Lanskap Ancaman Keamanan WordPress 2024: Tren dan Statistik Utama
Diterbitkan: 2024-04-18WPScan baru-baru ini merilis ulasan mereka tentang kerentanan dan ancaman tahun 2023 terhadap situs WordPress. Dengan informasi ini, pemilik situs dan profesional WordPress dapat menavigasi tahun 2024 dengan lebih aman.
Dipimpin oleh pakar keamanan berdedikasi, WPScan mengelola database utama ancaman terhadap ekosistem WordPress. Digunakan oleh para profesional terkemuka di seluruh industri, WPScan dianggap sebagai sumber daya terlengkap yang tersedia. Hingga saat ini, WPScan dan kontributor telah mengidentifikasi, memverifikasi, dan mengklasifikasikan lebih dari 49.000 kerentanan.
Basis data digunakan oleh organisasi perusahaan seperti Mercedes-Benz Group, WP Engine, Accenture, dan Kinsta. Ini juga mendukung alat keamanan WordPress terkenal seperti Jetpack Scan, yang tersedia melalui Jetpack Protect atau dengan paket Jetpack Security.
Mengapa laporan ini ada? Dari mana datanya berasal?
Tim WPScan berdedikasi untuk mengidentifikasi, memverifikasi, dan mengindeks ancaman terhadap ekosistem WordPress, sehingga alat keamanan WordPress (seperti Jetpack Security) dapat secara efektif melindunginya dan melindungi komunitas.
Mengidentifikasi dan memahami ancaman adalah langkah pertama dalam perlindungan keamanan siber.
Data dalam laporan ini dikumpulkan dari kerentanan yang diungkapkan oleh WPScan dan diverifikasi oleh peneliti keamanannya, serta sampel lebih dari 350.000 situs web dan layanan Automattic yang menggunakan Jetpack Scan atau Jetpack Protect.
Apa yang kita pelajari?
Tidak punya waktu untuk membaca laporan selengkapnya? Jangan khawatir. Kami menyediakan ringkasan poin-poin penting untuk Anda.
XSS mendapat banyak perhatian, namun injeksi SQL adalah ancaman yang lebih umum
Skrip lintas situs mendapat banyak perhatian. Hal ini sering dilaporkan oleh pemburu bug bounty dan peneliti keamanan (53% dari semua kerentanan yang diungkapkan).
Namun jenis ancaman yang paling umum — seperti yang ditunjukkan melalui upaya pemblokiran oleh firewall Jetpack — sebenarnya adalah injeksi SQL. Ancaman injeksi SQL cenderung sangat serius karena sedikit atau bahkan tidak ada otentikasi yang diperlukan untuk mengeksploitasi kerentanan semacam ini.
Ada dua ancaman paling umum terkait keamanan WordPress
Laporan tersebut mengkonfirmasi apa yang telah kita ketahui: Kredensial pengguna yang lemah dan plugin yang dibatalkan adalah pintu gerbang bagi sebagian besar serangan.
Artinya, admin situs dapat mencegah sebagian besar masalah keamanan dengan selalu memperbarui perangkat lunak dan memerlukan autentikasi yang kuat.
Lebih dari 20% kerentanan tidak memerlukan autentikasi
Tim WPScan meninjau kerentanan untuk menentukan tingkat otentikasi yang diperlukan untuk mengeksploitasi kode yang terpengaruh. Meskipun sekitar sepertiga dari seluruh kerentanan memerlukan akses ke akun admin (mengurangi risiko eksploitasi), 22% kerentanan yang diungkapkan sama sekali tidak memerlukan autentikasi atau hanya akun tingkat pelanggan.
Serangan malware masih lazim terjadi
Jetpack Scan (yang menggunakan database WPScan) mengidentifikasi 70.000 situs dengan setidaknya satu file berbahaya. Sebagian besar penyebab dapat ditelusuri kembali ke (Anda dapat menebaknya!) Kredensial yang bocor/lemah atau perangkat lunak yang dibatalkan.
75% (600.000 file berbahaya) ditentukan sebagai malware generik.
Alat yang ada berfungsi
Firewall Jetpack memblokir lebih dari tujuh juta permintaan yang melibatkan kerentanan tingkat tinggi — mencegah serangan XSS yang tak terhitung jumlahnya pada situs-situs yang terancam punah.
Laporan tersebut menyatakan,
Firewall Jetpack, meskipun merupakan tambahan baru pada rangkaian Jetpack Security , telah membuktikan manfaatnya dengan memblokir potensi serangan di awal siklus, mencegah penyerang mendapatkan pijakan di situs yang dilindungi.
Firewall Jetpack juga memblokir lebih dari setengah juta serangan injeksi SQL dan Path Traversal.
Apa yang selanjutnya harus dilakukan oleh profesional keamanan siber dan WordPress?
Anda tidak dapat mencegah serangan jika Anda tidak tahu apa yang harus dicari. WPScan menyediakan pustaka ancaman terverifikasi yang paling kuat dan terkini. Pengembang dan profesional keamanan siber dapat memasukkannya ke dalam program internal mereka melalui API untuk meningkatkan pertahanan mereka.
Tim keamanan web juga dapat menggunakan CLI Scanner WPScan sebagai bagian dari pengujian penetrasi. Ini memberikan gambaran luar tentang informasi yang mungkin dapat dilihat peretas tentang situs Anda tanpa autentikasi.
Pengembang dan organisasi perusahaan harus segera menghubungi WPScan untuk mengetahui apakah ini alat terbaik untuk operasi mereka.
Apa yang selanjutnya harus dilakukan pemilik situs WordPress?
