49 Persen Web WordPress Belum Update Versi 4.9.5, Tingkat Kerentanannya?

Pada 3 April 2018 kemarin, WordPress resmi merilis Update versi 4.9.5 dari versi sebelumnya 4.9.4 yang tersedia untuk diunduh dan merupakan rilis pemeliharaan dan keamanan.

WordPress memperbaiki 28 bug yang terdapat di versi 4.9 secara umum, termasuk perbaikan untuk Sesuaikan (Customizer), pustaka media, pemberitahuan kesalahan, dan beberapa perbaikan keamanan. Paket tema bawaan Twenty Seventeen dan plugin bawaan Hello Dolly.

Versi WordPress 4.9.4 dan sebelumnya dipengaruhi oleh tiga masalah keamanan, perbaikan telah diimplementasikan dalam 4.9.5.

Dilansir dari Thesslstore 6/4/2018, 49 persen situs WordPress di Quantcast Top 10.000 tidak menjalankan versi WordPress terbaru yang paling aman. Dan 33 persen setidaknya dua versi sebelumnya.

“WordPress merupakan platform nomor satu yang digunakan secara global untuk membangun situs web,” kata Adam Cohen, seorang developer web dan pakar keamanan dengan pengalaman lebih dari 15 Tahun. “Dengan jutaan web yang dijalankan menggunakan WordPress, itu juga merupakan platform paling sering diserang oleh peretas. Karena apabila mereka menemukan eksploitasi, itu dapat direplikasi ke ratusan ribu website,” terangnya.

Dan itu merupakan fakta yang memprihatinkan bahwa banyak situs web tidak mengikuti perkembangan rilis terbaru. Situs-situs ini rentan untuk diretas.

Metodologi dan Temuan Kunci

Untuk melakukan penelitian, Thesslstore membuat alat untuk merambah halaman beranda (home) dari setiap website di Quantcast Top 10.000. Perayapan dilakukan mulai 5 April – dua hari setelah WordPress 4.9.5 dirilis.

Dari Quantcast Top 10.000, 17 % halaman home website menggunakan WordPress. Jumlah total situs yang menggunakan WordPress untuk blog mereka di bagian lain jelas jauh lebih tinggi, tetapi karena kerumitan dan memakan waktu dari pemindaian seperti ini, dipilih hanya untuk halaman home.

Inilah hasil yang ditemukan:

  • 17 % website di Quantcast Top 10.000 menggunakan WordPress
  • 59,93 % dari situs WordPress tersebut menjalankan versi terbaru dan paling aman
  • 49,07 % dari situs WordPress tidak menjalankan versi terbaru
  • 33,58 % dari situs WordPress setidaknya memiliki dua versi sebelumnya
percent-wp-update-on-10-ribu
source: thesslstore.com

Tidak Memperbarui WordPress adalah cara yang bagus untuk diretas

“Banyak orang mengabaikan pembaruan WordPress karena khawatir akan mempengaruhi stabilitas website,” kata Paul Bischoff, pakar keamanan dan advokat pribadi dari Comparitech.com.

“Plugin WordPress dapat berhenti bekerja, misalnya. Jika Anda membuat perubahan pada tema tetapi tidak melakukan perubahan pada anak tema (child theme), perubahan tersebut mungkin akan dihapus pada update berikutnya. Jika Anda menjalankan bisnis online, prospek downtime dapat lebih mahal daripada serangan malware atau serangan lainnya.”

Developer web senior dan pakar WordPress Ken Dawes, segera memperingatkan pemilik website kalau WordPress membutuhkan perhatian terus-menerus.

“Masalah terbesar dalam keamanan WordPress (atau jenis website lainnya) yaitu membuat orang menyadari bahwa memiliki website WP seperti mempunyai anak anjing,” kata Dawes. “Jika Anda tidak mengurusnya – makan, perawatan, vaksinasi dan sejenisnya – Anda akan mendapatkan masalah.”

Merawatnya berarti memperbarui secara teratur ke versi terbaru dan menjaga plugin Anda tetap terbarui.

WordPress membuat pembaruan ini karena suatu alasan

Sama seperti perangkat lunak lainnya, WordPress merilis pembaruan secara rutin. Meskipun pembaruan ini juga menyediakan fitur baru, ini adalah peningkatan keamanan yang sangat penting. Dan kriminal di dunia maya memantau apa-apa saja yang diperbaiki.

“Orang-orang tidak menyadari bahwa peretas sering tidak menemukan kerentanan dalam software secara sendirinya,” kata Bischoff.

Ketika penerbit software seperti WordPress membuat patch yang menyertakan pembaruan keamanan, secara tidak langsung juga memberi tahu bagi para peretas (hacker) tentang fakta kalau terdapat kerentanan pada versi sebelumnya. Jika Anda tidak memperbarui, Anda adalah target. Semakin lama menunggu, semakin rentan.

