Baca Laporan Tahunan Kerentanan WordPress 2021
Diterbitkan: 2022-01-27Sebagai pengguna atau pengembang WordPress, Anda sudah tahu bahwa salah satu tantangan terbesar yang Anda hadapi adalah mengamankan sepenuhnya situs Anda dari kerentanan dan ancaman serangan jahat.
Di dunia yang tidak pasti di mana keamanan situs web dan online terus-menerus diserang, semua pemilik situs WordPress perlu menganggap protokol keamanan mereka lebih serius daripada sebelumnya.
Data yang baru saja dirilis dalam Laporan Kerentanan WordPress 2021 pertama kami tidak hanya menunjukkan kepada Anda sepanjang tahun kerentanan WordPress 2021 yang dilaporkan, tetapi juga mengungkapkan kerentanan spesifik yang paling sering dieksploitasi oleh peretas.
Misalnya, tahukah Anda bahwa 97,1% dari total kerentanan WordPress 2021 disebabkan oleh plugin? Itu penting untuk diketahui apakah menjalankan situs WordPress yang aman penting bagi Anda.
Di iThemes, kami tidak ingin hanya menunjukkan masalah. Kami juga ingin memberi Anda solusi terbukti yang berfungsi untuk menjaga situs situs web WordPress Anda sepenuhnya aman dari kerentanan. Dan Anda akan mempelajari apa yang harus dilakukan untuk mengamankan situs WordPress Anda sepenuhnya setelah meninjau data ini.
Takeaway Terbesar 2021: Awasi Plugin WordPress Anda
Pada tahun 2021, 97,1% penuh dari semua kerentanan WordPress yang diungkapkan tahun lalu disebabkan oleh masalah dengan plugin. Anda membacanya dengan benar.
Kerentanan 2021 Berdasarkan Sumber
| Sumber Kerentanan | Nomor yang Dilaporkan | Persentase dari Total (1.628) |
|---|---|---|
| Inti WordPress | 8 | 0,05% |
| Plugin | 1581 | 97,1% |
| Tema | 39 | 2.4% |
Tetapi yang paling mengkhawatirkan adalah, dari 1581 kerentanan plugin yang dilaporkan pada tahun 2021, 23,2% di antaranya tidak diketahui perbaikannya. Artinya, saat kita melangkah maju ke tahun 2022 dan seterusnya, kita harus lebih waspada terhadap plugin yang kita unduh dan gunakan.
Misalnya, meskipun Anda mungkin bisa mendapatkan solusi plugin gratis dari pengembang plugin yang tidak dikenal, apakah Anda sepenuhnya mempercayai keamanannya? Seperti yang ditunjukkan data, 29% kerentanan plugin yang dilaporkan belum ditambal oleh pengembangnya.
Status Plugin pada Saat Pengungkapan
| Tingkat ancaman | Nomor yang Dilaporkan | Persentase dari Total (1.628) |
|---|---|---|
| Ditambal | 1156 | 71% |
| Tidak Ada Perbaikan yang Diketahui | 377 | 23,2% |
| Plugin Ditutup | 95 | 5,8% |
Kapan pun memungkinkan, tetaplah menggunakan pengembang plugin yang Anda percayai dan jangan pernah menggunakan plugin dan tema WordPress nulled. Dan, tentu saja, perbarui plugin dan tema Anda dengan tambalan yang tersedia setiap kali dirilis.
Tetapi bahkan ketika Anda melakukan itu, kerentanan masih akan dieksploitasi oleh peretas yang terampil dan penyerang jahat sebelum pengembang plugin dapat membuat tambalan untuk memperbaikinya.
Inilah mengapa situs WordPress Anda membutuhkan perlindungan keamanan yang kokoh, seperti yang akan kita bahas sebentar lagi.
Untuk saat ini, penting untuk diketahui bahwa plugin iThemes Security Pro memiliki pemindai situs bawaan yang berpasangan dengan fitur Manajemen Versi untuk secara otomatis memindai kerentanan yang diketahui dan memperbarui plugin yang rentan secara otomatis sehingga Anda tidak perlu terlalu khawatir tentang keamanan situs Anda.
