Bagaimana Situs Web Diretas?

Sebagai pemilik situs WordPress, Anda sudah tahu bahwa keamanan memainkan peran besar dalam menjaga operasi Anda aman dari peretasan dan serangan jahat. Tetapi bagaimana tepatnya situs web diretas? Bagaimana proses yang dilakukan oleh peretas, dan sering kali berhasil, dalam menghapus situs WordPress dengan serangan mereka?

Meskipun web telah berkembang pesat dalam beberapa dekade terakhir, tidak banyak yang berubah dalam cara situs web diretas oleh aktor jahat. Dan hal terpenting yang harus Anda lakukan untuk menjaga keamanan situs dan pengunjung Anda adalah memahami sepenuhnya apa kepercayaan yang tidak berubah ini sehingga Anda dapat tetap selangkah lebih maju dari mereka.

Dalam panduan komprehensif ini, kami akan menunjukkan dengan tepat bagaimana situs web diretas, apa tanda-tanda situs Anda telah diretas, dan banyak lagi. Mari lihat.

Skala Besar Situs Web yang Diretas

Lebih dari 1,2 miliar (dengan B) situs web sekarang terdiri dari versi World Wide Web saat ini. Dan jika Anda mengasumsikan rata-rata waktu pemuatan situs web 3 detik, Anda akan membutuhkan lebih dari 160 tahun untuk mengunjungi setiap situs yang ada, tanpa mengambil waktu sedetik pun untuk beristirahat.

Itu adalah web yang sangat besar yang sama sekali tidak mungkin untuk diawasi oleh entitas individu mana pun dengan aman. Meskipun layanan seperti Penjelajahan Aman Google mencoba memperingatkan penggunanya tentang situs yang mungkin tidak aman. Saat ini, ia memberikan lebih dari 3 juta peringatan ini kepada pengguna setiap hari.

Dan itu kira-kira sebesar gabungan populasi Los Angeles dan NYC.

Sederhananya, situs web akan selalu menjadi target besar bagi orang-orang dengan niat buruk. Dan dampak keseluruhan dari peretasan apa pun akan menghancurkan bisnis Anda.

Tapi ada kabar baik.

Meskipun ada ancaman besar di luar sana yang berbahaya dan terus-menerus, kesadaran kami terhadap kami, dikombinasikan dengan penggunaan alat yang tepat, akan sangat membantu memastikan situs kami tetap aman dari serangan.

Bagaimana Situs Web Diretas? 3 Cara Utama

Selama tiga dekade terakhir Internet, kami melihat bahwa peretasan hampir selalu terjadi dalam tiga kategori berbeda:

1. Kontrol akses
2. Kerentanan perangkat lunak
3. Integrasi pihak ketiga

Kenyataannya adalah bahwa tidak masalah jika Anda menjalankan situs untuk Fortune 500 atau toko sepatu lokal Anda, cara peretas mendekati keahlian mereka akan terlihat hampir sama.

Tetapi apa yang berbeda adalah bagaimana setiap bisnis secara individual membiarkan dirinya dieksploitasi sejak awal.

• Organisasi besar sering menggunakan alasan untuk mengatakan, "Kami pikir ada orang lain yang menangani keamanan." Jenis kabut dan miskomunikasi ini biasa terjadi di organisasi besar dan kompleks.
• Bisnis kecil sering kali percaya bahwa mereka terlalu kecil untuk ditargetkan oleh peretas mana pun. Mereka sering berada di bawah asumsi yang salah bahwa peretas tidak akan menyentuhnya. Ini membuatnya mudah untuk melupakan seberapa banyak informasi pribadi yang sebenarnya dapat diambil dari situs web terkecil sekalipun.

Dalam kedua kasus tersebut, peretas memiliki insentif dan alat untuk melaksanakan tujuan mereka di area di mana tidak ada banyak kewaspadaan tentang keamanan.

Lingkungan Situs Web Memiliki Banyak Aktivitas

Sebelum masuk ke spesifikasi setiap jenis peretasan, pertama-tama mari kita buat dasar yang sangat penting tentang cara kerja web sebenarnya.

Setiap website bergantung pada serangkaian sistem yang saling berhubungan dan bekerja sama. Ada komponen seperti DNS (Domain Name Server), server web, dan infrastruktur yang menampung berbagai server Anda dan menghubungkannya ke Internet.

Sekalipun kedengarannya relatif sederhana, ekosistem yang mendasarinya cukup kompleks.

Begitu banyak komponen individual yang disediakan oleh penyedia layanan khusus. Bahkan jika Anda menerima sejumlah layanan berbeda dari satu penyedia layanan, masih ada banyak bagian unik dari persamaan yang berfungsi sendiri.

