Selaku pemilik laman, pastinya Sahabat tak ingin situs diambil alih oleh pihak lain. Apabila terjadi, bisa-bisa data laman Sahabat dicuri atau dimanipulasi.
Sayangnya, ini menjadi ancaman serius untuk para pengguna ThemeREX Addons setelah Wordfence, diantara penyedia plugin Firewall WordPress, menemukan masalah keamanan di plugin tersebut 18 Februari 2020 lalu.
Masalah Keamanan di ThemeREX Addons
ThemeREX Addons ialah plugin yang terdapat sepaket dengan tema-tema berbayar ThemeREX. Dengan membeli diantara tema dari developer ini, para pengguna otomatis memperoleh ThemeREX Addons.
Guna dari plugin ini sesungguhnya betul-betul menolong untuk pengguna yang ingin dapat menjalankan set up tampilan dan fitur situsnya dengan cepat.
Misalnya, pengguna dapat menggunakan kustom widget dan post type berkat plugin ini. Ditambah lagi, ThemeREX Addons pun dapat diintegrasikan dengan plugin page builder Elementor. Oleh karena itu, kustomisasi situs pengguna menjadi betul-betul gampang.
Dengan kemudahan yang diberikan, tak heran seandainya ThemeREX Addons menjadi sebuah plugin WordPress yang populer. Wordfence memperkirakan bahwa plugin tersebut telah di-install oleh 44.000 pengguna.
Namun, di 18 Februari lalu tim Threat Intelligence Wordfence menemukan masalah keamanan di ThemeREX Addons di atas versi 1.6.50.
Masalah ini betul-betul serius karena memungkinkan pihak yang tak mempunyai akses login bagi memasukkan kode ke pada situs WordPress. Dengan ini, orang luar bahkan dapat menghasilkan akun admin di WordPress Sahabat.
Apa Penyebabnya?
Wordfence menyebutkan bahwa penyebab dari masalah ini ialah REST API endpoint yang tak aman.
API memang digunakan pada integrasi antara WordPress dan program pihak ketiga seperti ThemeREX Addons. Akan tetapi, plugin tersebut tak mampu memverifikasi asal petunjuk yang masuk ke API endpoint tersebut.
Dengan kata lain, pihak yang tak mempunyai akun bagi mengelola laman Sahabat pun dapat menggunakan API endpoint itu bagi memasukkan kode buatannya.
Ancaman yang dapat disebabkan oleh celah keamanan ini ialah injeksi kode PHP yang dilakukan secara remote. Yang lebih parah lagi ialah seandainya ada pihak yang merancang akun admin palsu dengan cara tersebut. Apabila itu telah terjadi, laman Sahabat dapat sepenuhnya diambil alih pihak tersebut.
Baru-baru ini, ancaman serupa pun merancang pengguna plugin Themegrill Demo Importer rentan kepada peretasan. Celah keamanan di plugin tersebut memungkinkan pihak selain pengelola laman bagi menghapus segala database dan mengembalikan pengaturan default WordPress.
Bagaimana Solusinya?
Hingga berita ini diturunkan, ThemeREX belum merilis patch bagi masalah keamanan ini. Oleh karena itu, Sahabat yang menggunakan ThemeREX Addons di atas versi 1.6.50 sebaiknya segera meng-uninstall plugin tersebut.
Selain itu ada beberapa cara lain yang pun wajib dilakukan agar situs WordPress Sahabat aman dari bermacam ancaman keamanan:
1. Perbarui Versi WordPress
WordPress ialah content management system yang paling sering di-hack. Oleh karena itu, Sahabat tak boleh lengah dengan serangan hacker.
Diantara cara yang dapat Sahabat lakukan bagi mencegahnya ialah selalu memperbarui versi WordPress.
Setiap ada versi terbaru, WordPress akan memberitahu Sahabat lewat pesan di Dashboard. Pesan tersebut berisi link bagi meng-update versi CMS ini.
Apabila Sahabat pengguna layanan Niagahoster, update WordPress pun dapat dilakukan lewat Anggota Area.
Di tab WordPress Management, akan ada notifikasi yang menunjukkan bahwa versi WordPress Sahabat tak up-to-date.
Dengan meng-klik link di notifikasi tersebut, versi terbarunya akan seketika di-install. Berikut ialah panduan lengkapnya.
2. Aktifkan Firewall
Ancaman keamanan seperti yang disebabkan oleh ThemeREX Addons dapat dicegah dengan mengaktifkan Firewall.
Firewall ialah fitur bagi menyaring dan memblokir lalu lintas data yang tak terotorisasi di jaringan internet. Pada konteks WordPress, lalu lintas data yang dimaksud ialah yang keluar-masuk di backend situs Sahabat.
