6 Kerentanan WordPress Paling Umum (Dan Cara Memperbaikinya)

WordPress pada mulanya dilancarkan sebagai platform blogging yang kemudian menjadi penyelesaian web lengkap seperti sekarang, untuk kedai e-dagang, blog, berita, dan aplikasi peringkat perusahaan. Evolusi WordPress ini membawa banyak perubahan pada intinya dan menjadikannya lebih stabil dan selamat daripada versi sebelumnya.


Kerana WordPress adalah platform sumber terbuka yang bermaksud sesiapa sahaja dapat menyumbang kepada fungsi utamanya. Fleksibiliti ini menguntungkan kedua-dua pembangun yang mengembangkan tema dan plugin dan pengguna akhir yang menggunakannya untuk menambahkan fungsi ke laman WordPress mereka.

Kerentanan WordPress Paling Umum (Dan Cara Memperbaikinya)

Namun, keterbukaan ini menimbulkan beberapa pertanyaan serius mengenai keamanan platform yang tidak dapat diabaikan. Ini bukan kelemahan dalam sistem itu sendiri, melainkan struktur yang dibina dan mempertimbangkan betapa pentingnya, pasukan keselamatan WordPress bekerja siang dan malam untuk memastikan platform ini selamat untuk pengguna akhir.

Setelah mengatakan bahawa sebagai pengguna akhir, kita tidak boleh hanya bergantung pada mekanisme keselamatan lalai kerana kita melakukan banyak perubahan dengan memasang pelbagai plugin dan tema ke laman WordPress kita yang dapat membuat celah untuk dieksploitasi oleh penggodam.

Dalam artikel ini, kita akan meneroka pelbagai Kerentanan keselamatan WordPress dan akan belajar bagaimana untuk mengelakkan, dan memperbaikinya, agar tetap selamat!

Kerentanan WordPress & Isu keselamatan

Kami akan melihat setiap masalah dan penyelesaiannya satu persatu.

  1. Serangan Brute Force
  2. Suntikan SQL
  3. Perisian hasad
  4. Skrip Merentas Tapak
  5. Serangan DDoS
  6. Versi WordPress dan PHP lama

1. Serangan Brute Force

Dalam istilah Layman, Serangan Brute Force melibatkan pendekatan berganda dan ralat menggunakan ratusan kombinasi untuk meneka nama pengguna atau kata laluan yang betul. Ini dilakukan dengan menggunakan algoritma dan kamus yang kuat yang meneka kata laluan menggunakan beberapa jenis konteks.

Serangan seperti ini sukar dilaksanakan tetapi masih merupakan salah satu serangan popular yang dilakukan di laman WordPress. Secara lalai, WordPress tidak menyekat pengguna daripada mencuba beberapa percubaan gagal yang membolehkan manusia atau bot mencuba ribuan kombinasi sesaat.

Cara mencegah, dan memperbaiki Brute Force Attacks

Mengelakkan Brute Force agak mudah. Yang harus anda buat hanyalah membuat kata laluan yang kuat yang merangkumi huruf besar, huruf kecil, angka dan watak khas kerana setiap watak mempunyai nilai ASCII yang berbeza dan sukar untuk meneka kata laluan yang panjang dan kompleks. Elakkan menggunakan kata laluan seperti johnny123 atau whatsmypassword.

Juga, satukan Two Factor Authentication untuk mengesahkan pengguna yang masuk ke laman web anda dua kali. Pengesahan Dua Faktor adalah pemalam yang hebat untuk digunakan.

2. SQL Suntikan

Salah satu peretasan tertua dalam buku penggodaman web adalah menyuntik pertanyaan SQL untuk membuat atau memusnahkan pangkalan data sepenuhnya menggunakan borang web atau medan input.

Setelah pencerobohan berjaya, penggodam dapat memanipulasi pangkalan data MySQL dan kemungkinan mendapat akses ke pentadbir WordPress anda atau hanya menukar bukti untuk kerosakan selanjutnya. Serangan ini biasanya dilakukan oleh amatur kepada penggodam biasa-biasa saja yang kebanyakannya menguji kemampuan penggodaman mereka.

Cara mencegah, dan memperbaiki SQL Injection

Dengan menggunakan plugin, anda dapat mengenal pasti sama ada laman web anda menjadi mangsa SQL Injection atau tidak. Anda boleh menggunakan WPScan atau Sucuri SiteCheck untuk memeriksanya.

Juga, kemas kini WordPress anda serta tema atau plugin yang anda fikirkan boleh menyebabkan masalah. Periksa dokumentasi mereka dan kunjungi forum sokongan mereka untuk melaporkan masalah tersebut sehingga mereka dapat mengembangkan tambalan.

3. Perisian hasad

Kod berniat jahat disuntikkan ke WordPress melalui tema yang dijangkiti, plugin atau skrip usang. Kod ini dapat mengekstrak data dari laman web anda serta memasukkan kandungan berniat jahat yang mungkin tidak disedari kerana sifatnya yang tidak berhati-hati.