Pikirkan situs web Anda seperti kendaraan konsumen modern. Di luar, terlihat kokoh dan ramping, tetapi di bawahnya memiliki banyak bagian yang bergerak yang membuat semuanya bekerja.

Untuk tujuan panduan ini, Anda tidak perlu memahami semua detail tentang cara kerja situs Anda. Tetapi penting untuk diketahui bahwa setiap komponen individual ini akan memengaruhi keamanan situs WordPress Anda secara keseluruhan.

Dan mereka masing-masing memiliki potensi untuk berkontribusi pada bagaimana situs Anda diretas.

1. Kontrol Akses

Ini secara khusus berbicara tentang proses otorisasi dan otentikasi. Sederhananya, kontrol akses adalah bagaimana Anda masuk ke situs WordPress Anda.

Dan ini lebih dari sekadar cara Anda masuk ke panel admin situs web Anda. Seperti yang telah kami tentukan, ada banyak login berbeda yang saling berhubungan yang bekerja bersama di balik layar situs Anda.

Saat memikirkan tentang kontrol akses, ada enam area spesifik yang perlu Anda pertimbangkan.

Apa kabar:

• Masuk ke panel host Anda?
• Masuk ke server (SSH, SFTP, FTP)?
• Masuk ke situs web Anda?
• Masuk ke komputer pribadi Anda?
• Masuk ke platform media sosial?
• Simpan kredensial nama pengguna dan kata sandi Anda untuk masing-masing variabel ini?

Terlalu mudah untuk mengabaikan kontrol akses. Namun, setiap titik akses individu dapat menawarkan akses peretas ke seluruh ekosistem Anda.

Seorang peretas juga akan menggunakan sejumlah taktik berbeda untuk mendapatkan akses ke satu titik masuk yang tidak aman. Anggap saja seperti pencuri rumah yang memeriksa setiap pintu masuk potensial, lalu menyelinap (atau menipu Anda) salinan kode atau kunci pas rumah Anda.

• Serangan brute force adalah yang paling mudah dilakukan dan bisa menjadi cara yang paling efektif. Dengan serangan brute force, peretas mencoba menebak kombinasi nama pengguna dan kata sandi potensial dalam upaya untuk masuk sebagai pengguna situs yang kredibel.
• Serangan rekayasa sosial semakin populer. Peretas membuat laman phishing yang dirancang untuk mengelabui pengguna agar memasukkan kombinasi ID dan sandi mereka secara sukarela.
• Serangan Cross-Site Scripting (XSS) dan Cross-Site Request Forgery (CSRF) melibatkan penyadapan kredensial login pengguna melalui browser pengguna.
• Serangan Man in the Middle (MITM) juga digunakan. Dengan ini, nama pengguna dan kata sandi pengguna mudah disadap saat pengguna bekerja di jaringan yang tidak sepenuhnya aman.
• Keylogger dan malware tambahan yang memantau pengguna akan melacak input, lalu melaporkannya kembali ke peretas yang menginfeksi pengguna.

Namun, apa pun jenis serangan yang dilakukan, tujuan peretas selalu sama: Dapatkan akses langsung ke situs Anda melalui login yang kredibel.

Terlepas dari gaya serangannya, tujuannya sama: Dapatkan akses langsung melalui login.

Plugin Keamanan iThemes menambahkan lebih banyak perlindungan untuk keamanan pengguna Anda. Keamanan situs Anda bergantung pada pengguna Anda yang memiliki login aman dengan sandi yang kuat. Itu sebabnya iThemes Security menawarkan beberapa lapisan keamanan bagi pengguna, termasuk otentikasi dua faktor, perangkat tepercaya dengan perlindungan pembajakan sesi, login tanpa kata sandi untuk memverifikasi identitas pengguna, dan perlindungan kata sandi yang dilanggar. Anda bahkan dapat menjalankan pemeriksaan keamanan pengguna untuk mengaudit dan memodifikasi elemen paling penting dari keamanan pengguna Anda dengan cepat.

Lapisan keamanan berikutnya yang ditambahkan iThemes Security adalah perlindungan untuk bagian situs web Anda yang paling sering diserang, layar login WordPress. iThemes Security menawarkan dua jenis perlindungan brute force untuk mengawasi upaya login yang tidak valid yang dilakukan ke situs web Anda. Setelah pengguna atau bot melakukan terlalu banyak upaya login tidak valid berturut-turut, mereka akan dikunci dan akan dicegah untuk mencoba lagi selama jangka waktu tertentu.

