Salah satu menfaat WordPress adalah direktori plugin yang sangat luas. Ribuan plugin yang bisa kita pilih dan kita gunakan di website, Kita bisa menyesuaikan WordPress Anda dan menambahkan fitur-fitur baru dengan biaya yang cukup murah dan Gratis.
Namun ternyata, plugin WordPress juga merupakan salah satu kelemahan. File plugin yang sangat rentan akan terus menjadi salah satu cara nomor satu situs WordPress mudah diretas.
Semakin banyak plugin yang Anda instal di website, maka semakin ekstra juga kita menjaga website kita dari serangan malware.
Daftar Isi:
plugin wordpress yang berbahaya
Cara Menghindari Plugin WordPress yang Berbahaya / Bajakan
Apabila Anda adalah seorang pengembang WordPress atau pemilik situs, maka ada beberapa tips yang dapat membantu Anda menghindari plugin berbahaya atau plugin yang sudah diretas.
Periksalah Plugin Baru Sebelum Menginstal
Karena WordPress adalah platform open source, siapa pun bisa menciptakan plugin untuk WP.
Itulah mengapa begitu banyak plugin yang tersedia di WordPress.org dan sering banyak pilihan untuk dipilih ketika Anda ingin menambahkan beberapa fungsi ke website Anda.
Maka sebab itulah mengapa kita sebagai pengembang WordPress harus memeriksa / mengevaluasi setiap memasang plugin baru.
Berikut beberapa poin yang bisa Anda jadikan patokan sebelum Anda mengaktifkan plugin ke situs Anda:
- Sudah berapa banyak pengguna aktifk yang dimiliki plugin tsb?
- Apakah plugin tsb memiliki ulasan yang baik?
- Kapan plugin terakhir diperbarui?
- Apakah sudah diuji dengan WordPress versi terbaru?
- Apakah ada pertanyaan dari pengguna lain ke pemilik plugin yang belum terjawab dari beberapa bulan yang lalu?
Apabila dalam sebuah plugin telah ada untuk beberapa hari dan memiliki sedikit pengguna yang aktif, kita anggap itu sebagai tanda bahaya. Hal yang sama berlaku untuk ulasan yang buruk.
Selain itu juga, jika melihat banyak item open support di halaman plugin WordPress, bisa saja kaau plugin tersebut sudah ditinggalkan atau diabaikan oleh pembuatnya.
Dan apabila ini terjadi, maka mungkin saja juga pengembang plugin berhenti menanggapi pertanyaan-pertanyaan dari pengguna plugin-nya, berhenti menguji plugin dengan pembaruan WordPress terbaru, dan berhenti memperbarui plugin untuk memperbaiki keamanan.
Untuk plugin baru, yang terbaik adalah menguji fungsionalitas di area pengembangan/pementasan situs Anda sebelum ditayangkan.
Perbarui Plugin Setiap Bulan
Setiap situs WordPress membutuhkan pemeliharaan khusus – dan itu sudah wajib. Seperti yang kita sebutkan di atas. Pengembang plugin harus menjaga kode plugin-nya. Mereka merilis pembaruan yang juga menyertakan tambalan kode untuk menambah kekuatan keamanan.
Anda dapat menginstal plugin luar biasa di situs web Anda, plugin yang dirawat dengan baik oleh pengembang, dengan pembaruan untuk menutupi setiap kerentanan keamanan yang baru ditemukan, tetapi terserah Anda atau tim pengembangan Anda untuk menjalankan pembaruan plugin. Jika tidak, situs Anda dapat menghadapi risiko pelanggaran keamanan yang besar.
Ini adalah praktik terbaik untuk meminta pengembang WordPress yang terampil memperbarui plugin Anda setiap bulan agar semuanya berjalan dengan lancar.
Apabila Anda memiliki plugin atau tema yang berlangganan atau berbayar di website, Anda harus memantau informasi lisensinya. Memperbarui plugin terkadang memerlukan lisensi.
meng-update plugin Anda juga memiliki manfaat yang lebih: Hal ini memberi Anda kesempatan untuk terus meninjau plugin yang diinstal di situs. Apabila ada plugin yang tidak digunakan lagi atau dinonaktifkan tapi belum dihapus, segeralah untuk menghapusnya.
Simpan Daftar Plugin yang Tidak Diizinkan
Mungkin ada beberapa plugin WordPress tertentu yang mungkin tidak cocok atau sudah tidak digunakan untuk website Anda. Melacak plugin seperti ini dapat membantu menghindari masalah di hari yang akan datang.
Atau Anda mungkin juga ingin memeriksa dengan perusahaan hosting Anda untuk melihat apakah pihak hosting memiliki daftar plugin yang tidak diizinkan? Daftar ini mungkin menyertakan plugin yang diketahui menyebabkan masalah kinerja atau keamanan, seperti yang membebani database dan menyebabkan situs WordPress Anda berjalan lebih lambat.
Anda juga harus meninjau semua fitur yang ada di dalam hosting Anda. Misalnya, platform hosting WordPress yang dikelola dapat menawarkan pencadangan harian dan langkah-langkah keamanan di tingkat server.
