Alamat

Jl. Jatirejo No 29A, Jatirejo RT 02/21, Sendangadi, Mlati, Sleman, Daerah Istimewa Yogyakarta

Senin - Jum'at (09:00-17:00 WIB)

0878-2877-3103

0878-2877-3103

Waspadai Celah Keamanan Website WordPress Anda

Farid Efendi
  • 03 Dec 2020
  • 3 menit dibaca
Waspadai Celah Keamanan Website WordPress Anda

Wordpress adalah CMS (Content Management System) yang sangat populer saat ini, diantara website builder yang lain, wordpress paling banyak digemari. Jika diamati, setiap penyedia layanan hosting (terutama di Indonesia) memberikan perhatian khusus terhadap CMS ini. Adanya tambahan fitur untuk kemudahan instalasi WordPress hingga ketersediaan dokumentasi serta tutorial terkait WordPress-pun disediakan.

Kepopuleran WordPress bukan tanpa alasan karena memang CMS yang satu ini memiliki banyak kelebihan dibandingkan CMS yang lain. Deretan kelebihannya dapat dengan mudah Anda telusuri di berbagai blog. Gratis, mudah dikelola bahkan untuk pemula, dokumentasi banyak tersedia, komunitasnya luas, banyak tema, tersedia pugin - plugin pendukung, dan lebih banyak lagi.
Dari sekian banyak kelebihan tentu ada saja kekurangannya kan?

Beberapa poin yang perlu Anda waspadai dari website WordPress Anda :

1. Penggunaan Password yang Lemah dan Mudah Ditebak

File wordPress standard memiliki struktur bawaan yang sangat familiar, ada file index.php yang merupakan file pertama dipanggil saat website dijalankan. Konfigurasi koneksi database terdapat di file wp-config.php. File tersebut menyimpan data username, password, nama database, serta letak database. Selain itu ada pula folder wp-content/uploads yang digunakan untuk mengakomodir upload media seperti gambar, file, dll.

Ada beberapa hacker yang memanfaatkan file dan folder tersebut untuk melancarkan aksinya. Melalui beberapa tool yang sangat mudah untuk didownload dan hanya dengan berbekal sebuah laptop, tool tersebut dapat mengumpulkan informasi penting dari sebuah website. Contoh yang cukup populer adalah software WPScan. WPScan dibangun dari bahasa pemrograman Ruby yang cara kerjanya mencuri password secara brute force

Pada awalnya WPScan akan mencari informasi username yang tersedia di website tersebut hanya dengan mengetikkan perintah : ruby wpscan.rb -u https://www.nama-website-target.com --enumerate u . Contoh format hasil pencariannya :

[+] Identified the following 2 user/s:
+----+---------------+----------------+
| Id | Login | Name |
+----+---------------+----------------+
| 1 | admin | Admin |
| 2 | demo | Demo |
+----+---------------+----------------+

Dari hasil pencarian tersebut kemudian akan ditebak passwordnya secara acak. Hacker akan memanfaatkan daftar acak password yang disimpan dalam sebuah dokumen dengan mengetikkan perintah melalui console atau terminal : ruby wpscan.rb -u https://www.nama-website-target.com --username admin --wordlist /home/user/Downloads/password-list.txt.
Proses tersebut bisa jadi memakan waktu lama sampai ditemukan password yang sesuai dengan username yang ditentukan. Kegiatan brute force ini tentu saja akan berdampak secara langsung kepada website target, kinerja website melambat karena sibuk diserang dari belakang dan parahnya mampu memberikan dampak kepada hostingnya hingga pada kemungkinan terburuk yakni Down.

2. Sembarangan Memasang Ekstensi

WordPress memberikan ruang bagi para pengembang (Web Developer) untuk menambahkan modul tertentu sesuai kebutuhan berupa Plugin. Bagi user non-teknis sudah disediakan banyak Plugin yang 100% gratis dan juga ada versi berbayar yang sangat mudah sekali proses integrasinya. Meskipun mudah, bukan berarti sembarang Plugin dipasang. Perlu dicermati apakah Plugin tersebut benar-benar terpercaya atau tidak, jika memang minim informasi, bisa diteliti review atau ulasan tentang plugin tersebut. 

Alasan utama mengapa wajib berhati - hati memasang Plugin adalah karena banyak Plugin yang dimanfaatkan para Hacker atau Peretas situs untuk mengambil alih kendali website Anda.
Atau tidak perlu berfikir sejauh sampai tersentuh hacker, kasus yang sering kali terjadi yakni website secara tiba - tiba tidak dapat diakses atau muncul error tertentu hanya karena ada salah satu plugin yang crash atau bertabrakan dengan plugin lain. Biasanya hal tersebut bermula dari coba - coba memasang plugin sembarangan dan ada salah satu plugin yang melakukan auto update secara otomatis di belakang layar. Ini sangat masuk akal bisa terjadi, secara teknis plugin yang dibuat oleh developer yang berbeda - beda dengan algoritma yang berbeda - beda dicampur menjadi satu di sebuah website akan sangat berpotensi menciptakan munculnya bug atau kekutu. 

Kesimpulan

CMS Open Source yang dapat diunduh secara gratis, mudah, dan powerfull untuk menciptakan website secara cepat sesuai harapan tentu akan sangat banyak pemakainya. Karena penggunaannya meningkat pesat, meningkat pula orang yang paham seluk beluk WordPress. Tidak ada sistem (pemrograman) yang sempurna, sehebat apapun developer-nya pasti meninggalkan celah. Oleh karena itu, WordPress selalu memberikan update-nya dari waktu ke waktu untuk menutupi celah - celah tersebut.
Tidak perlu takut untuk memakai CMS Open Source, dibalik bug yang ada, banyak pula komunitas yang sudah bersukarela membagikan solusi dari masalah - masalah yang timbul. Hanya perlu waspada dan paham apa yang sebaiknya dihindari.

Farid Efendi
Farid Efendi

Seneng mempelajari hal baru, gak cuma di Pemrograman, SEO, IM, tapi di luar topik internet juga OK. Biar sakti kayak James Bond.

Tinggalkan Komentar :

bikin website

Ingin belajar membuat website?

Bikin website tuh gak sulit amat, si Amat aja bisa loh bikin website yang bagus dan murah. Mau tau caranya?

Lihat Rahasianya