat mengubahnya. Pernyataan ini dapat memanipulasi maksud asli kueri, yang mengarah ke pemaparan data yang tidak sah, modifikasi data, atau bahkan penghapusan data.

3. Serangan Cross-Site Scripting (XSS).

Cross-Site Scripting, atau serangan XSS, terjadi saat penyerang berhasil menyuntikkan skrip berbahaya ke halaman web yang dilihat oleh pengguna lain. Skrip ini biasanya ditulis dalam JavaScript dan dijalankan di browser pengguna.

Setelah serangan XSS berhasil, penyerang dapat mencuri data sensitif (seperti cookie sesi) dan menyamar sebagai pengguna. Bergantung pada seberapa banyak akses yang dimiliki pengguna ke situs, mereka dapat mendatangkan banyak malapetaka.

4. Serangan Cross-Site Request Forgery (CSRF).

Cross-Site Request Forgery (CSRF), juga dikenal sebagai XSRF, adalah jenis serangan yang mengelabui korban agar mengirimkan permintaan berbahaya. Itu mengeksploitasi kepercayaan yang dimiliki situs di browser pengguna, pada dasarnya menggunakan identitas dan hak istimewa korban untuk "menyusup".

Misalkan pengguna masuk ke aplikasi web tempat mereka dapat melakukan tindakan tertentu, seperti mengubah alamat email. Serangan CSRF dapat melibatkan penyerang yang mengirimkan email kepada pengguna dengan tautan atau menyematkan tautan di situs web lain.

Jika pengguna mengeklik tautan, ini memicu permintaan ke aplikasi web yang memanfaatkan sesi pengguna yang sudah diautentikasi untuk melakukan tindakan — dalam hal ini, mengubah alamat email mereka menjadi yang dikendalikan oleh penyerang.

5. Serangan brute force

Serangan brute force melibatkan mencoba beberapa kombinasi kredensial sampai yang tepat ditemukan. Penyerang biasanya menggunakan bot atau perangkat lunak untuk melakukan ini. Artinya, jika situs web Anda tidak menguncinya dari layar masuk, mereka mungkin dapat mencoba ribuan kombinasi.

Upaya ini bisa dilakukan secara acak, tetapi lebih sering, penyerang menggunakan kamus kata sandi yang umum digunakan atau menggunakan metode yang lebih canggih seperti menggunakan daftar kredensial yang dilanggar dari situs lain.

6. Serangan DDoS

Serangan Distributed Denial of Service (DDoS) melibatkan banyak komputer yang terhubung ke situs web pada saat yang sama untuk mencoba dan membebaninya. Ini dimungkinkan karena setiap server hanya dapat menangani begitu banyak lalu lintas sebelum mulai menghentikan permintaan atau berhenti sementara.

Biasanya, penyerang menggunakan jaringan komputer yang disusupi untuk melakukan serangan DDoS. Bergantung pada seberapa terlindungi situs Anda, jenis serangan ini dapat mengakibatkan waktu henti yang lama.

7. Pengalihan berbahaya

"Pengalihan" adalah saat Anda mengunjungi URL dan browser Anda mengirim Anda ke alamat yang berbeda. Hal ini terjadi karena server yang Anda coba akses memiliki petunjuk untuk mengalihkan semua atau sebagian lalu lintas ke lokasi tersebut.

Ada banyak alasan untuk menggunakan pengalihan. Misalnya, jika Anda mengubah nama domain atau ingin menghindari pengguna mengunjungi halaman yang sudah tidak ada lagi. Namun, jika penyerang memiliki akses ke server, mereka dapat mengatur pengalihan berbahaya yang mengirim pengguna ke situs web berbahaya.

8. Serangan penyertaan file

Serangan penyertaan file terjadi ketika penyerang berhasil mengelabui situs web Anda agar menyertakan file dari server jarak jauh yang mereka kendalikan. Jenis serangan ini biasanya mengeksploitasi input pengguna yang divalidasi dengan buruk atau tidak bersih.