Firewall biasanya dipasang di server oleh penyedia layanan hosting. Oleh karena itu, Sahabat perlu memastikan bahwa layanan hosting yang ingin digunakan menyediakannya. Jangan khawatir, Niagahoster dilengkapi dengan Advanced Firewall milik Imunify 360.
Selain itu, Sahabat pun dapat menambah lapisan keamanan dengan memasang plugin Firewall di WordPress, seperti Wordfence, Sucuri, dan Jetpack.
3. Ubah URL Login WordPress
Barangkali Sahabat masih menggunakan URL laman yang diikuti dengan /wp-login.php atau /wp-admin bagi login ke Dashboard.
Namun, URL default ini perlu dihindari karena menjadi diantara pintu utama untuk hacker. Untungnya, mengubah URL login WordPress tak rumit. Plugin seperti WPS Hide Login dapat menolong Sahabat melakukannya.
4. Ubah Username Admin
Username default ialah jalan lain yang sering digunakan hacker bagi membobol laman Sahabat. Apabila belum pernah diganti, username Sahabat pasti “Admin”.
Ada dua cara yang dapat Sahabat gunakan bagi mengubahnya, yaitu menggunakan plugin atau lewat pengaturan PHPMyAdmin di cPanel. Sahabat dapat mempelajari langkah-langkahnya di panduan mengganti username WordPress.
5. Batasi Jumlah Percobaan Login
WordPress tak mempunyai fitur bawaan bagi membatasi jumlah percobaan login yang gagal. Karenanya, hacker dapat mencoba bermacam kombinasi username dan password dengan berbekal kesabaran.
Namun, Sahabat dapat mengaktifkan fitur tersebut menggunakan plugin seperti Login Lockdown. Dengan plugin ini, Sahabat dapat menentukan jumlah percobaan login yang dilakukan dari satu IP address sebelum terblokir. Tak hanya itu, durasi pemblokiran pun dapat Sahabat atur.
6. Disable PHP Execution
Masalah keamanan yang terdapat di ThemeREX Addons memungkinkan pihak di luar WordPress Sahabat bagi menjalankan injeksi kode PHP.
Nah, cara yang dapat digunakan bagi mencegah ini ialah menjalankan disable PHP execution. Caranya lumayan gampang. Pertama-tama, salin kode di bawah in di Notepad atau program text editor lainnya yang terdapat di komputer:
<Files *.php>
deny from all
</Files>
Kemudian, simpan dengan file name .htaccess. Terakhir, unggah file tersebut ke direktori /wp-content/uploads/ menggunakan File Manager di cPanel.
7. Disable File Editing
Keamanan file-file laman Sahabat sangatlah urgen. Apabila hacker berhasil masuk ke backend WordPress, file milik tema dan plugin yang ter-install dapat diutak-atik.
Bagi menghindarinya, Sahabat dapat mengaktifkan disable file editing lewat cPanel. Caranya, masuklah ke File Manager dan cari file wp-config.php. Berikutnya, tambahkan kode di bawah ini dan simpan filenya.
define( 'DISALLOW_FILE_EDIT', true );
Cara ini memang tak dapat melindungi WordPress Sahabat dari hacker. Namun, setidaknya file-file laman Sahabat tak akan dapat dimanipulasi.
8. Daftar di WPScan Vulnerability Database
Ancaman keamanan kepada laman WordPress Sahabat dapat datang kapan saja dan dari sumber apapun. Oleh karena itu, Sahabat perlu selalu update dengan berita-berita terbaru terkait hal tersebut.
Kabar baiknya, WPScan Vulnerability Database menyediakan informasi terupdate mengenai semua celah keamanan di WordPress, bagus itu dari sisi CMS tersebut atau plugin dan temanya.
Tak masalah apabila Sahabat tak dapat selalu mengakses situs tersebut. Di sini, Sahabat dapat mendaftarkan domisili email Sahabat agar memperoleh pemberitahuan mengenai masalah keamanan sesegera mungkin.
Pastikan Situs WordPress Sahabat Aman
Apapun laman Sahabat, hacker selalu ingin meretasnya dengan segudang cara. Di kasus ThemeREX Addons, contohnya, yang digunakan justru celah keamanan di versi-versi baru plugin tersebut.
Oleh karena itu, Sahabat tak boleh lengah pada mempertahankan keamanan situs WordPress Sahabat.
Pastikan Sahabat selalu up-to-date dengan tips-tips keamanan WordPress yang dikupas tuntas di Blog Niagahoster dengan mendaftarkan email Sahabat di form yang terdapat di bawah artikel ini.
Sumber https://niagahoster.co.id/