Peningkatan Besar pada September 2021 untuk Kerentanan yang Dilaporkan
September adalah bulan yang menonjol dari yang lain. Faktanya, bulan September melihat 20,5% dari total kerentanan yang dilaporkan, atau total 335. Sebagai perspektif, bulan yang melihat jumlah kerentanan tertinggi kedua adalah Oktober, yang memiliki 173 laporan. Juli tidak jauh di belakang, dengan 157 kejadian.
Kerentanan Per Individu Plugin/Tema/Inti Menurut Bulan (2021)
| Bulan | Plugin | Tema | Inti |
|---|---|---|---|
| Januari | 19 | 0 | 0 |
| Februari | 42 | 2 | 0 |
| Berbaris | 58 | 1 | 0 |
| April | 67 | 1 | 2 |
| Boleh | 37 | 5 | 2 |
| Juni | 80 | 7 | 0 |
| Juli | 157 | 7 | 0 |
| Agustus | 149 | 0 | 0 |
| September | 335 | 3 | 1 |
| Oktober | 173 | 1 | 0 |
| November | 120 | 0 | 0 |
| Desember | 45 | 0 | 0 |
Meskipun tentu saja tidak mungkin untuk mengetahui apakah pola serupa akan terjadi saat kita melangkah lebih jauh ke tahun 2022, ini tentu saja merupakan data penting yang harus kita perhatikan.
Kerentanan Berdasarkan Tingkat Ancaman Berdasarkan Bulan (2021)
| Bulan | Kritis | Tinggi | Medium | Rendah |
|---|---|---|---|---|
| Januari | 5 | 3 | 11 | 1 |
| Februari | 25 | 10 | 0 | 21 |
| Berbaris | 16 | 19 | 35 | 0 |
| April | 25 | 27 | 37 | 1 |
| Boleh | 4 | 18 | 32 | 3 |
| Juni | 7 | 18 | 64 | 1 |
| Juli | 8 | 65 | 120 | 9 |
| Agustus | 11 | 135 | 56 | 37 |
| September | 19 | 174 | 156 | 38 |
| Oktober | 8 | 73 | 75 | 62 |
| November | 9 | 46 | 53 | 22 |
| Desember | 0 | 30 | 18 | 9 |
Scripting Lintas Situs Sebagai Kerentanan Plugin Paling Umum
Cross-site scripting (XSS) adalah jenis kerentanan keamanan situs web yang ditemukan di banyak aplikasi WordPress, seperti plugin dan tema.
Serangan XSS ini memungkinkan penyerang untuk menyuntikkan skrip sisi klien ke halaman web WordPress yang dilihat oleh pengguna lain. Kerentanan skrip lintas situs dapat digunakan oleh penyerang untuk melewati kontrol akses, dan sepenuhnya mengakses bagian belakang situs Anda.
Skrip lintas situs yang dilakukan di situs WordPress pada tahun 2021 menyumbang 54,4% dari semua kerentanan WordPress. Dan itu adalah total 885 kerentanan total.
| Tingkat ancaman | Nomor yang Dilaporkan | Persentase dari Total (1.628) |
|---|---|---|
| Pembuatan Skrip Lintas Situs (CSS) | 885 | 54,4% |
| Permintaan Pemalsuan Lintas Situs (CSFR) | 167 | 10,2% |
| Injeksi SQL | 152 | 9.3% |
| Melewati | 68 | 4.2% |
| Kerentanan RCE | 20 | 1,2% |
| Kerentanan PHP | 19 | 1,2% |
| Pengungkapan Var | 19 | 1,2% |
| REST API | 11 | 0,7% |
| Keterbukaan Informasi Sensitif | 6 | 0,4% |
| Semua Lainnya | 281 | 17,3% |
Seperti yang Anda lihat, skrip lintas situs adalah masalah keamanan utama bagi semua pemilik situs WordPress. Tapi kekhawatiran kerentanan tidak berakhir di situ.
10,2% lainnya, atau 167 kerentanan, berasal dari Permintaan Pemalsuan Lintas Situs (CSFR).
Pemalsuan permintaan lintas situs, juga dikenal sebagai serangan satu klik atau naik sesi, adalah jenis eksploitasi berbahaya dari situs web di mana perintah yang tidak sah dikirimkan dari pengguna yang dipercaya oleh aplikasi web.
