Memainkan Whack-a-Mole Dengan Keamanan WordPress

Mengamankan situs web di zaman sekarang ini (bahkan yang kecil) semakin menjadi semakin sulit. Dan jika Anda menggunakan WordPress, Anda mungkin juga memiliki target besar di belakang Anda. Antara orang jahat dan bot tanpa henti, setiap menit setiap hari telah menjadi medan pertempuran.

Bagian yang benar-benar menakjubkan dari ini adalah Anda dapat melakukan semua hal yang benar dan masih berakhir dengan situs yang diretas. Lanjutkan dan perbarui plugin dan tema Anda. Jalankan plugin keamanan atau pasang penghalang lain untuk masuk. Lakukan semua itu dan Anda mungkin masih menemukan diri Anda dalam posisi yang dikompromikan.

Baru-baru ini, saya menemukan fakta sulit ini untuk diri saya sendiri. Saya membantu seorang rekan dengan situs yang menghadapi banyak masalah – meskipun kami berpikir bahwa kami melakukan sesuatu dengan “cara yang benar”. Itu mengilhami saya untuk duduk dan memikirkan pengalaman itu. Dengan itu, berikut adalah beberapa pemikiran tentang apa yang telah saya pelajari dan beberapa teori tentang langkah lebih lanjut yang dapat kita ambil untuk mengamankan situs WordPress dengan lebih baik.

Masa Lalu Bisa Menghantui Anda

Inti WordPress, plugin, dan tema semuanya memiliki kelemahan keamanannya sendiri. Inti biasanya ditambal dengan cepat, sementara Anda berharap dan berdoa agar plugin dan tema mendapatkan jenis perawatan yang sama. Tapi seperti yang telah kita lihat, memasukkan lubang tidak selalu cukup.

Jika situs Anda dibuat beberapa tahun yang lalu, Anda mungkin mengalami kerentanan yang bahkan tidak Anda ketahui. Mungkin mereka ditambal ... atau mungkin tidak. Bahkan jika masalah telah diperbaiki, situs Anda mungkin telah terpapar selama beberapa waktu hingga Anda memasang tambalan atau menghapus item sama sekali. Apa yang terjadi di antara waktu? Anda mungkin tidak mengetahuinya untuk sementara waktu.

Misalnya, saat memilah-milah situs bermasalah yang saya sebutkan sebelumnya, file berbahaya ditemukan di direktori /wp-includes/. Masing-masing adalah file .php yang meniru nama dan tanggal modifikasi file sah lainnya di direktori itu. Sekarang, mungkin saja file-file itu entah bagaimana sudah ketinggalan zaman agar terlihat seperti sudah ada di sana selama ini. Tetapi jika dilihat dari nilai nominalnya, tampaknya kami memiliki kasus malware yang tidak aktif. Sama seperti virus komputer yang mengirimkan beberapa muatan pada tanggal dan waktu tertentu, kode berbahaya ini mungkin telah "menerima panggilan" untuk beraksi.

Intinya adalah bahwa hanya berpotensi menginstal plugin yang salah pada waktu yang salah dapat membuat Anda sakit kepala di masa depan. Tetap diperbarui adalah strategi yang hebat, tetapi itu tidak mudah. Hanya melihat segelintir plugin yang sengaja mendistribusikan kode berbahaya baru-baru ini menunjukkan bahwa Anda berada dalam perangkap-22.

Lanskap yang Selalu Berubah

Jika ditanya, saya pikir banyak dari kita akan mengatakan bahwa kita lebih baik dalam pekerjaan kita sekarang daripada beberapa tahun yang lalu. Kami belajar, berevolusi, dan menerapkan pengetahuan baru itu ke pekerjaan kami. Dengan demikian, pilihan kami saat membangun situs web juga berkembang. Alat dan teknik yang kami gunakan jarang sama dari tahun ke tahun.

WordPress dan ekosistemnya melalui proses yang sama – tetapi dengan kecepatan yang jauh lebih cepat. Plugin must-have kemarin bisa berubah menjadi debu besok. Satu pembaruan kikuk dapat membuat pengguna pergi berbondong-bondong.

Jadi, situs yang Anda buat beberapa tahun lalu dan diserahkan ke klien bisa jadi menjalankan plugin yang tidak akan Anda gunakan saat ini. Seperti kata pepatah lama: "Di luar pandangan, di luar pikiran."

Dibutuhkan beberapa kewaspadaan untuk memastikan bahwa Anda tidak hanya menggunakan versi terbaru, tetapi juga mengganti item yang bukan lagi pilihan terbaik. Sayangnya, jenis perhatian terus-menerus seperti itu tidak selalu praktis bagi banyak desainer. Kami tidak selalu punya waktu dan klien tidak selalu memiliki anggaran untuk ini. Belum lagi fakta bahwa mengganti plugin bisa menjadi pekerjaan yang cukup besar dalam beberapa kasus. Sebuah tema bisa menjadi lebih sulit.

