Bagi para pemilik website berbasis WordPress, wajib hukumnya untuk mengetahui cara melindungi website dari tema dan plugin berbahaya.
WordPress memiliki ribuan tema dan plugin. Sebagian besar tema dan plugin tersebut terdapat pada basis data resmi WordPress yang ditelaah secara ketat sebelum layak dipublikasi.
Tentunya, tema dan plugin tersebut aman dari infeksi Malware serta tautan berbahaya. Tetapi, hal tersebut tidak berlaku bagi tema dan plugin yang Anda unduh dari situs web luar atau pihak ketiga.
Bahkan berdasarkan isu yang beredar, banyak pihak ketiga yang dengan sengaja menambahkan kode berbahaya ke dalam tema dan plugin mereka.
Ini lazim terjadi karena berbagai alasan, salah satunya karena ingin merusak atau mencuri data Anda. Berikut ini adalah fungsi kode berbahaya yang ada dalam tema dan plugin:
- Menampilkan iklan dan banner tanpa izin dan sepengetahuan Anda.
- Memperoleh backlink dari situs Anda.
- Mendapatkan akses ke data Anda termasuk kredensial masuk.
- Mengarahkan pengunjung situs Anda ke situs atau produk lain.
Nah, bagi para pemilik web berbasis WordPress, harap simak artikel ini sampai akhir agar Anda tahu cara melindungi website dari tema dan plugin berbahaya.
Mengapa Tema dan Plugin WordPress Terinfeksi Malware?
Tema dan plugin WordPress bisa saja dengan sengaja disuntikan Malware dengan harapan Anda akan memasangnya ke situs.
Tema yang terinfeksi memiliki pintu belakang (back door) yang akan dieksploitasi oleh peretas untuk mendapatkan akses ke situs.
Jelas saja, tidak ada yang mau memasang tema dan plugin yang terinfeksi di situs mereka.
Namun dalam banyak kasus, pemilik situs tidak menyadari bahwa mereka menggunakan tema yang berbahaya.
Lalu mengapa banyak tidak menyadari hal tersebut? Berikut alasannya.
A. Menggunakan Tema dan Plugin dari Sumber yang Tidak Terpercaya
Menurut artikel di blog Wordfence, tema dan plugin nulled atau bajakan merupakan salah satu penyebab paling sering masalah keamanan pada website berbasis WordPress.
Selain repositori resmi WordPress, ada banyak sumber pihak ketiga yang menjual atau menyediakan gratis tema dan plugin premium. Tema-tema ini kemungkinan besar telah diubah dan terinfeksi Malware.
B. Menggunakan Tema dan Plugin yang Dibundel
Beberapa tema dibundel dengan plugin dan ini menjadikan segalanya rumit.
Ini karena pemilik situs tidak dapat memperbarui tema atau plugin yang dibundel, hanya pemilik tema yang bisa. Hal tersebut memicu kerentanan.
C. Mengunduh Tema dan Plugin yang Tersedia Gratis
Dalam hal ini, tema dan plugin gratis yang dimaksud adalah yang di luar repositori resmi WordPress.
Tema dan plugin berbayar karena adanya kontrol kualitas yang ketat. Tema gratis di luar repositori resmi WordPress umumnya tidak memiliki kontrol kualitas, bahkan banyak yang disisipi kode jahat dan malware.
Bagaimana Cara Mendeteksi Kode Berbahaya atau Malware?
Hal paling dasar yang dapat Anda lakukan untuk melindungi situs adalah dengan melakukan beberapa pemeriksaan. Pemeriksaan paling dasar termasuk mengawasi jumlah kerusakan, mengecek pesan peringatan dari Google dan lainnya.
Apabila situs sering mogok, terdapat tanda peringatan, atau layar putih sering muncul, maka kemungkinan kuat situs Anda sedang terinfeksi Malware.
Selain mendeteksi kerusakan, Anda juga dapat memanfaatkan perangkat lunak khusus untuk memindai Malware. Telah ada banyak alat pemindai kode berbahaya atau Malware pada tema dan plugin WordPress.
Beberapa di antaranya bahkan dapat memindai hingga ke seluruh sudut untuk menemukan jejak Malware dan mendeteksi kode berbahaya yang menyamar sebagai kode asli.
Beberapa plugins yang bisa Anda coba untuk mendeteksi kode jahat dan malware:
- Wordfence
- Sucuri Security
- Anti Malware
- WP Antivirus Site Protection
- Antivirus for WordPress
- Quttera Web Malware Scanner
Pilih salah satu plugin yang disebutkan di atas. Saat ini, website Maxmanroe.com menggunakan plugin Wordfence versi premium untuk keamanan dan detektor kode berbahaya.
