Serangan WordPress Umum dan Cara Menghentikannya

Serangan WordPress Umum dan Cara Menghentikannya

WordPress telah menjadi salah satu sistem manajemen konten (CMS) terkemuka selama lebih dari satu dekade. Banyak blog terbesar di internet, serta banyak situs kecil, berjalan di kerangka WordPress untuk menerbitkan konten teks, gambar, dan video ke web di seluruh dunia.


Situs web WordPress memiliki antarmuka front-end dan back-end. Front-end menyediakan tampilan yang akan dilihat pengunjung luar saat mereka memuat halaman web. Bagian belakang dapat diakses oleh administrator situs dan kontributor yang bertanggung jawab untuk menyusun, merancang, dan menerbitkan konten.

Seperti setiap sistem berbasis internet lainnya, WordPress adalah target upaya peretasan dan bentuk kejahatan dunia maya lainnya. Yang masuk akal mempertimbangkan sekarang lebih dari 32% internet berjalan di WordPress. Dalam artikel ini, kami akan menjalankan beberapa serangan WordPress yang paling umum pada perangkat lunak dan kemudian menawarkan saran bagaimana mempertahankannya dan menjaga keamanan situs web Anda.

Metode Serangan WordPress Umum

Pertama mari kita lihat serangan umum yang mungkin ditemui pemilik situs WordPress.

1. SQL Injection

Serangan WordPress Umum: SQL Injection

Platform WordPress CMS bergantung pada lapisan basis data yang menyimpan informasi metadata serta informasi administratif lainnya. Misalnya, database WordPress berbasis SQL yang khas akan berisi informasi pengguna, informasi konten, dan data konfigurasi situs.

Ketika seorang hacker melakukan serangan injeksi SQL, mereka menggunakan parameter permintaan, baik melalui bidang input atau URL, untuk menjalankan perintah basis data yang disesuaikan. Permintaan “SELECT” akan memungkinkan peretas untuk melihat informasi tambahan dari basis data, sementara permintaan “PEMBARUAN” akan memungkinkan mereka untuk benar-benar mengubah data.

Pada tahun 2011, sebuah perusahaan keamanan jaringan bernama Barracuda Networks menjadi korban Serangan injeksi SQL. Para peretas menjalankan serangkaian perintah di seluruh situs web Barracuda dan akhirnya menemukan halaman yang rentan yang dapat digunakan sebagai portal ke basis data utama perusahaan.

2. Skrip Lintas Situs

Serangan skrip lintas situs, juga dikenal sebagai XSS, mirip dengan injeksi SQL, menerimanya menargetkan elemen JavaScript pada halaman web alih-alih database di belakang aplikasi. Serangan yang berhasil dapat mengakibatkan informasi pribadi pengunjung luar dikompromikan.

Dengan serangan XSS, peretas menambahkan kode JavaScript ke situs web melalui kolom komentar atau input teks lainnya, dan kemudian skrip jahat dijalankan ketika pengguna lain mengunjungi halaman. JavaScript jahat biasanya akan mengarahkan pengguna ke situs web palsu yang akan mencoba mencuri kata sandi atau data pengenal lainnya.

Bahkan situs web populer seperti eBay dapat menjadi target serangan XSS. Di masa lalu, peretas telah berhasil ditambahkan kode berbahaya ke halaman produk dan meyakinkan pelanggan untuk masuk ke halaman web palsu.

3. Perintah Injeksi

Platform seperti WordPress beroperasi pada tiga lapisan utama: server web, server aplikasi, dan server database. Tetapi masing-masing server ini berjalan pada perangkat keras dengan sistem operasi tertentu, seperti Microsoft Windows atau Linux open-source, dan yang mewakili area potensi kerentanan yang terpisah..

Dengan serangan injeksi perintah, peretas akan memasukkan informasi berbahaya dalam bidang teks atau URL, mirip dengan injeksi SQL. Perbedaannya adalah bahwa kode akan berisi perintah yang hanya dikenali oleh sistem operasi, seperti perintah “ls”. Jika dijalankan, ini akan menampilkan daftar semua file dan direktori di server host.

Beberapa kamera yang terkoneksi internet ternyata sangat rentan terhadap serangan injeksi perintah. Firmware mereka dapat mengekspos konfigurasi sistem secara tidak tepat ke pengguna luar saat perintah jahat dikeluarkan.

4. Inklusi File

Serangan WordPress Umum: Penyertaan File

Bahasa pengkodean web yang umum seperti PHP dan Java memungkinkan programmer untuk merujuk ke file eksternal dan skrip dari dalam kode mereka. Perintah “include” adalah nama umum untuk jenis aktivitas ini.

Dalam situasi tertentu, seorang peretas dapat memanipulasi URL situs web untuk mengkompromikan bagian “sertakan” dari kode dan mendapatkan akses ke bagian lain dari server aplikasi. Plug-in tertentu untuk platform WordPress ternyata rentan terhadap serangan inklusi file. Ketika peretasan semacam itu terjadi, infiltrator dapat memperoleh akses ke semua data pada server aplikasi utama.

Kiat untuk Perlindungan

Sekarang Anda tahu apa yang harus diperhatikan, berikut adalah beberapa cara mudah untuk memperkeras keamanan WordPress Anda. Jelas, ada banyak cara untuk mengamankan situs Anda daripada yang disebutkan di bawah ini, tetapi ini adalah metode yang relatif sederhana untuk memulai dengan yang dapat menghasilkan pengembalian yang mengesankan di peretas yang digagalkan.

1. Gunakan Host Aman dan Firewall

Platform WordPress dapat dijalankan dari server lokal atau dikelola melalui lingkungan cloud hosting. Untuk tujuan memelihara sistem yang aman, opsi yang di-host lebih disukai. Host WordPress teratas di pasar akan menawarkan enkripsi SSL dan bentuk perlindungan keamanan lainnya.

Serangan WordPress Umum: Firewall

Saat mengonfigurasi lingkungan WordPress yang di-host, sangat penting untuk mengaktifkan firewall internal yang akan melindungi koneksi antara server aplikasi Anda dan lapisan jaringan lainnya. Firewall akan memeriksa validitas semua permintaan antar lapisan untuk memastikan bahwa hanya permintaan yang sah yang boleh diproses.

2. Tetap perbarui Tema dan Plugin

Komunitas WordPress dipenuhi dengan pengembang pihak ketiga yang terus-menerus bekerja pada tema dan plugin baru untuk meningkatkan kekuatan platform CMS. Pengaya ini bisa gratis atau berbayar. Plugin dan tema harus selalu diunduh langsung dari situs WordPress.org.

Plug-in dan tema eksternal bisa berisiko, karena menyertakan kode yang akan dijalankan di server aplikasi Anda. Hanya pengaya tepercaya yang berasal dari sumber dan pengembang yang memiliki reputasi baik. Selain itu, Anda harus memperbarui plugin dan tema secara teratur, karena pengembang akan merilis peningkatan keamanan.

Dalam Konsol admin WordPress, tab “Pembaruan” dapat ditemukan di bagian paling atas daftar menu “Dasbor”.

3. Instal Pemindai Virus dan VPN

Jika Anda menjalankan WordPress di lingkungan lokal atau memiliki akses server penuh melalui penyedia hosting Anda, maka Anda harus yakin untuk memiliki pemindai virus yang kuat yang berjalan pada sistem operasi Anda. Alat gratis untuk memindai situs WordPress Anda seperti Virus Total akan memeriksa semua sumber daya untuk mencari kerentanan.

Saat menghubungkan ke lingkungan WordPress Anda dari lokasi yang jauh, Anda harus selalu menggunakan klien jaringan pribadi virtual (VPN), yang akan memastikan bahwa semua komunikasi data antara komputer lokal Anda dan server sepenuhnya dienkripsi..

4. Lockdown Terhadap Serangan Brute Force

Salah satu serangan WordPress yang paling populer dan umum adalah serangan brute force. Ini tidak lebih dari program otomatis yang dilepaskan oleh hacker di “pintu depan.” Itu duduk di sana dan mencoba ribuan kombinasi kata sandi yang berbeda dan sering kali menemukan yang tepat untuk membuatnya berharga.

Kabar baiknya adalah bahwa ada cara mudah untuk menggagalkan kekerasan. Berita buruknya adalah terlalu banyak pemilik situs yang tidak menerapkan perbaikannya. Lihat Keamanan All in One WP dan Firewall. Ini gratis dan memungkinkan Anda untuk menetapkan batas keras pada upaya login. Misalnya, setelah tiga upaya plugin mengunci situs terhadap login lebih lanjut dengan alamat IP tersebut untuk jangka waktu yang telah ditentukan. Anda juga akan menerima pemberitahuan email bahwa fitur kuncian telah dipicu.

5. Otentikasi Dua Faktor

Metode yang bagus untuk mengamankan situs Anda ini bergantung pada fakta bahwa peretas kemungkinan tidak akan dapat mengambil alih kendali dua perangkat Anda secara bersamaan. Misalnya, komputer DAN ponsel. Otentikasi Dua Faktor (2FA) mengubah proses masuk ke situs web situs web Anda menjadi proses dua langkah. Seperti biasa, Anda masuk dengan cara biasa tetapi kemudian Anda akan diminta memasukkan kode tambahan yang dikirimkan ke telepon Anda.

Pintar, ya? Satu langkah ekstra ini meningkatkan keamanan situs Anda secara eksponensial dengan memisahkan login menjadi beberapa langkah berbeda. Periksa ini daftar plugin gratis itu akan membantu Anda mengatur 2FA. Para peretas yang berpikir untuk mencoba mengacaukan situs Anda mungkin sudah berubah pikiran.

Kesimpulan

Meskipun tidak ada yang namanya situs web 100% aman, ada banyak langkah yang dapat Anda ambil untuk melindungi situs web Anda. Menggunakan firewall yang bagus, menjaga agar tema dan plugin Anda tetap terbaru dan menjalankan pemindaian virus secara berkala dapat membuat perbedaan besar.

Mungkin membantu untuk memikirkan keamanan situs web sebagai proses berulang yang abadi. Seharusnya tidak pernah ada titik ketika Anda mundur dan berpikir itu “lengkap” karena permainan antara peretas dan pembela situs web tidak akan pernah berhenti, dengan bahkan pemain online yang disetujui secara resmi masuk ke dalam pengawasan online bisnis. Hanya dengan membuat diri Anda memiliki pengetahuan tentang ancaman terbaru dan bagaimana cara menangkisnya, Anda dapat mempertahankan keamanan siber dan privasi online.

Sayang sekali dunia harus seperti ini tetapi menerimanya dan terus maju. Jika Anda belum pernah melakukannya sebelumnya, sekarang adalah saat yang tepat untuk mencari beberapa situs berita cybersecurity yang disegani. Baik berlangganan newsletter mereka atau setidaknya membayar kunjungan rutin. Mulailah dengan menjalankan pencarian Google (atau mesin pencari pilihan Anda) untuk “berita keamanan siber.”

Punya pertanyaan, atau lebih banyak tips untuk ditambahkan? Tinggalkan komentar dan beri tahu kami.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map