2. Kerentanan Perangkat Lunak

Pada kenyataannya, sebagian besar pemilik situs web WordPress tidak dapat mengatasi kerentanan keamanan dalam perangkat lunak saat ini tanpa patch yang direkomendasikan oleh pengembang perangkat lunak. Masalahnya adalah banyak pengembang tidak memperhitungkan ancaman yang diperkenalkan oleh kode yang mereka tulis ke situs Anda.

Sebuah bug kecil yang tidak mempengaruhi UX (pengalaman pengguna) yang dimaksud secara nyata dapat dieksploitasi untuk membuat perangkat lunak melakukan hal-hal yang tidak dimaksudkan untuk dilakukan. Dan peretas paling berpengalaman melihat bug tersebut sebagai potensi kerentanan.

Salah satu cara paling umum yang mereka lakukan adalah dengan menggunakan POST Header yang salah, atau Uniform Resource Locator (URL) yang salah untuk memulai sejumlah serangan yang berbeda.

Ini termasuk:

• Eksekusi Kode Jarak Jauh (RCE) yang memungkinkan pengambilalihan jarak jauh total dari situs dan sistem yang ditargetkan
• Remote / Local File Inclusion (R/LFI) yang menggunakan input yang disediakan oleh pengguna di bidang untuk mengunggah file berbahaya ke dalam sistem
• SQL Injection (SQLi) yang memanipulasi bidang input teks dengan kode berbahaya yang mengirimkan urutan serangan ke server

Dengan cara yang mirip dengan kontrol aset, kerentanan dalam perangkat lunak melampaui cakupan situs web. Kerentanan ini dapat ditemukan dan dieksploitasi dalam setiap teknologi yang saling berhubungan yang diandalkan oleh situs web.

Dan sebagian besar situs saat ini menggunakan campuran ekstensi pihak ketiga, seperti plugin dan tema WordPress, yang semuanya merupakan titik potensial intrusi peretasan.

Karena plugin, tema, dan versi inti WordPress yang rentan adalah risiko keamanan terbesar situs web Anda, iThemes Security mulai memindai situs web Anda. Dengan iThemes Security Site Scan, Anda akan mengetahui setiap kali plugin, tema, atau versi inti WordPress di situs Anda rentan dan perlu diperbarui. Dan bahkan lebih baik ... itu akan secara otomatis menjalankan pembaruan untuk Anda. Pemindaian Situs didukung oleh basis data kerentanan paling komprehensif yang tersedia, sehingga Anda akan selalu memiliki perlindungan terbaru. Pemindaian Situs juga terintegrasi dengan Google Safe Browsing untuk memeriksa status daftar blokir situs Anda dan untuk malware yang diketahui atau file yang mencurigakan.

Berikut cara kerja Pemindaian Situs iThemes Security untuk melindungi situs Anda:

• Memindai Kerentanan Situs Web Anda Dua Kali Sehari – Plugin, tema, dan versi inti WordPress situs web Anda diperiksa terhadap Basis Data Kerentanan WPScan untuk pengungkapan kerentanan terbaru.
• Pembaruan Otomatis jika Perbaikan Keamanan Tersedia – Dipasangkan dengan Manajemen Versi, Keamanan iThemes akan secara otomatis memperbarui plugin, tema, atau versi inti WordPress jika memiliki kerentanan.
• Mengirim email kepada Anda jika Pemindaian Situs Mendeteksi Kerentanan – Anda dapat menerima laporan email jika situs Anda menjalankan versi plugin, tema, atau inti WordPress yang rentan. Sesuaikan alamat email yang menerima hasil pemindaian.

3. Layanan dan Integrasi Pihak Ketiga

Terakhir, ada eksploitasi yang terjadi melalui layanan dan integrasi pihak ketiga.

Paling sering, ini akan mengambil bentuk iklan melalui jaringan iklan yang mengarah ke serangan malvertising.

Peretasan ini akan melibatkan layanan yang Anda gunakan dengan situs dan hosting Anda, termasuk variabel seperti CDN (Jaringan Distribusi Konten) Anda.

Integrasi dan layanan pihak ketiga menyediakan interkoneksi yang cukup antara berbagai bagian pengalaman pengelolaan situs Anda. Faktanya, itu adalah satu hal yang disukai orang tentang opsi sistem manajemen konten yang dapat diperluas seperti WordPress, Drupal, dan Joomla.

Tetapi keterkaitan juga memberikan poin bagi peretas untuk dieksploitasi.

Salah satu masalah terbesar adalah bagaimana peretas mengeksploitasi layanan dan integrasi ini dengan cara yang berada di luar kemampuan pemilik situs web untuk mengendalikannya. Sebagai pembuat atau pengelola situs, Anda telah menaruh banyak kepercayaan pada penyedia pihak ketiga saat Anda memilih untuk menggunakan salah satu integrasi mereka.

