Namun, tim di balik WordPress juga memiliki tanggung jawab dalam semua ini. Lagi pula, tidak ada yang dapat Anda lakukan untuk melindungi inti dari WordPress sendiri.
Jika pertanyaan tentang keamanan WordPress mengganggu Anda seperti halnya orang yang mencoba berbisnis online, terus baca yang berikut ini.
Saya akan berbicara tentang sebagian cerita tentang masalah keamanan WordPress dan apa yang dilakukan proyek WordPress tentang hal itu.
Sejarah singkat masalah keamanan WordPress
Masalahnya tidak selalu bahwa WordPress adalah sistem manajemen konten yang lemah, rentan terhadap upaya peretasan dan lubang keamanan. Ini lebih mungkin masalah visibilitas. WordPress adalah CMS paling populer di seluruh dunia, jadi tentunya ini akan menjadi sasaran empuk bagi para peretas.
WordPress umumnya dikritik secara online (di blog, forum, podcast, dll..). Oleh karena itu, kelemahan platform sudah diketahui. Masuk akal jika para peretas terutama menargetkan situs web WordPress, bukan?
Keselamatan adalah poin pembicaraan utama bagi semua orang blog WordPress atau pengembangan web. Menurut proyek WordPress (tim yang bertanggung jawab untuk mengelola keamanan platform), mereka merilis patch keamanan sepanjang waktu. Anda tahu pemberitahuan pembaruan otomatis yang Anda dapatkan saat masuk ke dasbor? "WordPress telah diperbarui ke 4.7.2" atau semacamnya? Nah, biasanya ketika Anda melihat rilis minor ini keluar, itu karena tim harus memperbaiki masalah keamanan.
Dan ini sering terjadi:
La pelanggaran data Panama Papers ke dari 2016, sebagian, disebabkan oleh kerentanan dalam plugin WordPress Slider Revolution.
Karena itu, meyakinkan untuk melihat bagaimana WordPress menangani pelanggaran keamanan terbaru dan profil tinggi yang berasal dari REST API.
Begini caranya:
- Pada Januari 2017, WordPress merilis pembaruan 4.7.2. Tidak ada tempat dalam daftar pembaruan atau perbaikan yang disebutkan patch keamanan.
- Sekitar seminggu kemudian, WordPress memberi tahu pengguna bahwa memang ada cacat keamanan yang terdeteksi dan diperbaiki dalam pembaruan ini.
- Alasan yang mereka berikan atas keterlambatan memberi tahu pengguna? Karena mereka ingin memberi mereka waktu untuk memperbarui kernel sebelum peretas tahu WordPress mengetahuinya dan memperbaiki masalahnya.
Tentu saja, itu tidak menghentikan peretas untuk menodai 1,5 juta situs WordPress untuk sementara waktu. Ada juga pengguna WordPress yang tidak pernah memperbarui CMS (atau terlambat melakukannya) yang tetap rentan terhadap serangan tersebut.
Jadi meskipun tambalan akhirnya dirilis oleh WordPress dan mereka memperlakukan pengumuman itu dengan sangat bijaksana, lebih dari satu juta situs terluka dalam prosesnya. Dan, lebih buruk lagi, banyak pemilik situs web terus mengabaikan degradasi ini bahkan setelah itu terjadi.
Patch keamanan tampaknya lebih sering keluar, dengan tingkat penyalahgunaan tertinggi pada tahun 2015. Karena semakin banyak hal ini terjadi, penting bagi Anda untuk mengetahui siapa yang bertanggung jawab untuk mengamankan WordPress dan apa yang dapat Anda lakukan di pihak Anda, untuk memastikan Anda terlindungi.
Apa yang perlu Anda ketahui tentang proyek WordPress (dan keamanannya)
Inilah yang perlu Anda ketahui tentang proyek WordPress dan apa yang mereka lakukan menjaga keamanan kernel .
Tim keamanan WordPress
Pertama, mari kita bicara tentang proyek WordPress. Tim keamanan ini terdiri dari sekitar 25 orang, semuanya ahli dalam pengembangan atau keamanan WordPress. Saat ini, setengah dari orang-orang di proyek WordPress bekerja untuk Automattic.
Tim ahli ini bertanggung jawab untuk mengidentifikasi risiko keamanan di kernel. Mereka juga bertanggung jawab untuk memeriksa potensi masalah dengan tema atau plugin yang dikirimkan oleh pihak ketiga dan membuat rekomendasi tentang bagaimana mereka dapat memperkuat alat mereka atau memperbaiki pelanggaran yang diketahui.