Perisian hasad boleh menyebabkan kerosakan ringan hingga serius jika tidak ditangani tepat pada waktunya. Kadang kala keseluruhan laman WordPress perlu dipasang semula kerana telah mempengaruhi intinya. Ini juga dapat menambahkan biaya untuk perbelanjaan hosting anda kerana sejumlah besar data dipindahkan atau dihosting menggunakan laman web anda.

Cara mencegah, dan memperbaiki perisian hasad

Biasanya, perisian hasad berjaya melalui plugin yang dijangkiti dan tema kosong. Sebaiknya muat turun tema hanya dari sumber yang dipercayai yang bebas daripada kandungan berbahaya.

Plugin keselamatan seperti Succuri atau WordFence boleh digunakan untuk menjalankan imbasan penuh dan memperbaiki perisian hasad. Dalam senario terburuk, berunding dengan pakar WordPress.

4. Skrip Merentas Tapak

Salah satu serangan yang paling biasa adalah Cross-Site Scripting juga dikenali sebagai serangan XSS. Dalam jenis serangan ini, penyerang memuatkan kod JavaScript berbahaya yang apabila dimuat di sisi pelanggan mula mengumpulkan data dan mungkin mengalihkan ke laman web berbahaya lain yang mempengaruhi pengalaman pengguna.

Cara mencegah, dan memperbaiki Skrip Merentas Tapak

Untuk mengelakkan jenis serangan ini menggunakan pengesahan data yang tepat di seluruh laman WordPress. Gunakan pembersihan output untuk memastikan jenis data yang tepat dimasukkan. Plugin seperti Mencegah Kerentanan XSS juga boleh digunakan.

5. Serangan DDoS

Sesiapa yang telah melayari internet atau mengurus laman web mungkin telah menemui serangan DDoS yang terkenal. Penolakan Perkhidmatan yang diedarkan (DDoS) adalah versi Penolakan Perkhidmatan (DoS) yang disempurnakan di mana sejumlah besar permintaan dibuat ke pelayan web yang menjadikannya lambat dan akhirnya mogok.

DDoS dijalankan menggunakan sumber tunggal sementara DDoS adalah serangan teratur yang dilakukan melalui beberapa mesin di seluruh dunia. Setiap tahun berjuta-juta dolar dibazirkan kerana serangan keselamatan web yang terkenal ini.

Cara mencegah, dan memperbaiki Serangan DDoS

Serangan DDoS sukar dicegah dengan menggunakan teknik konvensional. Host web memainkan peranan penting dalam melindungi laman WordPress anda dari serangan tersebut. Sebagai contoh, penyedia hosting cloud yang diuruskan Cloudways menguruskan keselamatan pelayan dan menandakan apa-apa yang mencurigakan sebelum boleh menyebabkan kerosakan pada laman web pelanggan.

WordPress yang ketinggalan zaman & Versi PHP

Versi WordPress yang ketinggalan zaman lebih terdedah kepada ancaman keselamatan. Lama kelamaan penggodam mencari jalan untuk mengeksploitasi intinya dan akhirnya melakukan serangan di laman web yang masih menggunakan versi lama.

Atas sebab yang sama, pasukan WordPress melepaskan patch dan versi yang lebih baru dengan mekanisme keselamatan yang dikemas kini. Berlari versi PHP yang lebih lama boleh menyebabkan masalah ketidaksesuaian. Oleh kerana WordPress berjalan pada PHP, ia memerlukan versi yang dikemas kini untuk beroperasi dengan baik.

Berdasarkan statistik rasmi WordPress, 42.6% pengguna masih menggunakan pelbagai versi WordPress yang lebih lama.

statistik versi wordpress

Manakala hanya 2.3% laman WordPress yang berjalan pada versi terbaru PHP 7.2.

statistik versi php

Cara mencegah, dan membetulkan WordPress yang ketinggalan zaman & Versi PHP

Yang ini senang. Anda harus sentiasa mengemas kini pemasangan WordPress anda ke versi terkini. Pastikan anda selalu menggunakan versi terbaru (ingat untuk selalu membuat sandaran sebelum menaik taraf). Mengenai peningkatan PHP, setelah anda menguji kesesuaian laman WordPress anda, anda boleh mengubah versi PHP.

Pemikiran Akhir!

Kami membiasakan diri dengan pelbagai kelemahan WordPress dan penyelesaiannya yang mungkin. Perlu diperhatikan bahawa kemas kini memainkan peranan penting dalam menjaga keselamatan WordPress. Dan apabila anda melihat ada aktiviti yang tidak biasa, mulailah jari kaki dan mula menggali sehingga anda menemui masalah kerana risiko keselamatan ini boleh menyebabkan kerosakan dalam ribuan $$.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map