3 SERANGAN UMUM WORDPRESS YANG DAPAT ANDA STOP DI TREKNYA

Meskipun ribuan jam telah masuk untuk memastikan WordPress aman dan stabil, platform default masih memiliki aspek-aspek tertentu yang rentan terhadap serangan. Sangat penting untuk mengetahui serangan-serangan itu, jadi Anda dapat mengambil langkah untuk meningkatkan keamanan Anda dan memberikan ketenangan pikiran yang dibutuhkan. Seperti yang telah kita bahas di artikel sebelumnya , serangan injeksi kode – seperti Scripting Lintas […]

Meskipun ribuan jam telah masuk untuk memastikan WordPress aman dan stabil, platform default masih memiliki aspek-aspek tertentu yang rentan terhadap serangan. Sangat penting untuk mengetahui serangan-serangan itu, jadi Anda dapat mengambil langkah untuk meningkatkan keamanan Anda dan memberikan ketenangan pikiran yang dibutuhkan.

Seperti yang telah kita bahas di artikel sebelumnya , serangan injeksi kode – seperti Scripting Lintas Situs dan injeksi SQL – tetap menjadi prioritas utama bagi banyak pemilik situs web.Untungnya, melindungi situs Anda dari gangguan ini hanyalah kasus menggunakan beberapa teknik akal sehat, bersama dengan snipet atau dua kode.

Dalam posting ini, kita akan mengambil isyarat dari situs web pengembang WordPressresmi , dan berlari melalui beberapa serangan paling umum yang harus dihadapi platform.Plus, kami juga akan membahas cara memperbaikinya.

 

Apa yang Sudah Dilakukan WordPress untuk Memerangi Peretas

Penting untuk disebutkan di bagian depan bahwa WordPress sudah  sangat aman , yang adalah apa yang Anda harapkan dari platform yang begitu menguasai web . Namun, jika Anda menggunakan penggambaran WordPress di media, Anda akan dimaafkan karena menganggapnya sebagai platform tidak aman yang tidak cocok untuk penggunaan profesional. Tentu saja, tidak ada yang  lebih jauh dari kebenaran .

Di halaman keamanan mereka, tim WordPress dengan jelas menguraikan komitmen mereka untuk menutup entry point potensial hacker. Ini termasuk:

  1. Menyajikan perbaikan secara hampir konstan, melalui pembaruan bertahap dan titikreguler .
  2. Komitmen untuk kompatibilitas mundur, yang mendorong pengguna untuk menginstal pembaruan reguler tersebut.

Terlepas dari semua upaya ini, WordPress – seperti setiap aplikasi web dan Content Management System (CMS) – masih membutuhkan bantuan sesekali untuk menghentikan gangguan. Kabar baiknya adalah bahwa ini adalah sesuatu yang sepenuhnya ada dalam kendali Anda.

3 Serangan Umum WordPress yang Dapat Anda Berhenti di Treknya

Seperti yang kami sebutkan di atas, tidak ada platform yang dapat sepenuhnya aman. Di bagian ini, kami akan membahas tiga serangan paling umum menurut tim pengembangan WordPress , dan mendiskusikan bagaimana Anda dapat mempertahankannya.

  1. Scripting Lintas-Situs (XSS)

Pertama, Cross-Site Scripting (XSS) adalah salah satu dari sepuluh risiko keamanan OWASP , jadi penting untuk diperhatikan. Ini adalah anggota dari grup serangan ‘injeksi’ dan terjadi ketika JavaScript dimuat melalui elemen situs dinamis yang rentan – seperti formulir kontak dan bidang masukan pengguna lainnya. Kasus penting dari serangan XSS yang parah terjadi pada tahun 2013, dengan  menargetkan Yahoo . Serangan ini meninggalkan akun pengguna di tangan peretas.

Seperti yang Anda bayangkan, serangan XSS dapat sangat mengurangi kepercayaan pelanggan dalam bisnis (atau klien Anda). Dengan demikian, mengambil tindakan yang diperlukan untuk mencegah serangan seperti itu harus menjadi prioritas. Untungnya, Anda dapat membasmi XSS hanya dengan melepaskan output Anda dengan benar, dan menghapus data yang tidak diinginkan.

  1. Injeksi SQL

Injeksi SQL terkait erat dengan XSS, karena memerlukan titik masuk yang rentan berdasarkan upaya sanitasi Anda. Namun, perbedaannya di sini adalah bahwa serangan ini secara langsung mempengaruhi database Anda, yang dapat menimbulkan konsekuensi buruk. Injeksi SQL dapat memengaruhi situs apa pun, terutama cara NASA pada tahun 2009. Untungnya, WordPress membuatnya relatif mudah untuk mencegah serangan injeksi SQL.

API WordPress standar  menyediakan sejumlah fungsi untuk membantu melindungi data yang diinput dari injeksi SQL. Sebagai contoh,  add_post_meta ()  menawarkan Anda cara aman menggunakan perintah SQL INSERT INTO , yang berarti Anda tidak perlu menambahkan panggilan basis data secara manual ke kode Anda.

Tentu saja, beberapa pertanyaan SQL Anda tidak akan sesederhana ini, dan ada kemungkinan API tidak akan menjelaskannya. Dalam situasi ini, Anda akan ingin beralih ke kelas wpdb .

  1. Pemalsuan Permintaan Lintas Situs (CSRF)

Akhirnya, kami memiliki CSRFs – diucapkan “sea-surfs.” Singkatnya, ini adalah di mana pengguna yang tidak sadar tertipu untuk melakukan tindakan yang dipilih oleh penyerang. Untuk memahami bagaimana serangan ini bekerja, ada baiknya mempertimbangkan bagaimana permintaan sederhana (seperti mengklik tautan) bekerja di bawah kap mesin. Pada akhirnya, permintaan ini adalah salah satu dari dua jenis: GET atau POST. Yang pertama adalah permintaan untuk halaman, dan yang terakhir adalah ketika data dikirim ke server.

Pertimbangkan pencarian Google untuk WordPress, di mana penelusuran ke Google memulai respons GET, dan menelusuri WordPress menjadi permintaan POST. CSRF adalah saat ini terjadi tanpa persetujuan pengguna. YouTube adalah  salah satu dari banyak situs web yang menyerah pada serangan ini, dan jika sebuah situs yang menonjol dapat rentan, Anda harus melakukan semua yang Anda bisa untuk menjaga situs Anda seaman mungkin.

Solusinya di sini adalah menggunakan ‘nonces’  – token keamanan sekali pakai yang dirancang untuk melindungi URL dan formulir agar tidak dikompromikan.