Keamanan WordPress Berdasarkan Fakta dan Statistik

Diterbitkan: 2022-12-12

WordPress adalah target umum bagi peretas jahat karena banyaknya orang yang menggunakannya. Beberapa perkiraan menyebutkan jumlah total situs web WordPress di internet mencapai 455 juta. Ini berarti WordPress menjalankan 43,1% dari semua situs web di internet.

Statistik yang menarik

Mencari tahu berapa banyak situs web yang diretas itu rumit. Ada beberapa alasan untuk ini. Insiden peretasan terkenal tidak dilaporkan. Kecuali diwajibkan oleh undang-undang untuk mengungkapkan insiden, banyak administrator dan pemilik situs web enggan melakukannya. Banyak yang tidak menyadari bahwa mereka telah diretas, sehingga tidak mungkin untuk melaporkannya.

Dengan peringatan ini, Tata Kelola TI – penyedia solusi manajemen risiko dan privasi dunia maya, melaporkan sekitar 5,1 miliar (dengan nilai B) pelanggaran pada tahun 2021 saja. Angka ini mencakup semua pelanggaran. Melihat laporan lain, kali ini oleh Sophos, 30.000 situs web (rata-rata) diretas setiap hari. Ini setara dengan 11 juta situs web yang diretas per tahun. Kami tahu bahwa 43% dari semua situs web menjalankan WordPress, yang memungkinkan kami memperkirakan bahwa 4,7 juta situs web WordPress diretas setiap tahun. Itu hampir 13.000 situs web WordPress diretas setiap hari.

Itu jumlah yang sangat besar – yang menimbulkan pertanyaan, mengapa WordPress sering diretas? Itulah tepatnya yang akan kita lihat di artikel ini – berdasarkan fakta dan statistik.

WordPress – seberapa amankah itu, sungguh?

WordPress adalah proyek sumber terbuka dengan banyak orang di seluruh dunia yang secara aktif mengerjakannya. Komunitas WordPress sangat kuat dan terdiri dari beberapa orang paling cerdas dan paling berkomitmen yang pernah Anda temui. Dengan begitu banyak orang yang terlibat dan mengabaikan proses pengembangan, WordPress cenderung sangat aman.

Kekuatan WordPress juga bisa menjadi kejatuhannya, karena statistik akan menunjukkan kepada kita saat kita mempelajari lebih dalam bagaimana situs web WordPress diretas.

Kekuatan dan kelemahan terbesar WordPress

Tidak ada sistem yang sempurna, dan ini juga berlaku untuk inti WordPress. Inti WordPress mewakili file inti sebelum perubahan apa pun (seperti plugin, tema, dan konfigurasi) dibuat. Faktanya, WordPress Core menghasilkan 0,58% dari semua kerentanan pada tahun 2021 – menurut laporan statistik peretasan WordPress Sucuri. Itu hanya lebih dari setengah dari satu persen dari semua insiden.

Selanjutnya adalah tema dan plugin – dalam urutan itu. Faktanya, tema mencapai 6,61% dari semua kerentanan, sementara plugin mencapai 92,81%.

Sucuri selanjutnya memecah tema dan plugin berdasarkan apakah itu gratis atau premium. Sementara tema dan plugin premium merupakan 8,62% dari semua kerentanan pihak ke-3, mitra gratis mereka mencapai 91,38%.

Mengapa plugin yang bagus membutuhkan biaya

Ada banyak alasan mengapa hal ini terjadi. Plugin dan tema tersedia dalam berbagai bentuk dan ukuran – mulai dari pengembang terkemuka hingga yang teduh. Sebenarnya, jika dilakukan dengan benar, pengembangan plugin tidaklah murah. Pengembang profesional penuh waktu perlu dibayar dengan tetap menjaga infrastruktur yang baik, dan fasilitas pengujian juga menghasilkan tagihan.

Ini bukan untuk mengatakan bahwa semua plugin gratis menimbulkan ancaman keamanan – jauh dari itu. Banyak pengembang mendedikasikan waktu luang mereka untuk menghasilkan plugin gratis yang berkualitas baik. Namun, jika Anda menginginkan plugin yang diuji dan didukung secara ekstensif, plugin premium mungkin adalah cara yang tepat.