Dan, tentu saja, banyak yang rajin mengamankan integrasi mereka.

Tetapi seperti hal-hal lain, ada risiko yang melekat. Dan itu adalah salah satu yang selalu diperhatikan oleh para peretas.

Salah satu cara iThemes Security bekerja untuk melindungi akses pihak ketiga adalah dengan kata sandi aplikasi yang aman untuk XML-RPC & REST API. Pembaruan ini memungkinkan untuk menggunakan otentikasi nama pengguna/kata sandi untuk permintaan REST API sehingga Anda dapat mengunci REST API (sesuai rekomendasi kami) sambil tetap mengizinkan alat eksternal yang menggunakan REST API untuk terhubung.

Melindungi Situs Web Anda Dari Peretasan

Keamanan situs WordPress penting. Bagian besar dari keamanan situs WordPress adalah pendidikan dan kesadaran. Dan hanya dengan membaca panduan ini telah menempatkan Anda pada posisi yang lebih baik untuk mengamankan situs Anda.

Ke depan, ada langkah-langkah khusus yang perlu Anda ambil. Dan itu adalah tujuan kami untuk membantu Anda mencapainya. Sayangnya, hanya setelah ada yang tidak beres, begitu banyak pemilik situs web akhirnya serius tentang keamanan.

Alih-alih, mengapa tidak mengatasi rasa sakit dan melakukan langkah-langkah ini untuk menjauhkan Anda darinya:

1. Gunakan prinsip Defense in Depth. Ini melibatkan membangun lapisan keamanan seperti bawang. Setiap latihan mempersulit peretas untuk masuk ke ekosistem Anda.
2. Manfaatkan praktik terbaik yang Paling Tidak Diistimewakan. Pastikan Anda membatasi apa yang diizinkan oleh setiap login pengguna situs.
3. Buat Otentikasi Dua Faktor dan Otentikasi Multi-Faktor di mana pun Anda bisa. Ini selanjutnya akan mengamankan titik akses pengguna tertentu tersebut.
4. Gunakan firewall situs web. Ini akan bekerja sangat baik dalam membatasi bagaimana peretas mencoba mengeksploitasi kerentanan dalam perangkat lunak.
5. Jadwalkan pencadangan secara teratur. Unduh dan instal plugin cadangan BackupBuddy WordPress sebagai solusi Anda untuk ini. Dengan begitu, jika situs Anda pernah diretas, Anda dapat memulihkannya dengan beberapa klik.
6. Dapatkan perspektif dari mesin pencari utama. Alat Webmaster Bing dan Google Search Console keduanya memberikan laporan yang berguna tentang cara mereka melihat keamanan situs Anda.

Cara terbaik untuk menutupi basis keamanan ini sebagai pemilik situs WordPress adalah dengan menggunakan plugin iThemes Security Pro.

Kemudian pahami bahwa tidak ada cara yang sangat mudah untuk tetap 100% aman setiap saat. Alat yang Anda gunakan dalam lingkungan situs web Anda akan secara signifikan mengurangi risiko Anda secara keseluruhan. Tetapi keamanan bukanlah tindakan atau peristiwa tunggal. Ini adalah serangkaian tindakan.

Dan semuanya dimulai dengan alat hebat seperti iThemes Security Pro yang akan membantu memandu Anda melalui cara terbaik mengamankan situs Anda.

Sekarang setelah Anda tahu apa yang harus dilakukan dan apa yang Anda cari, Anda pasti akan menemukan salah satu skenario keamanan yang telah kami bahas dalam panduan ini. Tapi sekarang, Anda akan tahu lebih baik apa yang harus dilakukan untuk mengatasi masalah tersebut.

Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress

WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga telah menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs WordPress Anda. Ini seperti memiliki staf ahli keamanan penuh waktu yang terus-menerus memantau dan melindungi situs WordPress Anda untuk Anda.

Dapatkan iThemes Keamanan Pro

Kristen Wright

Kristen telah menulis tutorial untuk membantu pengguna WordPress sejak 2011. Sebagai direktur pemasaran di iThemes, dia berdedikasi untuk membantu Anda menemukan cara terbaik untuk membangun, mengelola, dan memelihara situs web WordPress yang efektif. Kristen juga suka menulis jurnal (lihat proyek sampingannya, Tahun Transformasi !), hiking dan berkemah, aerobik langkah, memasak, dan petualangan sehari-hari bersama keluarganya, berharap untuk menjalani kehidupan yang lebih kekinian.