Salah satu keunggulan mutlak WordPress dibanding CMS lain adalah dukungan plugin yang melimpah. Tercatat, CMS open source ini menyediakan lebih dari 59 ribu plugin siap instal di repository-nya.
Tapi tahukah Anda, tidak semua plugin WordPress aman diinstal? Sebab, setiap developer bisa mengupload pluginnya ke repository dengan bebas. Sehingga, keamanan suatu plugin banyak ditentukan oleh kredibilitas si developer.
Memang sih, WordPress punya standar keamanan dan tim khusus untuk menentukan layak tidaknya plugin masuk ke repository. Namun tetap saja, hal tersebut tidak menjamin plugin di repository WordPress 100% aman.
Makanya, kali ini kami akan mengupas tuntas fakta dibalik celah keamanan plugin WordPress. Kami juga akan membantu Anda mengidentifikasi plugin WordPress tidak aman, sekaligus cara mencegah serangan berbahaya dari plugin.
Penasaran kan? Langsung saja, ini dia pembahasan selengkapnya!
Mengapa Anda Harus Mewaspadai Celah Keamanan Plugin WordPress?
Keberadaan plugin WordPress memang memudahkan pemilik website yang ingin meningkatkan kemampuan dan menambah fitur-fitur baru di websitenya. Sayangnya, sebagian besar masalah keamanan juga disebabkan oleh penggunaan plugin.
Buktinya menurut Wordfence, 51% biang kerok celah kerentanan WordPress karena plugin. Bahkan, 61% serangan yang menimpa website WordPress terjadi akibat plugin yang sudah usang.
Contoh kasus viral pernah menimpa SI CAPTCHA, plugin penangkal spam. Seorang hacker membeli plugin ini dari developernya. Nah, si hacker lantas menyuntikkan kode spam iklan yang menjangkiti 300 ribu website pengguna SI CAPTCHA. Untung saja, plugin tersebut sudah ditendang dari repository WordPress.
Kasus yang lebih mengerikan pernah menimpa dua website berbasis WooCommerce. Plugin toko online populer ini sempat ditanam script berbahaya oleh hackers. Tujuannya, untuk mengintip detail kartu kredit milik pelanggan yang berbelanja di website tersebut. Anda bisa membaca berita selengkapnya dengan klik tautan berikut ini:
Gawat! Hackers Menyerang Plugin WordPress dan Mencuri Data Kartu Kredit
Waspada! Modus Pencurian Data Kartu Kredit Mengincar Pengguna WooCommerce
Tak kalah heboh, masalah keamanan juga pernah hinggap di dua plugin WordPress populer, UpdraftPlus dan Elementor. Meski tak sampai menyebabkan kerugian, isu ini jelas mengkhawatirkan. Sebab, keduanya telah diinstall di jutaan website. Nah, beritanya bisa Anda simak melalui link di bawah ini:
Masalah Keamanan Plugin UpdraftPlus Hantui 3 Juta Website!
Masalah Keamanan Plugin Elementor, 5 Juta Website dalam Bahaya!
Bagaimana, berbahaya sekali kan dampak dari pemakaian plugin yang tidak aman? Tapi jangan panik dulu, karena di poin berikutnya kami akan menunjukkan ke Anda cara mendeteksi plugin WordPress yang tidak aman. Yuk meluncur!
Baca juga: 10 Isu Keamanan yang Wajib Diwaspadai Toko Online + Solusinya!
Bagaimana Cara Mengetahui Plugin WordPress yang Tidak Aman?
Secara umum, ada beberapa ciri yang sering dijadikan indikator apakah sebuah plugin WordPress berbahaya untuk diinstal. Jika salah satunya tampak mencurigakan, sebaiknya urungkan niat Anda untuk memasang plugin tersebut.
Nah, ini dia ciri-ciri plugin WordPress yang tidak aman:
1. Informasi Developer Tidak Jelas
Seperti yang sudah disinggung, WordPress membebaskan semua developer untuk mengupload plugin ke repository. Asal, plugin tersebut lolos verifikasi tim review WordPress.
Namun meski sudah masuk ke repository, ada baiknya Anda tetap memeriksa informasi developer. Sebab, tidak semua developer mencantumkan informasi pendukung seperti website resmi dan kontributor.
Jika Anda tidak menemukan informasi pendukung di sebuah plugin, lebih baik hindari menginstal plugin tersebut. Eits tunggu dulu, bagaimana cara mengetahui informasi developer?
Gampang kok. Di halaman dashboard WordPress, klik menu Plugins > Add New. Di halaman ini, carilah plugin yang hendak Anda pasang. Setelahnya jangan buru-buru klik instal, coba pilih opsi More Details terlebih dahulu.
Akan muncul pop-up berisi detail informasi dari plugin tersebut. Nah, amati bagian Author atau developer, Plugin Homepage, dan Contributors. Jika semua tercantum dengan jelas, kemungkinan besar plugin yang hendak Anda instal aman.
Akan lebih bagus lagi jika Anda juga berkunjung ke website resmi plugin tersebut via tautan Plugin Homepage tadi. Developer plugin yang kredibel pasti akan memuat segala informasi berkaitan dengan pluginnya di website resmi.
Sebaliknya jika Anda tidak menemukan informasi apapun ketika melihat detail sebuah plugin, atau plugin tersebut tidak punya website resmi, jangan sekali-kali mengambil risiko dengan menginstalnya.
Masih banyak plugin lain dengan fungsi dan fitur serupa, serta dibuat oleh developer berkualitas yang bisa Anda instal dengan aman di website WordPress. Daripada website Anda yang jadi korban, kan?
Ciri-ciri developer plugin terpercaya | Ciri-ciri developer plugin tidak terpercaya |
Mencantumkan informasi pembuat plugin, baik perorangan maupun perusahaan | Tidak mencantumkan informasi pembuat plugin secara jelas |
Memiliki website resmi yang memuat segala informasi tentang plugin | Tidak punya website resmi untuk memuat informasi detail plugin |
Memuat informasi mengenai siapa saja yang berkontribusi dalam pembuatan plugin | Tidak memuat informasi mengenai kontributor plugin secara jelas |
Oh ya, jangan langsung close pop up detail plugin ini ya. Karena Anda masih butuh halaman ini untuk memeriksa informasi lain di poin-poin selanjutnya.
2. Plugin Tersebut Kurang Populer
Sudah menjadi rahasia umum jika aman tidaknya sebuah plugin biasanya berbanding lurus dengan popularitasnya. Meski tidak selalu demikian, tetap saja memasang plugin tidak terkenal bisa berakibat fatal untuk website Anda.
Apalagi jika menengok fakta bahwa hingga kini, lebih dari 27 juta website aktif di dunia memakai WordPress. Maka aneh sekali bukan, jika sebuah plugin hanya diinstal oleh segelintir pengguna saja?
Lalu, bagaimana sih cara mengetahui popularitas sebuah plugin? Segampang membalikkan telapak tangan, Anda tinggal melihat informasi Active Installations di pop-up detail plugin.
Saran dari kami, usahakan menginstal plugin dengan Active Installations lebih dari 10.000 untuk plugin-plugin dengan fungsi umum dan populer, seperti plugin untuk keamanan, kecepatan, atau optimasi SEO.
Sedangkan untuk plugin dengan fungsi dan fitur yang lebih spesifik, hindari Active Instalations kurang dari 1000. Di atas itu, Anda bisa bernapas lega karena besar kemungkinan, plugin yang Anda incar jauh dari masalah keamanan.
Atau jika Anda masih penasaran dengan plugin tersebut, coba klik opsi WordPress.org Plugin Page, lalu pilih menu Advanced View.
Di sini, Anda bisa melihat statistik instalasi plugin. Mulai dari jumlah download harian, grafik instalasi aktif, sampai histori download, semuanya lengkap tersedia.
Intinya sih, jika statistik instalasi plugin tersebut tidak begitu bagus, tak usah membuang waktu Anda untuk mencoba plugin yang bersangkutan. Lebih baik, cari plugin lain dengan fungsi mirip, tapi popularitasnya lebih mentereng.
Baca juga: Perhatian! Keamanan Website Akan Jadi Tren Penting Dunia Digital di 2022
3. Rating Plugin Jelek
Mirip dengan popularitas, rating biasanya menggambarkan kualitas dari suatu plugin. Memang betul, ada banyak faktor yang mempengaruhi penilaian pengguna terhadap plugin.
Namun tetap saja, rating yang jelek pasti menandakan ada yang tidak beres dari plugin. Maka sebagai tindakan pencegahan, kami sama sekali tidak menyarankan Anda menginstal plugin ber-rating buruk.
Tapi sebelumnya, apa standar yang dipakai untuk menentukan baik buruknya rating suatu plugin?
Sebenarnya, tidak ada acuan pasti mengenai hal tersebut. Namun menurut kami, tak perlu ambil risiko dengan memasang plugin dengan rating di bawah 4. Nah untuk melihatnya, cari saja bagian Average Rating di detail plugin.
Yang juga kami sarankan selain melihat rating adalah memeriksa review terkini dari plugin tersebut. Seperti biasa, klik tautan Plugin Page di halaman detail plugin. Lalu, pada bagian Rating, pilih See All. Di sini, baca beberapa review dengan teliti.
Jika merasa kurang ‘sreg’ ketika membaca salah satunya, Anda tahu kan apa yang harus dilakukan? Benar sekali, batalkan niat Anda untuk memakai plugin tersebut.
4. Tidak Mendukung WordPress Terbaru
Secara berkala, WordPress merilis versi terbaru guna menyempurnakan kualitas platform, atau menambal celah kerentanan di versi sebelumnya. Sampai artikel ini diturunkan, WordPress versi 5.9.3 adalah versi teranyar dari platform tersebut.
Maka dari itu, developer plugin wajib berpacu memastikan pluginnya selalu mendukung WordPress versi termutakhir. Jika tidak, kredibilitas developer pasti akan dipertanyakan penggunanya.
Untungnya, algoritma pencarian di repository WordPress sudah cukup canggih, kok. Ia secara ajaib ‘menyembunyikan’ plugin-plugin yang tidak support versi terbaru WordPress dari pandangan Anda.
Sehingga, kejadian salah instal plugin yang ternyata tidak kompatibel dengan versi WordPress dapat ditekan ke level minimal. Namun jika Anda menjumpai plugin dengan kriteria semacam itu, jangan mencari masalah dengan menginstalnya ke website Anda, ya!
5. Plugin Sudah Lama Tidak Diupdate
Masih satu paket dengan poin sebelumnya, Anda wajib waspada jika plugin yang ingin Anda pakai sudah lama tidak diupdate. Alasannya, plugin yang usang bisa menjadi makanan empuk hackers untuk menyuntikkan perintah berbahaya.
Untungnya, WordPress biasanya memberi peringatan jika sebuah plugin sudah lama tidak menerima pembaruan. Atau, Anda bisa memeriksa secara mandiri di bagian Last Updated seperti berikut:
Jika terakhir kali plugin tersebut diperbarui lebih dari 6 bulan yang lalu, jangan pernah sentuh tombol instal. Itu artinya, developer sudah lama meninggalkan plugin tersebut dan tidak lagi ada niatan untuk memperbaikinya.
6. Developer Kurang Menanggapi Keluhan
Yang tak kalah penting selain poin-poin di atas ialah dukungan dan respon developer dalam menghadapi keluhan pengguna. Developer yang baik pasti akan menanggapi pertanyaan dan keluhan pengguna, lalu mengusahakan solusi terbaik.
Nah, bagaimana sih cara melihat respon developer? Gampang kok. Anda tinggal membuka halaman resmi plugin tersebut via Plugin Page. Kemudian, klik tab Support seperti contoh berikut:
Jika permasalahan pengguna selalu ditanggapi serius oleh developer, itu pertanda bagus. Namun jika tidak, kami sarankan Anda tinggalkan plugin tersebut.
Baca juga: Segera Cek Keamanan Website dengan 20+ Tools Gratis Ini!
7. Mengikuti Berita Keamanan Terkini
Langkah terakhir ini sebenarnya opsional. Namun, alangkah baiknya jika Anda selalu update dengan berita keamanan WordPress. Sebab, WordPress adalah platform open source di mana masalah keamanan sering terjadi.
Dengan selalu mengikuti berita WordPress terkini, Anda bisa menjadi yang pertama tahu, jika CMS yang satu ini diterpa berita miring. Untung saja, WordPress sangat populer sehingga beritanya bisa ditemukan di banyak sumber.
Contoh paling gampang di Niagahoster Blog. Kami menyediakan satu kategori khusus yaitu WordPress & News untuk memberitakan informasi terkini seputar isu keamanan, baik dari plugin maupun core WordPress itu sendiri.
Namun tak hanya berita seputar kerentanan. Kabar gembira lain seperti rekomendasi plugin menarik dan fitur-fitur baru yang patut dicoba juga selalu kami muat di kategori yang satu ini.
Singkatnya, Anda pengguna WordPress tak perlu khawatir ketinggalan informasi terbaru karena di Niagahoster Blog semuanya sudah tersaji secara lengkap. Makanya sebelum lanjut, jangan lupa klik tombol Subscribe di bagian bawah, ya!
Baca juga: 26+ Cara Mengamankan WordPress Terbaik untuk Website Anda [Edisi 2022]
Tips Mencegah Serangan Hack yang Berasal dari Plugin WordPress
Sebelum lanjut, Anda perlu tahu bahwa masalah keamanan plugin biasanya teratasi ketika Anda mengupdate plugin. Sebab, developer plugin pasti menambal celah kerentanan di versi teranyar plugin tersebut.
Namun akan lebih baik jika Anda selalu mempraktikkan tips jitu untuk mencegah website dari serangan berbahaya seperti hacking dan malware akibat plugin. Berikut penjelasan selengkapnya!
1. Hindari Plugin Bajakan
Jika Anda tidak ingin website menjadi korban serangan hack dan malware, langkah pertama yang wajib dilakukan sebelum mengikuti tips-tips lain adalah jangan sekali-kali menginstal plugin WordPress bajakan.
Plugin bajakan dikenal sejak lama sebagai sarang malware, phishing, dan ancaman berbahaya lainnya. Alasannya, plugin bajakan sudah pasti berada di luar repository WordPress sehingga keamanannya tidak terjamin.
Sebenarnya sih, tidak semua plugin di luar repository yang diinstall secara manual itu bajakan. Ada banyak plugin berkualitas yang saat ini tidak bisa Anda temukan di repository.
Namun yang jelas, Anda wajib waspada karena plugin yang dipasang secara manual ini tidak dipantau secara langsung oleh pihak WordPress.
Dampaknya website yang memasang plugin bajakan bisa sangat fatal. Mulai dari dijangkiti malware, menyebarkan spam ke pengunjungnya, bahkan diambil alih dan dicuri data-data berharganya oleh hackers.
Bahkan menurut sebuah sumber, 207.000 website WordPress dijangkiti malware akibat pemakaian berbagai jenis plugin bajakan. Mengerikan sekali ya?
Makanya jika Anda menginginkan versi premium dari sebuah plugin, lebih baik keluar biaya lebih untuk membelinya secara resmi. Daripada, mengunduh versi bajakan plugin yang memang gratis, tapi bisa berakibat fatal untuk website.
2. Double-check Sebelum Install Plugin
Jika Anda sudah tidak tergoda untuk menginstal plugin yang tidak jelas asal usulnya, langkah selanjutnya adalah selalu memeriksa segala informasi berkaitan dengan plugin yang hendak dipasang.