Membersihkan input dengan benar dapat membantu Anda mencegah serangan penyertaan file serta injeksi SQL dan jenis kerentanan lainnya. Cara lain untuk mencegahnya adalah dengan menggunakan WAF dan memperbarui situs Anda untuk menghindari lubang dalam keamanannya.

pria yang bekerja pada komputer di ruangan gelap

9. Serangan traversal direktori

Serangan traversal direktori atau jalur melibatkan penyerang yang memanipulasi URL sedemikian rupa sehingga server mengeksekusi atau mengungkapkan konten file yang terletak di mana saja dalam sistem filenya.

Tujuan dari jenis serangan ini adalah untuk mendapatkan akses ke file yang Anda tidak memiliki izin untuk melihat atau memodifikasinya. Cara terbaik untuk mencegah jenis serangan ini adalah dengan mengonfigurasi izin file dan direktori yang aman.

10. Serangan eksekusi kode jarak jauh

Serangan eksekusi kode jarak jauh terjadi ketika seseorang dapat mengeksekusi kode berbahaya dari jarak jauh. Untuk situs web, ini berarti penyerang dapat mengeksekusi skrip berbahaya di server hosting Anda.

Jenis serangan ini dapat terjadi jika server Anda rentan. Bergantung pada jenis akses yang didapat penyerang, mereka berpotensi menjalankan perintah apa pun yang mereka inginkan di server.

11. Sesi pembajakan dan serangan fiksasi

“Pembajakan sesi” adalah jenis serangan yang mengeksploitasi mekanisme yang digunakan situs untuk membantu Anda tetap masuk di beberapa kunjungan. Biasanya, situs web menggunakan cookie untuk menyimpan informasi tentang setiap sesi. Jika penyerang dapat "mencuri" cookie ini, mereka dapat membajak sesi tersebut.

Secara praktis, ini berarti situs web akan memungkinkan penyerang menggunakan akun Anda tanpa harus melalui proses login. Bergantung pada izin yang dimiliki akun, seseorang dapat melakukan banyak kerusakan dengan sesi yang dibajak.

12. Spam SEO

Dalam hal pengoptimalan mesin telusur (SEO), spam dapat merujuk pada penggunaan kembali kata kunci, berbagi tautan yang sama berkali-kali, dan sebaliknya mencoba mempermainkan algoritme yang menentukan peringkat situs di halaman hasil.

Sering kali, penyerang akan mencoba mendapatkan akses ke situs web dan menggunakannya untuk meningkatkan peringkat mereka sendiri. Mereka dapat melakukan ini dengan menggunakan situs Anda untuk menautkan secara berlebihan ke situs mereka sendiri.

Bergantung pada seberapa agresif spam tersebut, hal itu dapat memengaruhi peringkat mesin telusur Anda sendiri dan menyebabkan hukuman. Itu juga dapat mengikis kepercayaan pengguna Anda karena mereka mungkin mengira Andalah yang mengirim spam kepada mereka.

13. Serangan Phishing

Anda mungkin akrab dengan serangan phishing. Mereka melibatkan berpura-pura menjadi seseorang dari organisasi atau situs web untuk mencoba dan mendapatkan kredensial masuk atau informasi penting lainnya dari pengguna tertentu.

Untuk situs web WordPress, ini bisa terlihat seperti email palsu yang meminta pengguna mengatur ulang kredensial mereka dan mengarahkan mereka ke halaman yang menyimpan masukan mereka. Banyak pengguna yang tidak paham teknologi tertipu oleh serangan phishing, jadi penting bagi Anda untuk mencoba dan mengedukasi pengunjung tentang komunikasi resmi dari situs Anda.

Pertanyaan yang sering diajukan

Jika Anda masih memiliki pertanyaan tentang kerentanan WordPress atau jenis serangan yang mungkin Anda hadapi, bagian ini diharapkan akan menjawabnya.

tiga wanita bertemu di kantor

Apakah WordPress aman?