“Setelah website Anda diretas, sangat sulit untuk diperbaiki, pada dasarnya, peretas yang masuk ke website akan membuat titik masuk tersembunyi baru dan kecuali Anda menutup semuanya, mudah bagi mereka untuk menemukan jalan kembali. Hasilnya mengerikan bagi bisnis,” kata Mazdak Mohammadi, Kepala Studio Desain WordPress Kanada, BlueBerryCloud.

“Kabar baiknya adalah WordPress membuatnya sangat mudah untuk update (memperbarui) instalasinya melalui dasbor Admin WordPress. Developer web Anda harus dapat melakukan ini untuk Anda, jika tidak, Anda dapat meminta akses dan mencari tahu sendiri. Jika pembaruan gagal, WordPress secara otomatis mengembalikan website Anda ke titik sebelum melakukan pembaruan.”

Peretasan WordPress dapat terjadi pada siapa pun

Usaha kecil dan menengah tidak kebal terhadap serangan. Ada kesalahan pemahaman umum yang tidak didukung oleh statistik. Berdasarkan fakta, dari laporan Symantec pada 2017 mengungkapkan bahwa 74% UKM ditargetkan tahun lalu. Dan National Cyber Security Alliance melaporkan bahwa 60% UKM keluar dari bisnis dalam enam bulan setelah mendapat pelanggaran data.

“Anda akan menemukan pemilik website yang mengatakan, “Saya belum memperbarui apa pun selama bertahun-tahun dan Saya belum diretas! Jadi apa masalahnya?” atau… “Saya hanya seorang orang biasa saja, mereka tidak akan repot-repot dengan website Saya,” kata Dawes.

Ini adalah permainan angka. Semua website diserang secara acak setiap hari oleh hack-bots. Bot hanya melalui daftar alamat IP dan menyerang menggunakan daftar yang diketahui, dan dapat dieksploitasi. Semua kebutuhan perusahaan adalah karena situs mereka rentan terhadap bot yang tepat pada waktu yang salah.”

“Ketika kerentanan ditemukan dalam versi WordPress, peretas akan membuat ekploit untuk kerentanan tersebut dan kemudian mentransmisi ke jaringan yang lebih luas, biasanya secara otomatis mencari tahu siapa yang tidak diperbarui,” tambah Greg Kelley.

Peretas akan melihat apa yang mereka dapatkan dari situs mereka seperti informasi akun dan kemudian mencoba menggunakan informasi tersebut untuk menyerang sistem lain yang mungkin Anda miliki. Paling tidak, peretas akan mengotori situs Anda atau menggunakannya untuk menyimpan data yang penting bagi mereka (data yang dicuri, gambar ilegal, dan lain-lain.). Hasilnya setidaknya, citra publik yang buruk ketika ditemukan situs Anda membiarkan hal ini.”

Apa yang perlu Anda lakukan untuk menjaga web WordPress tetap aman

Jelas, saran utama yaitu website Anda tetap ter-update, baik itu engine CMS sendiri serta plugin-plugin yang digunakan.

“Ketika plugin dan kerentanan tema ditemukan dan telah diperbaiki, dasbor Anda akan menampilkan informasi pembaruan,” kata Bob Herman, co-founder dan Presiden dari IT Tropolis. “Juga, selalu gunakan anak tema (child theme), sehingga ketika tema di perbarui tidak mempengaruhi website Anda. dan jika Anda tidak ingin memperbarui WordPress lantaran plugin mungin tidak kompatibel dengan versi terbaru, maka itu mungkin bukan plugin yang layak digunakan. Plugin yang paling banyak dipakai adalah selalu update singkron dengan WordPress sehingga kerentanan dapat ditambal secepat mungkin.”

Cohen memiliki beberapa saran tambahan juga:

“Pastikan Anda memperbarui kata sandi secara rutin dan pastikan perusahaan hosting Anda memperbarui library Linux/Unix, Php, dan MySQL setiap tahun (dan menginstall patch yang dibutuhkan). Hapus plugin atau tema lama ketika tidak digunakan atau ketika sudah usang. Install layanan seperti Sucuri atau Wordfence untuk memantau aktifitas file dan akses situs Anda.”

Jika perusahaan tidak ingin melakukan pembaruan karena mereka takut situs mereka akan rusak, maka mereka perlu menyadari peningkatan risiko situs mereka menjadi terganggu dan bersedia menerima risiko bahwa situs mereka akan diretas. Dan siap resiko mengenai informasi pribadi tentang pengunjung web, nama, alamat email, dan informasi kartu kredit.

Notice: Update website khususnya yang menggunakan CMS sangat disarankan, tetapi jangan lupa untuk backup seluruh data Anda sebelum melakukan update/upgrade.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *