Apa itu Pemindai Kerentanan WordPress, dan apakah Anda memerlukannya?
Diterbitkan: 2023-03-08Cukup aman untuk mengatakan bahwa semua perangkat lunak memiliki semacam kerentanan. Ini tidak berarti bahwa perangkat lunak itu buruk atau di bawah standar – kerentanan dapat muncul karena berbagai alasan – mulai dari proses QA yang gagal hingga ketidakcocokan lingkungan atau kesalahan konfigurasi.
Kerentanan dapat diklasifikasikan menjadi dua kategori - diketahui dan tidak diketahui. Kerentanan yang diketahui, seperti XSS (skrip lintas situs) dan injeksi SQL, adalah kerentanan yang diketahui semua orang. Vendor perangkat lunak terkemuka akan selalu memeriksa kerentanan ini dan menghilangkannya selama proses QA dan pengujian.
Di sisi lain, kerentanan yang tidak diketahui adalah kerentanan yang tidak diketahui. Ini mungkin disebabkan oleh bug dalam kode atau sesuatu di lingkungan. Berkat WordPress yang memiliki basis pengguna yang besar, kerentanan tidak akan diketahui terlalu lama. Setelah kerentanan ditemukan, itu disebut kerentanan zero-day hingga tambalan dirilis.
Pada artikel ini, kita akan melihat secara mendalam kerentanan WordPress, berbagai jenis pemindai yang tersedia, dan apa yang harus Anda waspadai saat ingin mengamankan WordPress Anda
Daftar isi
- Apa itu kerentanan WordPress?
- Memahami perbedaan antara pemindai kerentanan dan pemindai keamanan
- Memahami perbedaan antara pengujian kotak hitam dan kotak putih
- Pengujian kotak hitam
- Pengujian kotak putih
- Kerentanan umum WordPress
- Inti WordPress yang kedaluwarsa
- Kata Sandi Lemah
- Plugin dan Tema Rentan
- Serangan Brute Force
- Injeksi SQL
- Mengapa Anda harus memindai kerentanan
- Pemindai Kerentanan WordPress Teratas
- WPScan
- WPSec
- Sucuri
- Acunetix
- Amankan WordPress Anda
- Pertanyaan yang Sering Diajukan
- Alat apa yang dapat saya gunakan untuk memindai kerentanan WordPress?
- Bagaimana cara memindai kerentanan di situs WordPress saya?
Apa itu kerentanan WordPress?
Kerentanan WordPress adalah kerentanan perangkat lunak di WordPress yang mungkin diketahui atau tidak diketahui.
WPScan, pemindai kerentanan WordPress sumber terbuka gratis yang akan kita bahas lebih detail nanti di artikel ini, memiliki hampir 40.000 kerentanan WordPress dalam basis datanya. Mereka juga menawarkan beberapa statistik menarik:
WPScan telah menemukan 4.069 plugin premium memiliki semacam kerentanan. Angka ini mencapai 98.241 untuk plugin gratis. Ini tidak berarti bahwa plugin gratis itu buruk – plugin premium memiliki lebih banyak sumber daya yang tersedia untuk menguji dan memeriksa plugin sebelum dirilis – itulah sebabnya harganya tidak mengejutkan. Secara umum, saat membayar plugin, Anda mendapatkan keamanan dan keamanan tambahan sebagai gantinya (selain fungsi tambahan).
Kerentanan plugin membuat persentase kerentanan terbesar sebesar 92%, dengan kerentanan tema berada jauh di urutan kedua sebesar 5% dan WordPress sendiri terakhir sebesar 3%.
Memahami perbedaan antara pemindai kerentanan dan pemindai keamanan
Pemindai kerentanan WordPress adalah alat khusus yang dapat memindai kerentanan – bug perangkat lunak atau kesalahan konfigurasi yang membuat lubang keamanan.
Pemindai keamanan adalah istilah umum yang mungkin mencakup pemindaian kerentanan meskipun secara tegas, pemindai keamanan cenderung memeriksa kesalahan konfigurasi, pembaruan yang terlewat, kata sandi yang lemah, malware, dan sebagainya.
Perbedaan ini penting karena Anda perlu mengetahui apa yang Anda pindai dan tidak. Karena tidak ada undang-undang yang memberi tahu vendor istilah mana yang akan digunakan atau tidak, pastikan Anda meluangkan waktu untuk membaca dokumentasi yang disertakan dengan pemindai yang Anda pilih. Ini akan membantu Anda memastikan Anda mendapatkan cakupan yang Anda butuhkan.
Memahami perbedaan antara pengujian kotak hitam dan kotak putih
Dalam hal pengujian kerentanan, ada dua pendekatan utama: pengujian kotak hitam dan pengujian kotak putih. Kedua metode tersebut memiliki kelebihan dan kekurangannya masing-masing. Memahami perbedaan di antara mereka adalah kunci karena akan memungkinkan Anda memahami apa yang dicakup dan apa yang tidak dicakup oleh pemindai kerentanan tertentu.