Meskipun mereka biasanya bekerja sendiri untuk mengidentifikasi dan menyelesaikan masalah ini, mereka terkadang berkonsultasi dengan pakar lain di bidangnya, khususnya dari perusahaan keamanan dan perangkat lunak.Hotel.
Bagaimana WordPress mengidentifikasi risiko keamanan
Seperti yang Anda duga, tim proyek WordPress bekerja seperti mesin yang diminyaki dengan baik. Berikut cara kerja proses identifikasi dan penyelesaian risiko keamanan:
- Masalah diidentifikasi oleh seseorang dari tim keamanan atau dari luar tim. Anggota yang bukan anggota proyek dapat mengomunikasikan masalah yang terdeteksi ini dengan mengirim email ke [email dilindungi].
- Sebuah laporan dicatat dan tim keamanan menerima tanda terima.
- Anggota tim kemudian bekerja sama di server pribadi secara pribadi untuk memverifikasi bahwa ancaman itu valid.
- Di sinilah mereka melacak, menguji, dan memperbaiki kerentanan keamanan yang terdeteksi.
- Patch keamanan kemudian ditambahkan ke versi WordPress Minor berikutnya.
- Untuk perbaikan yang tidak terlalu serius, WordPress hanya memberi tahu pengguna dasbor WordPress ketika posting otomatis terjadi.
- Untuk masalah yang lebih mendesak, postingan akan segera keluar dan WordPress.org akan mengumumkannya di halaman Berita situs.
Tentu saja, seperti yang kita lihat pada 4.7.2., WordPress tidak selalu mengumumkan perbaikan keamanan ini (untuk alasan yang sah), meskipun mereka selalu mengambil tindakan segera untuk menyelesaikannya.
Catatan tentang pembaruan otomatis
Sejak versi 3.7, WordPress memiliki kemampuan untuk mengirim pembaruan kecil secara otomatis ke semua situs web. Ini memastikan bahwa tim keamanan WordPress bisa mendapatkan perbaikan mendesak tepat waktu dan tidak perlu menunggu pengguna menyetujui dan memperbarui di setiap situs web mereka.
Namun, pengguna WordPress dapat menonaktifkan pembaruan otomatis ini. Jika ini masalahnya, ketahuilah bahwa hal itu dapat membahayakan situs Anda, terutama jika Anda tidak punya waktu untuk memantau dengan cermat semua situs Anda untuk update terbaru dan terhebat.
Keamanan plugin dan tema
Seperti halnya tanggung jawab Anda untuk memberikan pengalaman web yang lebih baik kepada pengunjung, pengembang plugin dan Tema WordPress bertanggung jawab atas keamanan penggunanya (yaitu Anda). Meskipun WordPress tidak dapat menangani puluhan ribu plugin dan tema, setidaknya mereka dapat mengawasi mereka untuk memastikan tidak ada yang serius yang lolos dari celah.
Proyek WordPress adalah tim yang bertanggung jawab untuk bekerja dengan pengembang ketika masalah keamanan terdeteksi. Namun sebelumnya, ada tim relawan yang ditugaskan untuk meninjau setiap tema atau plugin yang dikirimkan ke WordPress. Tim ini akan bekerja dengan pengembang untuk memastikan praktik terbaik diikuti.
Namun, kerentanan keamanan masih dapat muncul dan saat itulah tim keamanan WordPress harus turun tangan untuk:
- Berikan dokumentasi untuk pengembang WordPress tentang pengembangan plugin dan tema serta praktik terbaik dalam keamanan.
- Pantau plugin dan tema untuk kemungkinan lubang keamanan. Masalah apa pun yang terdeteksi kemudian akan dibawa ke perhatian pengembang.
- Hapus plugin atau tema berbahaya dari direktori jika pengembang tidak merespons atau bekerja sama.
WordPress kemudian akan memberi tahu penggunanya melalui administrator WordPress ketika perbaikan keamanan ini (atau penghapusan plugin dan tema yang buruk) tersedia.
Keamanan WordPress membutuhkan kewaspadaan Anda
Setelah melalui semua ini, itu membuat saya sedikit lebih nyaman mengetahui bahwa ada tim khusus yang bekerja untuk menjaga inti WordPress tetap aman setiap saat. Namun, itu tidak berarti bahwa saya (atau Anda) harus terbuai dalam rasa puas diri itu.
Seperti yang telah kita lihat, bahkan Januari lalu, dengan 1,5 juta situs web rusak, tidak peduli seberapa bagus proyek WordPress untuk memantau dan mengamankan platform, peretas akan menemukan solusinya.
Itulah mengapa penting untuk memainkan peran Anda dalam semua ini dan menjaga keamanan situs Anda dari semua sudut.