Pada kenyataannya, semuanya seperti permainan raksasa whack-a-mole. Terkadang sepertinya satu-satunya pertahanan Anda adalah berdiri siap dengan palu di tangan, siap untuk memukul makhluk berikutnya yang muncul. Pasti ada cara yang lebih baik.

Apa Lagi Yang Bisa Kita Lakukan?

Jadi kami secara teratur menerapkan pembaruan dan menerapkan langkah-langkah keamanan ekstra. Kami menggunakan kata sandi yang kuat dan mencoba membuat akses tidak sah ke situs kami sesulit mungkin. Namun, kami masih menghadapi serangan konstan – beberapa di antaranya berhasil lolos.

Saya akui bahwa saya bukan ahli keamanan terkemuka. Namun saya memiliki beberapa pemikiran tentang langkah lebih lanjut yang dapat kami ambil untuk menjaga situs kami bersih dari malware dan sejenisnya. Mungkin beberapa orang agak bodoh, tetapi harapan saya adalah untuk memicu diskusi daripada menyelamatkan seluruh umat manusia.

Audit Plugin
Ini adalah sesuatu yang secara rutin dapat kami lakukan sendiri dan benar-benar membebani klien. Idenya adalah untuk secara rutin (mungkin 2-3 kali per tahun) melihat plugin mana yang diinstal dan menyingkirkan yang berpotensi bermasalah. Cari plugin yang dianggap ditinggalkan (tanpa pembaruan setidaknya selama dua tahun) atau dihapus dari Repositori Plugin WordPress sama sekali. Kemudian, lakukan penggantian bila perlu.

Akses ke Informasi yang Lebih Baik
Bahkan lebih baik lagi adalah layanan skala besar yang memberi kami informasi tentang plugin mana yang lama/berbahaya/dihapus. Pengembang dan pemilik situs dapat sangat diuntungkan dengan memiliki sumber daya semacam ini di ujung jari kami. Mengetahui apa yang terjadi dalam ekosistem WordPress dapat membantu kami menghindari masalah lebih lanjut.

Buatlah Keputusan yang Lebih Bijaksana
Kita sering membuat apa yang kita rasa sebagai keputusan terbaik pada saat itu. Tapi kami bisa lebih baik. Misalnya, memilih plugin seringkali tentang menemukan solusi tercepat untuk suatu masalah. Tetapi solusi tercepat tidak selalu yang terbaik. Memeriksa plugin untuk kualitasnya harus sama pentingnya dengan fungsinya. Kami tidak akan selalu melakukannya dengan benar, tetapi melihat log perubahan dan forum dukungan dapat sangat membantu dalam membuat keputusan.

Pahami Permainannya
Ketika kami meluncurkan situs yang baru dibangun, itu tidak berarti bahwa pekerjaan kami telah berakhir. Untuk menjaga keamanan, kita harus terus memperhatikan apa yang terjadi. Sebagian dari itu mungkin menggunakan plugin keamanan otomatis yang mengirim email kepada kami ketika ada yang tidak beres. Tapi ini juga tentang melihat-lihat secara manual sesekali. Tinjau dasbor WordPress dan lihat juga struktur file situs untuk mencari sesuatu yang mencurigakan.

Hosting Proaktif
Saya ingin berpikir bahwa sebagian besar host web menjadikan keamanan sebagai prioritas utama. Tapi itu tidak berarti tidak ada ruang untuk perbaikan. Dari pengalaman saya sendiri, sepertinya host sering reaktif terhadap masalah setelah terjadi. Saya yakin kita bisa mendapatkan keuntungan dari host yang lebih proaktif dalam pendekatan mereka terhadap keamanan. Misalnya, memberi tahu klien tentang informasi mengenai ancaman keamanan terbaru dan cara memperkuat situs Anda terhadapnya.

Latih Klien
Terakhir, penting untuk melatih klien tentang apa yang harus dan tidak boleh dilakukan di WordPress. Jika mereka mengakses bagian belakang situs, mereka harus mengetahui potensi risiko memasang plugin atau memberikan informasi akun mereka kepada orang lain. Mereka memiliki peran besar untuk dimainkan dalam menjaga situs mereka sendiri tetap aman dan sehat.

Selalu menjadi sasaran

WordPress sangat banyak digunakan sehingga tidak heran mengapa ia menjadi target peretas. Sayangnya, ini adalah sesuatu yang datang bersama dengan semua kesuksesan besar itu.

Karena itu, kita semua perlu naik level dalam hal praktik keamanan kita. Idealnya, itu berarti pemeriksaan situs secara teratur dan, yang paling penting, akses ke informasi penting. Pengetahuan adalah kunci untuk setiap tantangan. Tanpa itu, kita akan selamanya terjebak memainkan permainan karnaval itu.