Penilaian WPScan terhadap ekosistem keamanan WordPress menunjukkan bahwa ancaman masih ada. Kabar baiknya adalah masalah yang paling umum dapat digagalkan dengan cukup mudah. Pemilik situs WordPress dapat menggunakan database WPScan melalui Jetpack Protect dan mendapatkan akses ke rangkaian lengkap alat pencegahan dan pemulihan dengan Jetpack Security.
Terapkan autentikasi yang kuat
Kata sandi yang lemah bukan hanya kelemahan paling umum dalam keamanan siber, namun juga salah satu kelemahan yang paling mudah diperbaiki. Anda dapat meminta kata sandi yang kuat dari pengguna dan mendidik tim Anda tentang praktik terbaik kata sandi seperti menggunakan campuran angka, huruf, dan karakter khusus, memiliki kredensial unik untuk setiap situs, dan memperbarui kata sandi secara berkala.
Anda mungkin juga ingin mewajibkan autentikasi dua faktor, terutama pada akun tingkat admin.
Tetapkan peran pengguna yang tepat dan ikuti prinsip hak istimewa paling rendah
Peran pengguna WordPress sangat berguna karena memungkinkan Anda memberikan akses ke fungsi tertentu berdasarkan area tanggung jawab seseorang. Membatasi jumlah peran tingkat tinggi yang ditetapkan akan mengurangi jumlah titik akses dan memungkinkan pendidikan dan akuntabilitas yang lebih baik terkait kata sandi dan autentikasi yang aman.
Dikenal sebagai prinsip hak istimewa paling rendah, pengguna hanya boleh memiliki akses ke peran terendah yang diperlukan untuk fungsi pekerjaan yang diperlukan.
Selalu perbarui inti, tema, dan plugin
Selain kata sandi yang lemah, perangkat lunak yang ketinggalan jaman juga merupakan penyebab paling umum dari serangan yang berhasil. Situs Anda harus menggunakan versi inti WordPress terbaru, tema Anda, dan plugin apa pun yang diinstal.
Ketika kerentanan ditemukan, pengembang plugin terkemuka akan merilis pembaruan untuk menambalnya. Mengabaikan pembaruan ini akan membuat situs Anda terekspos.
Instal plugin keamanan WordPress
Untuk perlindungan paling lengkap, pemilik situs perlu melakukan lebih dari sekedar kata sandi yang kuat, perangkat lunak yang diperbarui, dan penetapan peran pengguna yang tepat. Para profesional veteran WordPress tahu bahwa plugin keamanan WordPress yang tepat akan membantu mencegah intrusi dan menyediakan opsi pemulihan jika ada yang berhasil.
Jika Anda menginginkan perlindungan komprehensif dengan komplikasi minimal — Jetpack Security adalah solusi yang Anda perlukan. Berikut ini beberapa hal yang disertakan:
- Pemantauan waktu henti . Ketahuilah bahwa ada masalah dengan situs Anda sehingga Anda dapat segera mengambil tindakan.
- Firewall situs web . Laporan WPScan berulang kali menyebutkan serangan yang digagalkan oleh Firewall Jetpack. Dapatkan akses ke sana dengan Jetpack Security.
- Pemindaian malware waktu nyata dan perbaikan sekali klik . Dapatkan akses ke database lengkap WPScan dan terus pindai situs Anda untuk mencari malware dan kerentanan. Bahkan lebih baik lagi — Anda juga akan mendapatkan solusi sekali klik untuk sebagian besar masalah.
Tidak memerlukan plugin keamanan penuh, tetapi ingin akses ke database WPScan untuk pemindaian kerentanan dan malware? Fitur-fitur tersebut juga tersedia di plugin mandiri, Jetpack Protect .
- Pencadangan waktu nyata . Ingat, Anda juga memerlukan metode pemulihan jika ada penyerang yang berhasil melewatinya. Jetpack VaultPress Backup menyimpan semua yang ada di situs Anda dan mencatat semua aktivitas. Pulihkan ke momen yang tepat dan tinjau log Anda untuk memecahkan masalah dan mencegah masalah di masa mendatang. Anda dapat mengakses dan memulihkan cadangan meskipun situs Anda benar-benar tidak aktif, dari perangkat seluler Anda.
- Proteksi spam . Komentar dan pengiriman formulir yang tidak diinginkan dan tidak relevan lebih dari sekadar menjengkelkan — mereka berbahaya bagi Anda dan pengunjung Anda. Jetpack Security dilengkapi dengan Akismet Anti-spam sehingga Anda dapat mencegah 99% spam tanpa memaksa pengunjung menyelesaikan CAPTCHA yang mengganggu.
- Perlindungan serangan brute force . Serangan brute force adalah ancaman WordPress yang cukup umum. Mereka juga dapat dengan mudah dihentikan dengan Jetpack Security.
Jetpack dan WPScan: bekerja sama untuk WordPress yang lebih aman
Tim WPScan bekerja tanpa lelah untuk menjaga database kerentanan WordPress yang paling akurat. Profesional WordPress dan organisasi perusahaan dapat berintegrasi dengan alat WPScan untuk perlindungan paling canggih yang tersedia.
Pemilik situs WordPress mengakses informasi yang sama melalui Jetpack Security, bersama dengan alat keamanan lainnya. Plugin keamanan ini berfungsi dengan sedikit kerumitan dan upaya berkelanjutan. Situs Anda terlindungi dengan mudah .
Pelajari lebih lanjut tentang Keamanan Jetpack.
Pelajari lebih lanjut tentang WPScan.