Di halaman detail plugin, periksa kembali bagian-bagian seperti:
- Informasi developer, website resmi, dan kontributor.
- Jumlah instalasi aktif dan statistik instalasi lainnya.
- Rating dan review plugin, terutama yang paling baru.
- Kompatibilitas plugin terhadap WordPress versi terbaru.
- Kapan terakhir kali plugin diperbarui.
Intinya sih, selalu praktikkan tips mengidentifikasi plugin WordPress tidak aman seperti yang sudah kami jelaskan di poin sebelumnya. Dan niscaya, website Anda akan terhindar dari serangan berbahaya akibat salah instal plugin.
Baca juga: Bagaimana Cara Mencari Celah Keamanan Website “Vulnerable” dengan Mudah?
3. Hapus Plugin yang Tidak Terpakai
Tips yang satu ini sebenarnya tidak berpengaruh langsung untuk mencegah serangan berbahaya masuk ke website. Umumnya, menghapus plugin tak terpakai akan meringankan beban server sehingga meningkatkan kecepatan website.
Pun demikian, menghapus plugin yang jarang dipakai tetap berdampak baik untuk mengamankan website, kok.
Ibaratnya begini. Website adalah kamar kos Anda, sedangkan plugin adalah semua barang yang ada di kamar. Sekarang coba bayangkan, kamar kos Anda penuh dengan benda-benda tidak dipakai. Rasanya pasti tidak nyaman bukan?
Apalagi jika suatu ketika kamar Anda terkena musibah, misalnya kebanjiran. Anda jadi bingung mana barang yang harus diselamatkan duluan. Karena, baik barang yang berguna maupun tidak tercampur jadi satu.
Makanya daripada menyusahkan, benda-benda tidak dipakai lebih baik dibuang atau dipindahkan ke tempat lain.
Nah, begitu pula dengan plugin. Dengan menghapus plugin yang tidak berguna, Anda fokus dalam mengelola plugin lain. Sekaligus, menerapkan langkah-langkah melindungi website dengan lebih optimal.
Oh ya, mungkin Anda akan bertanya, apakah aman jika hanya sekadar menonaktifkan plugin? Jawabannya tidak sama sekali. Sebab, plugin tidak aktif masih menyimpan file dan data di server.
Nah, file ini ternyata bisa menjadi sasaran empuk hackers untuk menanamkan script berbahaya. Makanya, lebih baik Anda menghapus plugin-plugin yang tidak digunakan hingga tuntas.
4. Rutin Mengupdate Versi Plugin
Seperti yang sudah dibahas, masalah keamanan plugin biasanya selesai ketika versi terbaru dari plugin tersebut muncul. Nah, jika developer sudah berbaik hati mengupdate pluginnya secara rutin, sekarang giliran Anda.
Anda harus rajin memperbarui setiap plugin yang dipakai, tiap kali versi teranyarnya diluncurkan. Untungnya, di dashboard WordPress akan muncul notifikasi update plugin sehingga Anda tidak akan ketinggalan update.
Sayangnya, muncul masalah baru yaitu Anda harus mengecek menu Updates secara berkala lalu mengupdate plugin secara manual. Tapi itu dulu, sekarang sudah ada solusi praktis bagi Anda yang malas melakukan pembaruan manual.
Yaitu, dengan mengaktifkan fitur Auto Update WordPress. Fitur ini tersedia khusus bagi Anda pelanggan Niagahoster, termasuk di paket Simple WordPress. Selain untuk plugin, fitur ini juga bisa Anda pakai untuk mengupdate tema dan core WordPress secara otomatis, loh!
Cara menggunakannya juga gampang banget. Di Member Area Niagahoster, Anda cukup klik tombol Kelola Simple WP di website yang menggunakan paket khusus WordPress tersebut.
Kemudian di dashboard Simple WordPress, pilih tab Fitur. Lalu, pilih opsi Pembaruan Otomatis pada kolom Actions seperti ini:
Jika sudah, lakukan konfigurasi seperti contoh berikut:
Bagaimana, praktis banget kan? Oh ya, Anda tidak perlu khawatir kalau update ini akan merusak tampilan website. Sebab, sistem akan melakukan backup sekaligus melakukan pengecekan secara menyeluruh.