Kerentanan WordPress – angkanya

Jumlah kerentanan WordPress yang diketahui cenderung meningkat setiap tahun. Faktanya, WPScan menambahkan 1.437 kerentanan baru ke basis datanya dan 514 tahun sebelumnya. Pada November 2022 saja, 64 kerentanan baru ditambahkan.

Mempertimbangkan distribusi kerentanan yang kita bahas sebelumnya, angka-angka ini bertahan ketika melihat jumlah plugin WordPress yang tersedia. Repositori WordPress.org mencantumkan lebih dari 60.000 plugin yang tersedia pada saat penulisan, dengan lebih banyak ditambahkan setiap hari. Plugin juga dapat dibeli langsung dari pengembang atau diunduh dari sumber tidak resmi.

Karena lanskap kerentanan WordPress yang selalu berubah, serangan yang ditargetkan adalah pengecualian daripada aturannya. Saat kerentanan lama ditambal, dan yang baru diperkenalkan, peretas akan kesulitan untuk mengikutinya. Itu juga membuat serangan yang ditargetkan sangat memakan waktu, itulah sebabnya sebagian besar serangan dilakukan secara otomatis.

Serangan otomatis menggunakan penggunaan alat untuk memindai banyak situs web secara otomatis, meningkatkan peringatan setiap kali kerentanan ditemukan. Karena itu, sebagian besar serangan tidak pandang bulu daripada akibat dendam. Tapi alat apa yang digunakan peretas untuk serangan otomatis semacam itu? Ayo cari tahu.

Bagaimana situs web WordPress diretas

WordPress dapat diretas dengan berbagai cara – peretas bisa sangat kreatif dalam mengejar target. Hal ini membuat tidak mungkin dan berbahaya untuk mencantumkan semua cara situs web WordPress dapat diretas, karena dapat memberikan rasa aman yang salah. Namun, kita dapat melihat satu contoh yang mengilustrasikan proses yang biasanya dilakukan peretas untuk meretas situs web WordPress.

WPScan – Pemindai kerentanan WordPress

wpscan
Antarmuka WPScan: Pemindaian Keamanan WordPress

Salah satu alat umum yang sering digunakan oleh peretas disebut WPScan. Ini adalah alat gratis yang tersedia secara online. Ini adalah pemindai kerentanan yang memindai situs web WordPress dan mengidentifikasi masalah yang diketahui dan konfigurasi yang tidak aman. Saat meluncurkan pemindaian keamanan WordPress default dengan WPScan, Anda akan langsung mengetahui:

  • Versi WordPress
  • Plugin yang diinstal, versinya, dan jalur tempat mereka diinstal
  • Tema yang diinstal, versinya, dan jalur tempat mereka diinstal

WPScan menyertakan fungsi lain, seperti pemindaian pencacahan pengguna WordPress. Pemindaian ini mengidentifikasi dan menghitung semua pengguna yang terdaftar di situs web WordPress, memberikan wawasan kepada peretas tentang cara kerja WordPress Anda. Berbekal informasi ini, peretas kemudian dapat meluncurkan serangan sekunder, seperti serangan brute force kata sandi WordPress untuk mendapatkan akses ke sistem Anda.

Di sini, penting untuk diperhatikan mengapa keamanan kata sandi WordPress sangat penting untuk keamanan keseluruhan situs web WordPress Anda. Kata sandi yang lemah membuat serangan brute force relatif mudah untuk menerobos. Sama halnya, penting untuk memastikan semua akun menggunakan kata sandi yang kuat. Akun kontributor yang dikompromikan mungkin tidak dapat menimbulkan banyak kerusakan, tetapi melalui eskalasi hak istimewa pada situs web yang disusupi, penyerang dapat memperoleh hak administratif untuk menimbulkan kekacauan.

