Sejauh ini sistem manajemen konten paling populer, WordPress mendukung jutaan situs web yang berbeda. Ini adalah perangkat lunak sumber terbuka, yang berarti kode sumbernya dapat diakses publik dan dapat dimodifikasi oleh hampir semua orang dengan pengetahuan yang memadai.
Meskipun plugin dan tema WordPress dapat dibeli, puluhan ribu di antaranya tersedia secara gratis. Seperti yang diharapkan, ini tidak datang tanpa kerugian. Jadi seberapa rentan situs WordPress? Bagaimana dengan tema dan pluginnya? Dan bagaimana Anda bisa melindungi situs Anda?
Seberapa Rentannya WordPress?
Pada Februari 2022, paket jet menemukan bahwa tema dan plugin populer dari vendor AccessPress Themes (juga dikenal sebagai Access Keys) telah disusupi. Para peneliti melihat kerentanan secara tidak sengaja, setelah menemukan kode yang mencurigakan di situs web yang disusupi. Setelah penyelidikan lebih lanjut, mereka menyadari sebagian besar plugin AccessPress dan setiap tema berisi kode yang sama.
Belakangan ternyata AccessPress Themes menjadi korban serangan siber pada September 2021, dengan peretas menyuntikkan backdoor
di plugin vendor dan tema.AccessPress akhirnya memperbarui dan membersihkan produk mereka, tetapi mungkin ribuan pengguna rentan terhadap serangan untuk jangka waktu yang lama.
Apakah Plugin dan Tema WordPress Memiliki Kerentanan?
Temuan Jetpack menggarisbawahi betapa rentannya WordPress. Tapi ini bukan kasus yang terisolasi.
Pada Maret 2021, misalnya, pagar kata mengungkapkan kerentanan utama dalam dua plugin WordPress yang, jika berhasil dieksploitasi, akan memungkinkan penyerang mengambil alih sebuah situs web. Kerentanan ditemukan di plugin Elementor dan WP Super Cache. Elementor adalah pembuat situs web yang digunakan di lebih dari tujuh juta situs web, sedangkan WP Super Cache adalah plugin caching yang populer.
Pada Februari 2022, sebagai Jurnal Mesin Pencari melaporkan, Database Kerentanan Pemerintah Amerika Serikat dan peneliti keamanan WordPress memperingatkan kerentanan serius di puluhan plugin WordPress.
Dari plugin tersebut, sembilan digunakan di lebih dari 1,3 juta situs web: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Keamanan dan Firewall Brute-Force, Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan, Pencadangan Basis Data untuk WordPress, GiveWP, Pengelola Unduhan, dan Basis Data Lanjutan Pembersih.
Cara Mengamankan Situs WordPress Anda
Orang akan menganggap kerentanan ini selalu ditambal atau dihapus setelah ditemukan, tetapi sebenarnya tidak demikian.
Penelitian dari Tumpukan tambalan menemukan bahwa pada tahun 2021 terjadi peningkatan 150 persen dalam kerentanan WordPress yang dilaporkan dibandingkan dengan tahun 2020—dan 29 persen dari kerentanan tersebut tidak menerima tambalan. Patchstack juga menemukan bahwa hanya 0,58 persen dari kelemahan yang dilaporkan ada di inti WordPress, yang berarti bahwa kerentanan hampir selalu ditemukan di plugin.
Sangat penting untuk memastikan semua plugin yang Anda gunakan mutakhir, serta inti WordPress itu sendiri.
Sebelum mengunduh dan memasang plugin, pastikan Anda melakukan sedikit riset terlebih dahulu. Periksa berapa banyak pemasangan plugin, baca ulasan online, lihat kapan terakhir diperbarui, dan periksa apakah itu diuji dengan inti WordPress terbaru. Ini hanya akan memakan waktu beberapa menit, tetapi itu bisa menyelamatkan Anda dari banyak masalah di jalan.
Atau, Anda dapat menggunakan WPScan, yang merupakan pemindai kerentanan WordPress yang cukup sederhana dan efisien. Alat ini juga dapat digunakan untuk mencari plugin berdasarkan nama. Versi gratisnya memungkinkan hingga 25 permintaan API per hari.
Untungnya, beberapa plugin sebenarnya dirancang untuk melindungi situs WordPress Anda dari penyusup. Login LockDown, Wordfence, BulletProof Security adalah beberapa yang terbaik Plugin keamanan WordPress hari ini. Login LockDown benar-benar gratis, sedangkan dua lainnya memiliki model dasar dan gratis.
Tips Keamanan WordPress
Betapapun rentannya WordPress, mengambil tindakan pencegahan keamanan dasar sangat membantu dalam mencegah dan menangkis serangan siber.
Menggunakan detail login unik dan Otentikasi Dua Faktor, memperbarui semua perangkat lunak, menyembunyikan nama tema, dan detail login harus menjadi dasar kebersihan keamanan WordPress Anda.
Cara Mengamankan Situs WordPress Anda dalam 5 Langkah Sederhana
Baca Selanjutnya
Topik-topik yang berkaitan
- Keamanan
- Internet
- Keamanan Daring
- Plugin Wordpress
- Wordpress
- Tema Wordpress
Tentang Penulis
Damir adalah seorang penulis lepas dan reporter yang fokus pekerjaannya pada keamanan siber. Di luar menulis, ia menikmati membaca, musik, dan film.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Klik di sini untuk berlangganan