Pengujian kotak hitam
Pengujian kerentanan kotak hitam WordPress adalah teknik di mana orang yang melakukan pengujian tidak mengasumsikan pengetahuan tentang cara kerja internal WordPress. Selama pengujian, penguji hanya memiliki akses ke input dan output dan tidak memperhatikan bagaimana output diproduksi. Dengan kata lain, penguji memperlakukan WordPress sebagai “kotak hitam” dan mengujinya dari luar.
Salah satu keuntungan pengujian kotak hitam adalah dapat dilakukan oleh penguji yang tidak memiliki pengetahuan pemrograman atau arsitektur internal perangkat lunak. Ini membuat pengujian kotak hitam dapat diakses oleh penguji yang lebih luas.
Kerugian utama dari pengujian kotak hitam adalah mungkin tidak dapat mengungkap jenis kerentanan tertentu yang terkait dengan cara kerja internal WordPress.
Pengujian kotak putih
Pengujian kotak putih WordPress adalah teknik pengujian di mana orang yang melakukan pengujian memiliki akses ke arsitektur, kode, dan desain WordPress. Jenis pengujian ini juga dikenal sebagai pengujian clear box atau pengujian struktural.
Satu keuntungan dari pengujian kotak putih adalah memungkinkan penguji menemukan bug yang terkait dengan WordPress. Itu juga dapat digunakan untuk menguji pemeliharaan perangkat lunak, dan skalabilitas – sesuatu yang dapat diperoleh banyak pengembang WordPress dan pengembang plugin.
Kerugian utama dari pengujian kotak putih adalah mengharuskan penguji untuk memiliki pengetahuan tentang pemrograman dan arsitektur internal perangkat lunak.
Kerentanan umum WordPress
Sementara kerentanan WordPress bisa datang dalam berbagai bentuk dan ukuran, perlu diperhatikan beberapa yang lebih umum – yang, seperti yang akan kita lihat, mudah dicegah. Lainnya hanya dapat diselesaikan oleh pengembang yang memiliki akses ke kode, seperti yang ditunjukkan pada contoh terakhir di bawah ini:
Inti WordPress yang kedaluwarsa
Salah satu kerentanan paling umum di WordPress adalah inti WordPress yang sudah ketinggalan zaman. Pembaruan untuk WordPress dirilis secara berkala untuk mengatasi masalah keamanan, memperbaiki bug, dan meningkatkan kinerja dan fungsionalitas. Peretas dapat mengeksploitasi kerentanan yang diketahui jika Anda tidak memperbarui ke versi terbaru.
Yang harus dilakukan: Memiliki kebijakan pembaruan WordPress dapat membantu Anda mengelola pembaruan WordPress dengan lebih baik dan memastikan Anda selalu menjalankan versi terbaru WordPress.
Kata Sandi Lemah
Kata sandi yang lemah dapat menjadi kerentanan keamanan utama WordPress lainnya. Banyak pengguna cenderung menggunakan kata sandi lemah yang mudah ditebak atau dipecahkan karena mereka cenderung mengingatnya. Ini dapat memudahkan peretas untuk mendapatkan akses tidak sah ke situs web.
Apa yang harus dilakukan: Gunakan kebijakan kata sandi WordPress untuk memastikan pengguna menggunakan kata sandi yang kuat dan mendorong penggunaan pengelola kata sandi.
Plugin dan Tema Rentan
Tema dan plugin WordPress dapat secara serius meningkatkan fungsionalitas dan tampilan WordPress. Namun, beberapa dari plugin dan tema ini mungkin mengandung kerentanan yang dapat dieksploitasi oleh peretas.
Apa yang harus dilakukan: Gunakan plugin dan tema dari vendor tepercaya yang merilis pembaruan rutin – dan perbarui semuanya setiap saat.
Serangan Brute Force
Serangan brute force adalah jenis serangan di mana aktor jahat mencoba menebak kredensial masuk pengguna dengan mencoba kombinasi nama pengguna dan kata sandi yang berbeda.
Apa yang harus dilakukan: Tambahkan WordPress 2FA untuk menghentikan serangan brute force di jalurnya dan membatasi jumlah upaya login yang gagal.
Injeksi SQL
Selama injeksi SQL, peretas menyuntikkan kode berbahaya ke dalam basis data situs web melalui bidang masukan pengguna seperti entri bilah pencarian, formulir, dan komentar. Hal ini dapat mengakibatkan terungkapnya data sensitif seperti nama pengguna, kata sandi, dan detail kartu kredit.
Apa yang harus dilakukan: Pengembang plugin terkemuka akan menghilangkan ini selama pengembangan. Jika Anda menemukan kerentanan ini, Anda harus menonaktifkan komponen yang menyebabkannya, jika memungkinkan – hingga perbaikan tersedia.
Mengapa Anda harus memindai kerentanan
Seperti yang ditunjukkan oleh statistik yang kami bagikan di awal artikel, kerentanan dapat muncul di perangkat lunak apa pun. Jika Anda memiliki kebijakan pembaruan WordPress yang kuat dan membatasi diri Anda pada tema dan plugin dari pengembang terkemuka, kemungkinan Anda aman – namun, ini bukan jaminan. Untuk tujuan ini, Anda mungkin ingin menjalankan pemindaian kerentanan.