Mengapa peretas meretas

Setelah aktor jahat berhasil mendapatkan akses ke situs WordPress Anda, ada beberapa tindakan yang dapat mereka lakukan, seperti:

  • Buat akun baru dengan hak istimewa admin
  • Setel ulang kata sandi akun yang ada untuk memastikan pengguna lain tidak dapat memperoleh kembali akses ke WordPress mereka
  • Ubah peran akun tidak aktif yang ada
  • Ubah konten untuk menyuntikkannya dengan kode berbahaya
  • Tamper dengan file kode sumber WordPress untuk menambahkan kode berbahaya, seperti backdoors
  • Tambahkan pengalihan di file htaccess

Melindungi WordPress Anda dari serangan

Seperti yang telah kita lihat, aktor jahat dapat mengambil banyak pendekatan untuk meretas situs web WordPress. Maka, masuk akal bahwa mengamankan situs web WordPress memerlukan pendekatan yang lebih holistik daripada sekadar memastikan pengguna memiliki kata sandi.

  • Riset – Apakah Anda sedang mencari penyedia hosting WordPress atau plugin baru, pastikan meluangkan waktu untuk memeriksanya sebelumnya. Forum dapat membantu Anda melihat dengan cepat bagaimana perasaan pelanggan tentang produk atau layanan, sedangkan plugin harus sering diperbarui dan dukungan pelanggan yang hebat.
  • Tes – Memilih plugin terbaik untuk WordPress Anda tidak harus menjadi permainan tebak-tebakan. Sebagian besar penyedia plugin terkemuka menawarkan uji coba gratis untuk plugin premium mereka. Ini memungkinkan Anda untuk mengujinya sebelum melakukan.

Setelah pengaturan Anda diketahui, Anda harus memastikannya dikonfigurasi dengan benar untuk keamanan maksimum. Mengonfigurasi WordPress yang aman bukanlah pekerjaan satu kali tetapi proses berkelanjutan yang meliputi:

  • Kata sandi yang kuat – Kebijakan kata sandi WordPress yang kuat dapat membantu Anda memastikan serangan brute force kehabisan waktu sebelum berhasil. Gunakan perpaduan yang sehat antara huruf besar dan kecil, angka, dan karakter khusus. Selain itu, tetapkan kebijakan kedaluwarsa kata sandi untuk memastikan kata sandi sering diubah.
  • 2FA – 2FA, kependekan dari autentikasi dua faktor, menambahkan lapisan autentikasi tambahan ke login WordPress Anda. Saat menggunakan 2FA, meskipun serangan brute force berhasil, tanpa akses ke ponsel cerdas Anda, peretas tidak akan dapat masuk.
  • Perbarui – Selalu perbarui WordPress, plugin, dan tema setiap saat. Implementasi pembaruan WordPress dapat dilakukan dengan berbagai cara, seperti yang ditunjukkan oleh survei terbaru ini. Ini dapat membantu Anda menyeimbangkan persyaratan administratif dan keamanan tanpa kesulitan.
  • Monitor – Tetap awasi aktivitas pengguna dan sistem dengan plugin keamanan seperti WP Activity Log. Ini akan membantu Anda mengidentifikasi perilaku mencurigakan sejak dini dan mematikannya sebelum terjadi kerusakan.

Ini sama sekali bukan daftar yang lengkap, tetapi ini adalah titik awal yang baik. Keamanan WordPress adalah topik yang terus berkembang, yang membutuhkan pemeliharaan konstan. Mengikuti blog keamanan WordPress adalah salah satu cara untuk tetap up-to-date dan sesuatu yang dapat Anda baca sambil menyeruput kopi pagi Anda.

Menjaga keamanan WordPress

Keamanan WordPress adalah sebuah siklus, bukan proses dengan awal dan akhir. Dibutuhkan perhatian dan penyesuaian terus-menerus untuk merespons ancaman yang terus berkembang. Meskipun ini mungkin terdengar terlalu banyak pekerjaan, seperti yang sering terjadi, pemeliharaan lebih baik daripada perbaikan. Dengan mendedikasikan beberapa jam setiap bulan, Anda dapat mengurangi risiko keamanan secara drastis, membantu memastikan situs web Anda terus berkembang.