Tidak butuh waktu lama untuk melihat bahwa, tanpa protokol keamanan WordPress yang tepat, situs web WordPress Anda terbuka lebar untuk segala jenis serangan lintas situs.
Tapi itu bukan satu-satunya jenis kerentanan yang harus Anda khawatirkan. Di luar mereka, ada tujuh jenis kerentanan berbeda yang dilaporkan pada tahun 2021.
Dan jangan abaikan 281, atau 17,3%, kerentanan yang dilaporkan yang diberi label dalam laporan sebagai "Lainnya".
Seringkali, jenis serangan ini adalah yang belum dipahami oleh pengembang tema dan plugin, dan memerlukan plugin keamanan WordPress yang kuat agar tidak merusak atau meretas situs Anda.
Tingkat Ancaman Kerentanan pada tahun 2021
| Tingkat ancaman | Nomor yang Dilaporkan | Persentase dari Total (1.628) |
|---|---|---|
| Kritis | 137 | 8.4% |
| Tinggi | 630 | 38,7% |
| Medium | 678 | 41,6% |
| Rendah | 183 | 11,2% |
Kerentanan Inti dan Tema WordPress
Sebagai pemilik situs WordPress, Anda mungkin sudah mengetahui pentingnya memperbarui plugin Anda setiap saat untuk menghindari potensi serangan.
Bagaimanapun, sebagian besar kerentanan dieksploitasi melalui plugin.
Namun, seperti yang ditunjukkan oleh angka 2021, plugin bukanlah tempat awal dan akhir protokol keamanan Anda. Bahkan jika Anda 100% waspada dengan plugin yang Anda gunakan dan selalu memperbaruinya, situs Anda masih dapat dieksploitasi oleh kerentanan dalam tema Anda.
Itu juga dapat dieksploitasi melalui perangkat lunak inti WordPress. Tahun lalu, kami melihat total 47 kerentanan yang dieksploitasi melalui inti WordPress dan berbagai tema. Jumlah itu menyumbang sekitar 2,5% dari semua kerentanan keamanan WordPress 2021.
Dan sementara itu mungkin tidak tampak banyak, hanya dibutuhkan satu kerentanan situs yang dieksploitasi untuk benar-benar merusak reputasi situs web dan bisnis Anda.
Tentu saja, solusi pertama adalah menjaga inti WordPress dan tema Anda sepenuhnya ditambal dan diperbarui setiap saat. Tetapi seperti yang kami nyatakan tentang plugin, itu hanya membantu menyelesaikan kerentanan yang diketahui sebelumnya.
Untuk yang baru, Anda perlu menjalankan perangkat lunak keamanan yang tahu cara mendeteksi ketika serangan berbahaya terjadi secara real time.
Pastikan untuk Menjaga Keamanan Situs Web sebagai Fokus di 2022
Di sinilah langkah plugin iThemes Security Pro untuk membantu menjaga situs WordPress Anda tetap aman. Dengan solusi keamanan WordPress kami yang mudah digunakan dan langsung, Anda akan segera dapat tidur lebih nyenyak di malam hari karena mengetahui bahwa situs Anda sepenuhnya terlindungi dari peretas dan serangan jahat.
Langkah pertama adalah memahami pemboman ancaman keamanan situs Anda terus-menerus di bawah. Setelah itu, saatnya untuk mendapatkan iThemes Security Pro dan serius tentang protokol keamanan situs web WordPress Anda.
Dengan pemindai situs WordPress bawaan untuk memindai kerentanan WordPress yang diketahui, dipasangkan dengan lapisan perlindungan untuk halaman login Anda seperti perlindungan brute force, serta deteksi perubahan file dan pencatatan pengguna, situs Anda memiliki pertahanan yang kuat terhadap peretasan dan pelanggaran keamanan .
Plugin Keamanan WordPress Terbaik untuk Aman & Melindungi WordPress
Dibangun oleh pakar keamanan WordPress sejak 2014
WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga telah menjadi sasaran empuk bagi peretas dengan niat jahat. iThemes Security Pro menghilangkan tebakan dari keamanan WordPress untuk memudahkan mengamankan & melindungi situs WordPress Anda.