Cara Melindungi Website dari Kode Berbahaya dan Malware
Apakah Anda tidak 100% yakin dengan keamanan website Anda saat ini? Kalau iya, maka Anda perlu melakukan beberapa langkah berikut:
1. Pindai Situs Anda
Meskipun kinerja situs Anda terlihat baik-baik saja, sebaiknya lakukan pemindaian Malware secara berkala.
Beberapa jenis peretasan bekerja secara diam-diam di belakang layar sehingga pemilik website mungkin tidak menyadari bahwa ada script berbahaya di dalam websitenya.
Inilah mengapa sangat penting untuk memindai situs Anda dari Malware secara berkala. Anda bisa menggunakan salah satu dari beberapa plugin yang disebutkan di atas.
2. Menghapus Tema dan Plugin yang Tidak Digunakan
Ada banyak pemilik website berbasis WordPress yang membiarkan tema dan plugin tak terpakai di dalam websitenya.
Tema dan plugin yang tidak digunakan tersebut bisa menjadi media bagi peretas untuk menyusup ke dalam sebuah website.
Hal ini dapat menjadi potensi risiko keamanan. Plugin yang tidak aktif juga dapat memperlambat kinerja dan kecepatan situs Anda.
3. Berhati-Hati Pada Tema dan Plugin yang Diperbarui
Meski memperbarui tema dan plugin WordPress Anda dapat membantu memperbaiki kerentanan keamanan, namun Anda perlu berhati-hati.
Beberapa pembaruan dapat membuat masalah baru seperti bug, konflik plugin, dan bahkan menyebabkan situs Anda rusak.
Uji terlebih dahulu pembaruan sebelum Anda memutuskan untuk menjalankannya di situs WordPress Anda.
4. Memasang Alat Perlindungan
Anda dapat memanfaatkan beberapa tools online yang dapat digunakan untuk memeriksa integritas tema dan plugin. Alat-alat tersebut, seperti;
- Google Safe Browsing
- Brute Force Firewall
- Theme Authenticity Checker
- VPN (https://nordvpn.com/id/download/) untuk memastikan privasi serta keamanan data.
Ketika Anda memikirkan keamanan WordPress, selalu pikirkan untuk memiliki beberapa lapisan keamanan.
5. Aktifkan Firewall WordPress
Langkah penting lainnya adalah menyiapkan Web Application Firewall (WAF). WAF adalah garis pertahanan pertama yang mencegah serangan jahat pada situs Anda.
Firewall ini mampu melindungi situs Anda dari peretasan akibat Malware, Brute Force, dan serangan DDoS.
6. Backup Data Secara Berkala
Membuat backup data situs memang bukan langkah kuratif saat berhadapan dengan infeksi Malware. Tetapi, ini merupakan cara yang efektif untuk mengurangi jumlah kerugian apabila situs Anda terinfeksi Malware atau mengalami kerusakan.
Anda harus selalu memiliki versi cadangan dari situs Anda yang siap untuk dipulihkan jika hal terburuk terjadi.
Saat ini WordPress belum dilengkapi dengan fitur pencadangan bawaan yang gratis. Namun, Anda bisa menyimpan cadangan data WordPress Anda dengan beberapa plugins berikut:
Selain itu, Anda juga bisa bekerjasama dengan penyedia hosting yang biasanya menawarkan pencadangan otomatis secara berkala.
Kesimpulan
Dari semua hal di atas, cara yang terbaik untuk melindungi infeksi Malware akibat tema dan plugin adalah dengan melakukan pencegahan. Selalu pastikan integritas tema dan plugin yang Anda unduh sebelum menginstalnya.
Apabila kesalahan tertentu muncul beberapa saat setelah instalasi, maka menggunakan peralatan online untuk mengecek dan mendeteksi Malware adalah pilihan terbaik berikutnya.
Oleh karena itu, sangat disarankan hanya mengunduh tema dan plugin dari situs web resmi atau database WordPress.
Demikianlah penjelasan ringkas cara melindungi website WordPress dari tema dan plugins berbahayas. Semoga artikel ini bermanfaat.
saya orang yg sangat jarang memasang plugin keamanan tambahan utk semua blog wp sy. pikirnya hanya satu, yg penting theme dan plugin diunduh dr sumber aslinya (wordpress). cuma kadang sy msh suka pke plugin yg sdh tidak ada updatenya (seblmnya sdh di unduh), misal plugin yg utk membersihkan revision…
WordPress ini memang ada plus minusnya. Berbagai fitur WP yang bisa diberikan oleh plugin ternyata juga terdapat risiko di dalamnya, misalnya potensi adanya kode jahat bila plugin dari sumber di luar WordPress.