Pemindaian kerentanan dapat membantu Anda mengungkap masalah yang mungkin Anda abaikan dan kerentanan yang mungkin muncul dalam pembaruan atau perubahan konfigurasi.
Pemindai Kerentanan WordPress Teratas
Di bagian ini, kita akan melihat beberapa pemindai kerentanan WordPress teratas yang tersedia di pasaran saat ini.
WPScan
WPScan adalah pemindai keamanan gratis yang dirancang khusus untuk WordPress. Itu memeriksa kerentanan, dengan hampir 40.000 kerentanan dalam basis datanya. Entri baru ditambahkan ke database kerentanannya dengan sangat konsisten.
WPScan tersedia sebagai alat CLI (Command Line Interface). Ini berarti tidak ada GUI, dan harus dijalankan dari terminal. WPScan dulunya tersedia sebagai plugin gratis, namun sekarang tidak lagi. Anda juga dapat menggunakan JetPack, yang memanfaatkan WPScan API.
Antara lain, WPScan memindai:
- Kerentanan yang terkait dengan inti, plugin, dan tema WordPress
- Enumerasi nama pengguna dan file media
- Kata sandi lemah (melalui serangan brute force)
- File wp-config yang dapat diakses
- Database dump
- Log kesalahan terbuka
WPSec
WPSec adalah Pemindai Kerentanan WordPress. Itu dikelola melalui dasbor tempat Anda dapat menjalankan pemindaian, mengatur pemberitahuan, dan mengeluarkan laporan lanjutan. Dalam hal pemindaian, WPSec menggunakan apa yang disebutnya Teknologi Pemindaian Lanjutan, yang menggunakan WPScanner dan teknologi kustom berpemilik.
Antara lain, WPSec memindai:
- Bug WordPress yang dikenal
- masalah keamanan
Sucuri
Terkenal dengan WAF (Web Application Firewall), Sucuri juga menawarkan sejumlah pemindai berbeda yang memindai berbagai hal, menyediakan cakupan yang lebih luas yang belum tentu sedalam yang ditawarkan pemindai lain.
Antara lain, Sucuri memindai:
- Malware
- IOC (Indikator Kompromi)
- Halaman phishing
- skrip DDoS
- Sertifikat SSL
Acunetix
Acunetix adalah solusi Pengujian Keamanan Aplikasi Web yang juga dapat digunakan sebagai Pemindai Keamanan WordPress. Karena ini bukan khusus WordPress, ini dapat digunakan di berbagai situs web, aplikasi, dan API. Itu dapat melakukan SAST (Pengujian Keamanan Aplikasi Statis) dan DAST (Pengujian Keamanan Aplikasi Dinamis).
Antara lain, Acuntiex memindai:
- Inti dan plugin WordPress yang kedaluwarsa
- Malware
- Kata sandi lemah
- Nama pengguna WordPress yang rentan
- Kerentanan XML-RPC
Amankan WordPress Anda
Pemindai keamanan WordPress dapat membantu Anda mengidentifikasi ancaman keamanan ke situs web WordPress Anda. Namun, mengambil langkah-langkah keamanan proaktif tetap penting. Meskipun Anda masih harus menangani hasil pemindaian keamanan WordPress, administrator WordPress dan pemilik situs web juga harus memahami bahwa keamanan WordPress adalah proses berulang yang menawarkan ROI besar.
Memperbarui semuanya adalah salah satu cara yang paling mudah diakses yang dimiliki administrator untuk membatasi kerentanan. WordPress, tema, plugin, dan PHP harus diperbarui setiap saat. Jangan lupa untuk mengambil cadangan dan menggunakan lingkungan pementasan WordPress untuk membatasi risiko.
Plugin keamanan WordPress juga dapat menawarkan perlindungan dan ketenangan pikiran. Firewall selalu merupakan pilihan yang baik; namun, memiliki log aktivitas WordPress dapat membantu Anda mencapai lebih banyak. Demikian pula, mengamankan instalasi WordPress Anda dengan 2FA dapat membantu Anda tetap lebih aman dengan sedikit usaha.
Pertanyaan yang Sering Diajukan
Alat apa yang dapat saya gunakan untuk memindai kerentanan WordPress?
Pemindai kerentanan WordPress adalah salah satu alat terbaik yang dapat Anda gunakan untuk memindai kerentanan. Kami membahas sejumlah pemindai berbeda dalam artikel. Satu hal penting yang perlu diperhatikan adalah bahwa pemindai yang berbeda dapat memindai hal yang berbeda. Pastikan untuk membaca dokumentasi untuk memahami apa yang Anda pindai dan tidak. Ini akan membantu Anda menghindari rasa palsu tentang keamanan situs web.
Bagaimana cara memindai kerentanan di situs WordPress saya?
Ini tergantung pada pemindai kerentanan yang Anda pilih. Beberapa pemindai menawarkan pemindaian otomatis dan bahkan akan mengirimkan laporan hasilnya langsung ke kotak masuk email Anda. Lainnya mungkin memerlukan pemindaian manual, dalam beberapa kasus melalui CLI – Antarmuka Baris Perintah.