S1:E1 – 3 Alasan mengapa WordPress aman tetapi mudah diretas

Diterbitkan: 2022-01-26

Anda pasti sudah sering mendengarkan ini "Jangan pergi dengan WordPress, itu mudah diretas". Tetapi kenyataannya sangat berbeda dan jauh dari apa yang kita pikirkan atau dengar.

Kami menyediakan layanan Keamanan & Pemeliharaan WordPress selama 5 tahun terakhir. sepanjang perjalanan ini, kami telah menyimpulkan bahwa WordPress sendiri sangat aman, tetapi karena 3 alasan utama, WordPress tidak mendapatkan popularitas dalam keamanan seperti CMS PHP lainnya seperti drupal atau Joomla.

Jadi jika Anda memiliki pertanyaan serupa di benak Anda. Anda akan mendapatkan jawaban Anda di artikel ini.

Daftar isi

3 Alasan Mengapa WordPress Aman Tapi Mudah Diretas?

  1. Audiens massal bersifat non-teknis
  2. Sangat fleksibel dalam modifikasi
  3. Pemegang saham terbesar di pasar ~ 36 – 40% situs web ada di wordpress

Jadi mari kita bahas tiga poin di atas satu per satu. Ini akan memberi Anda pemahaman mendalam tentang apa sebenarnya yang saya maksud dengan poin-poin di atas.

Alasan 1. Audiens massal bersifat non-teknis

Jadi pertanyaan pertama yang harus muncul di benak Anda kepada siapa saya merujuk non-teknis. Jadi di sini adalah daftar periksa cepat untuk menganalisis apakah Anda teknis atau non-teknis:

1.1 Apa yang dimaksud dengan pengguna non-teknis?

  • Jika Anda tidak tahu tentang struktur direktori wordpress, misalnya bagaimana file disimpan oleh wordpress, di mana file tema disimpan, dll.
  • Anda tidak tahu klien – arsitektur server.
  • Jika Anda tidak tahu tentang grup & izin di sistem operasi.

Tidak ada yang buruk tetapi seseorang yang berasal dari atas mereka melakukan kesalahan dengan sangat mudah dan peretas mengambil langkah maju darinya.

1.2 Kesalahan apa yang biasanya dilakukan oleh pengguna non-teknis?

  • Jangan perbarui patch keamanan tepat waktu.
  • Mereka menginstal tema nulled.
  • Relay pada plugin berbayar tanpa langganan.
  • Izin file longgar

Masih banyak lagi yang akan kami bahas dalam kursus keamanan WordPress ini satu per satu dengan solusinya. Tapi di atas adalah atas sekali.

1.3 Bagaimana jika pemilik situs WordPress tidak memperbarui patch keamanan tepat waktu?

WordPress dan perusahaan keamanan lainnya terus melakukan pengujian penetrasi (menemukan celah keamanan) dan terus merilis versi aman dari kode dasar mereka. 80% pemilik WordPress tidak punya waktu untuk melakukan latihan ini secara teratur. (setidaknya setiap dua minggu).
Jadi jika Anda tidak memperbarui, peretas akan menggunakan celah itu dan mengambil alih situs web Anda dan menggunakannya sesuka mereka.
Sekarang Anda pasti bertanya-tanya mengapa mereka meretas situs WordPress Anda yang tidak berharga? Mereka kebanyakan mengambil jus SEO dari domain Anda. Saya akan membahas topik ini secara rinci di sesi mendatang.

1.4 Bagaimana jika pemilik situs WordPress memasang tema nulled?

tema nulled pada dasarnya adalah versi gratis/retak dari tema berbayar. Seperti yang Anda tahu tidak ada yang gratis. Siapa pun yang telah menginvestasikan waktunya dalam cracking, melakukan SEO sehingga tema nulled mereka dapat menjangkau Anda. Mereka harus menciptakan sumber pendapatan mereka. Mereka melakukannya dengan menambahkan beberapa kode tambahan (spam) ke dalamnya.
Jika Anda ingin menggunakannya maka harus diverifikasi silang dengan ahli wordpress mana pun. Tetapi biaya untuk menyewa seorang ahli WordPress di India atau di luar akan lebih mahal daripada temanya. Jadi saya sarankan membeli tema melalui ThemeForest akan menjadi pilihan yang baik.

1.5 Apa masalahnya dengan plugin berbayar tanpa langganan?

Seperti patch keamanan WordPress, plugin berbayar juga merilis patch mereka. Dan sebagian besar waktu karena tanpa berlangganan. Pemilik situs WordPress tidak memperbaruinya. Dan itu menjadi jalan buntu. Peretas memanfaatkannya.