Jika semuanya sudah OK, maka proses update WordPress akan dilanjutkan. Bahkan jika website Anda dirasa kurang nyaman setelah update, Anda bisa kembali ke WordPress versi sebelumnya dengan adanya mekanisme backup tadi. Canggih betul kan?
Baca juga: Hindari Masalah Keamanan Website WordPress dengan Satu Solusi Jitu!
5. Manfaatkan Fitur Keamanan Hosting
Langkah pamungkas dalam menangkal serangan berbahaya akibat plugin adalah memaksimalkan fitur keamanan di layanan hosting Anda. Penyedia hosting yang berkualitas pasti punya proteksi mutakhir untuk melindungi pelanggannya.
Contohnya Niagahoster yang menyediakan berbagai fitur keamanan kelas dunia. Salah satunya adalah Realtime Vulnerable Patching yang bisa Anda nikmati dengan berlangganan paket Simple WordPress.
Realtime Vulnerable Patching adalah sebuah metode proteksi di mana sistem akan otomatis mengamankan website, meski di dalam website tersebut terdapat celah kerentanan yang disebabkan oleh plugin, tema, atau core WordPress.
Dengan kata lain meskipun Anda lupa memperbarui komponen WordPress atau belum sempat mengaktifkan fitur Auto Update WordPress, website Anda akan tetap aman dari serangan malware, spam, atau hacking.
Sebab seperti yang Anda lihat di gambar, terdapat belasan jenis celah kerentanan yang selalu mengintai website WordPress. Sehingga, Anda pasti butuh fitur Realtime Vulnerable Patching.
Meski begitu, kami tetap menyarankan Anda untuk selalu mengaktifkan fitur update WordPress otomatis seperti di poin sebelumnya, agar website jadi lebih aman.
Wah, keren sekali ya fitur Realtime Vulnerable Patching ini. Tapi pasti cara mengaktifkan dan menggunakannya sangat ribet ya?
Eits, jangan berburuk sangka dulu. Fitur yang satu ini akan otomatis aktif, begitu Anda berlangganan paket Simple WordPress. Sehingga, Anda bisa fokus mengelola website dan proteksi canggih ini akan berjalan di belakang layar.
Sebenarnya masih banyak tips yang bisa Anda praktikkan untuk melindungi website WordPress. Untuk lebih lengkapnya, kami sarankan Anda untuk membaca Ebook panduan lengkap mengamankan website WordPress.
Yuk download sekarang, gratis!
Yuk Amankan Website WordPress Anda dari Masalah Keamanan Plugin!
Di artikel ini, Anda sudah memahami fakta dan contoh kasus yang menimpa beberapa website akibat penggunaan plugin yang tidak aman. Meski tampak mengerikan, hal ini sebenarnya bisa dihindari, kok.
Asal, Anda mampu mengidentifikasi ciri-ciri plugin yang mencurigakan. Sekaligus selalu mempraktikkan tips menghindari serangan berbahaya akibat salah instal plugin.
Namun selain itu, yang tak kalah penting adalah faktor keamanan dari penyedia hosting Anda. Nah, Niagahoster lewat paket Simple WordPress selalu menghadirkan fitur-fitur yang tak hanya memudahkan, tapi juga melindungi website Anda.
Contohnya Auto Update WordPress yang bisa dipakai untuk mengupdate komponen WordPress secara otomatis, atau Realtime Vulnerable Patching untuk melindungi website Anda sejak pertama kali berlangganan.
Yuk, beralih ke Simple WordPress dan nikmati pengalaman mengelola website yang tak hanya simpel, tapi juga aman luar dalam!
The post Hati-hati! Tidak Semua Plugin WordPress Aman untuk Diinstall appeared first on Niagahoster Blog.
source https://www.niagahoster.co.id/blog/plugin-wordpress-tidak-aman/