Jika itu masalahnya, maka Anda tidak perlu menginstal cadangan atau plugin keamanan. Ingat: lebih sedikit lebih banyak dalam hal plugin. Dengan setiap plugin tambahan yang Anda instal, semakin besar risiko kerentanan.
Sebagai praktik terbaik, pemilik situs WordPress harus meninjau lebih ketat dan mengonfigurasi plugin baru di situs website Anda. developer website dapat melalui langkah-langkah pemeriksaan yang tercantum di atas dan menguji plugin di area pementasan atau pengembangan untuk mengetahui masalah apa pun sebelum mereka memiliki kesempatan untuk memengaruhi situs langsung.
Upgrade PHP Versi Terbaru
Segala sesuatu yang ada di lingkungan WordPress berjalan menggunakan PHP. Mirip dengan tema WP dan plugin.
PHP versi terbaru selalu dirilis setiap beberapa bulan. Karena PHP adalah bahasa pemrograman pada sever, menjalankan website pada versi PHP yang sudah ketinggalan zaman bisa sangat membahayakan keamanan website.
Jika kerentanan ditemukan dalam versi PHP yang kedaluwarsa, peretas bakalan melirik untuk menargetkan situs dan server apa pun yang menjalankan kode itu.
Manfaat tambahan dari memperbarui ke PHP versi terbaru adalah dapat membantu Anda mengaudit & menyingkirkan plugin-plugin yang tidak diperbaharui. Sebelum memperbarui webstie ke dalam tingkat PHP, pengembang perlu menjalankan pengujian kompatibilitas untuk memastikan tidak ada masalah yang terjadi dengan plugin atau tema.
Jika ada satu atau beberapa plugin yang gagal dalam uji kompatibilitas PHP, bisa dipastikan atau mungkin berarti bahwa plugin tersebut tidak lagi dipertahankan dan sudah waktunya Anda harus mencari plugin alternatif.
Namun, pastikan Anda sebagai pengembang WordPress meninjau kesalahan kompatibilitas karena mungkin ada kesalahan positif. Anda juga ingin memeriksa situs web plugin atau dokumentasi untuk mengetahui apakah perbaikan kompatibilitas akan dirilis dengan pembaruan berikutnya.
Dengan tetap mengikuti pembaruan PHP terbaru, Anda akan menjaga website Anda tetap aman dan menyingkirkan pilihan plugin yang ditinggalkan atau yang sudah tidak kompatibel.
Baca: Cara Mengatasi White Screen WordPress
Pantau Kerentanan WordPress
Salah satu kelemahan CMS WordPress adalah banyak hacker yang sering menargetkan situs website yang menggunakan WP untuk ditargetkan. Itu terjadi karena WP adalah CMS open source. Karena WordPress adalah sistem manajemen konten paling populer di dunia, itu sangat ditargetkan oleh peretas.
Masalah keamanan plugin yang tidak dijaga adalah aspek WordPress yang paling rentan, menempatkan ribuan hingga jutaan situs dalam bahaya.
Basis data kerentanan WPScan adalah sumber yang bagus untuk memeriksa masalah keamanan yang diketahui. WPScan bisa melacak masalah terbaru yang ditemukan di plugin, tema, dan inti WordPress itu sendiri.
Baca: Panduan WP Rocket | Setting & Speed Up untuk WordPress 2022
Di direktori, Anda dapat melihat kerentanan yang diketahui dan melihat apakah pembaruan yang telah dirilis untuk memperbaiki plugin, tema yang beresiko. Apabila Anda melihat plugin atau tema di daftar ini yang diinstal di situs web Anda, jadilah proaktif dan pastikan untuk menghapusnya atau memperbaruinya sesegera mungkin.
Selain itu, ikuti blog WordPress resmi untuk informasi berita keamanan terbaru. Sayangnya, terkadang plugin atau masalah inti WordPress menyebabkan banyak situs diretas. Pelanggaran keamanan besar baru-baru ini terjadi pada April 2019 ketika kerentanan dalam plugin Social Warfare yang populer ditemukan dan dieksploitasi oleh peretas, yang berarti ada 900.000 situs dalam risiko.
Jika Anda memperhatikan berita keamanan terbaru, Anda akan dapat segera memeriksa situs Anda dan semoga memperbaiki masalah itu sebelum Anda mengalaminya.
Kesimpulan
Itulah 5 hal yang harus anda perhatikan untuk menghindari atau memantau plugin WordPress yang berbahaya. Satu hal lagi yang ingin saya sampaikan. Jangan sekali-kali Anda download dan pasang plugin pro gratis di luar direktori wordpress.org.
Plugin memanglah GPL. Semua orang bisa menggunakannya walapun sebenarnya memiliki kode lisensi dari pihak pemiliknya. Namun kita tidak tahu plugin yang dari luar itu sudah disisipkan script virus malware atau tidak. Karena untuk membedakan kedua jenis ini sulit (bagi pengguna awam) dari sisi tidak ada perbedaannya.
Jika Anda ingin mencari plugin atau tema dengan lisensi asli, Anda bisa kunjungi website saya di wp.androkit.com. Di sana saya menyediakan jasa instal tema atau plugin WordPress yang tentunya lisensi asli bukan GPL.