Jawaban singkatnya adalah ya. Secara desain, WordPress adalah CMS yang aman. Terlebih lagi, perangkat lunak intinya diperbarui secara berkala untuk tujuan pemeliharaan dan keamanan.

Namun, sama seperti perangkat lunak lainnya, keamanannya bergantung pada cara Anda menggunakannya.

Jika Anda tidak memperbarui WordPress dan komponennya secara teratur dan menggunakan kredensial login yang lemah, situs Anda akan menghadapi banyak risiko.

Apa tanda-tanda situs WordPress telah diretas?

Terkadang, sulit dikenali jika situs web WordPress disusupi. Tetap saja, ada banyak tanda-tanda serangan yang bisa membuat Anda kesal. Pertama, Anda mungkin melihat perubahan pada halaman utama atau perbedaan tautan.

Jika situs diretas, beberapa mesin telusur juga akan langsung memperingatkan pengunjung saat mereka mencoba mengaksesnya. Mengalami salah satu pemberitahuan keamanan ini adalah indikator kuat bahwa Anda harus memindai situs web Anda dari malware dan mencari cara untuk menghapusnya.

Bagaimana Anda bisa menghapus malware dari situs WordPress?

Cara termudah untuk menghapus malware dari WordPress adalah dengan memiliki akses ke cadangan. Jika Anda menggunakan pemindai malware seperti Pemindaian Jetpack, ini dapat mendeteksi perubahan pada file server Anda serta kode berbahaya.

Beranda Jetpack Scan dengan informasi tentang alat tersebut

Anda dapat membeli alat ini sendiri atau mendapatkannya sebagai bagian dari bundel Keamanan Jetpack.

Pemindai ini mungkin dapat membersihkan situs web Anda dengan menghapus malware atau memulihkan cadangan dari saat server tidak terinfeksi.

Bagaimana Anda bisa mencegah serangan brute force di WordPress?

Anda dapat mencegah serangan brute force di situs web Anda dengan menggunakan firewall untuk memblokir koneksi dari IP berbahaya yang diketahui. Plugin seperti Jetpack memungkinkan Anda melakukan ini dan membantu melindungi halaman login Anda dari upaya berulang kali untuk menembusnya.

Apa itu Keamanan Jetpack?

Jetpack Security adalah layanan yang mencakup Pencadangan VaultPress, Pemindaian Jetpack, dan Akismet dalam satu paket. Artinya, ini membantu Anda mengotomatiskan pencadangan, menyiapkan pemindaian malware reguler, dan melindungi situs web Anda dari spam, semuanya dalam satu paket.

wanita yang bekerja di komputer, dengan layar Cadangan Jetpack berlapis di atas

Apa basis data kerentanan WPScan?

WPScan adalah database kerentanan WordPress yang dikelola oleh para pakar CMS dan profesi keamanan. Basis data mendapatkan pembaruan terus-menerus, dan Anda dapat mengaksesnya melalui WP-CLI jika Anda seorang pengembang. Jetpack Protect menggunakan database WPScan untuk mengidentifikasi potensi kerentanan keamanan WordPress atau malware di situs web Anda.

Keamanan Jetpack: Perisai situs WordPress Anda terhadap kerentanan

Apa pun jenis situs WordPress yang Anda jalankan, yang terbaik adalah bersikap proaktif dalam melindunginya dari ancaman keamanan dan kerentanan. Jika tidak, kinerja situs web Anda dapat menurun, dan data pengguna yang sensitif dapat jatuh ke tangan yang salah. Akibatnya, bisnis atau reputasi Anda bisa menderita.

Cara termudah untuk mencegahnya adalah dengan memperketat plugin keamanan WordPress seperti Jetpack Security. Alat canggih ini memungkinkan siapa pun untuk dengan cepat menangani tugas paling penting untuk situs WordPress yang lebih aman, termasuk membuat cadangan waktu nyata, menjalankan pemindaian kerentanan dan malware otomatis, dan memfilter spam.