1.6 Izin file longgar

Izin file yang ketat dapat menyelamatkan Anda dalam banyak kasus. Mayoritas malware atau spam memengaruhi kode Anda, bukan database. Jadi dengan menghapus izin menulis. malware atau spam tidak dapat mengubah file yang ada atau membuat yang baru.

1.7 Apa solusinya?

  1. Sampaikan kesalahan di atas atau Anda dapat bergabung dengan kursus keamanan wordpress gratis kami, yang akan memberi Anda gambaran tentang topik dasar hingga lanjutan.
  2. Jaga izin server Anda sangat ketat.
  3. Hentikan eksekusi di folder konten-wp.
  4. Dan masih banyak lagi yang akan kita bahas lebih lanjut dalam kursus ini.

Alasan 2. Sangat Fleksibel

WordPress memberikan fleksibilitas tanpa batas kepada pemilik situs web dan kami dapat membuat perubahan ke dalam kode tanpa benar-benar menyentuh kodenya.

Banyak plugin yang ada dalam pemasaran untuk fitur tertentu. Kami hanya menginstalnya dan semuanya mulai berfungsi.

Jadi mari kita cepat melakukan beberapa FAQ

2.1 Apa yang saya maksud dengan sangat fleksibel?

Fleksibilitas di WordPress berarti Anda tidak memerlukan keahlian pengkodean khusus untuk membuat perubahan yang diperlukan pada situs WordPress. Sesuatu yang mudah dipahami.

2.2 Mari kita lakukan perbandingan CMS dalam fleksibilitas (Drupal, Magento, WordPress, Opencart)

Saya telah melakukan 4 perbandingan CMS berdasarkan 3 poin:

  1. Tingkat upaya yang Anda butuhkan untuk melakukan perubahan fungsi yang ada.
  2. DevOps – Menyebarkan Situs Web di Server & melakukan operasi terkait untuk menjalankannya dengan lancar.
  3. Keterampilan pengkodean diperlukan untuk memulai membuat situs web dengan WordPress.

Komunitas wordpress sangat besar. Jadi jika Anda hanya berpikir Anda membutuhkan fitur acak. Anda akan mendapatkan plugin untuk itu. Saya 99% yakin tentang itu. Jika Anda perlu membangun fungsionalitas khusus, itu sangat fleksibel dalam modularitas. Anda dapat menambahkan fungsionalitas itu tanpa menyentuh kode yang sebenarnya. (melalui kait)
Di DevOps – Proses instalasi cukup mudah. Anda tidak perlu banyak ekstensi unik untuk diaktifkan di server seperti yang kami butuhkan di magneto atau drupal.

Seorang non-teknis tidak dapat menginstal magneto, drupal semudah yang dia lakukan dengan wordpress.
Tapi bayangkan jika plugin mulai memodifikasi file dengan cara yang salah, bukan dengan cara yang benar? Situs web Anda dapat kacau dalam beberapa menit berikutnya.

Bahkan jika Anda tidak memantau situs web Anda – SPAM pembunuh lambat seperti SPAM SEO Japanise dapat menghancurkan pekerjaan SEO Anda selama bertahun-tahun.

Apa solusi untuk ini?

Anda dapat mengatasi masalah ini dengan mengetahui dua hal:

  1. Struktur direktori WordPress
  2. Izin file yang benar & cara mendaftar.
  3. & memantau aktivitas situs web Anda.

Ini adalah dua hal yang telah saya bahas di artikel mendatang. Dan penjelasan singkat telah diberikan dalam video – klik di sini untuk menonton

Alasan 3. Pemegang saham terbesar di pasar ~ 36 – 40% situs web ada di wordpress.

Semua orang ingin memecahkan masalah di mana audiensnya besar. Karena jika mereka memecahkan satu masalah yang diderita oleh massa. Mereka bisa mendapatkan lebih banyak keuntungan dengan upaya yang sama. Peretas formula serupa juga berlaku! Mereka tahu jika mereka menemukan satu celah di WordPress tertentu atau plugin terkenal mereka telah diinstal di jutaan situs web. Mereka mendapatkan akses ke jutaan situs web sekaligus. Tip Pro – paling penting & merekomendasikan pemahaman – kronologi peretasan situs web yang tidak berharga. Klik di sini untuk menonton

Saya telah menjelaskan semua 3 topik ini dalam video berdurasi 40 menit. Jika Anda melewatkan menonton video itu. Anda dapat menonton video ini dan memahami topik ini secara mendalam. Jika Anda memiliki pertanyaan di benak Anda – Anda dapat bertanya di bagian komentar di youtube.