WordPress, CMS berjuta umat
Sebuah pertanyaan mudah : CMS apa sih yang paling banyak dipakai di dunia? Jawabannya jelas WordPress. Dengan keunggulannya, WordPress yang dulunya hanya CMS simpel, telah menjadi CMS yang powerfull di masa kini. Catatan lengkap dapat dilihat di tulisan sebelum ini. Silakan klik disini. Dengan kemudahannya, disertai dengan dukungan banyak komunitas untuk mendevelop plugins, themes, update cepat, menjadikan WordPress hingga kini tak tertandingi. Konon, banyak yang bilang : “WordPress itu framework-nya tidak bagus. Keamanan WordPress juga payah”. OK. Fine.
Kenyataannya : Framework itu urusan programmer. Sedangkan urusan pengguna adalah : mudah digunakan, support bagus, dokumentasi juga sangat oke. Memang framework WordPress tidak standar dengan model framework modern yang MVC (Model View Controller), namun bicara masalah popularitas, kemudahan dan support jangan ragukan WordPress!
Keamanan WordPress
Pakai CMS WordPress itu aman nggak sih? Semua aplikasi yang kode sumbernya (source code) diketahui secara masal, tentu saja memiliki risiko keamanan lebih tinggi dibanding yang kode sumber privat (disembunyikan). Dengan demikian, maka semua CMS populer, tentu akan memiliki masalah security yang tinggi dibandingkan CMS yang kurang populer. Apalagi ditambah lagi bahwa WordPress memiliki dukungan para pembuat theme dan plugins yang belum tentu semuanya terverifikasi. Hal ini tentu menjadikan WordPress memiliki masalah tinggi dengan keamanan. Karena keamanan WordPress tidak melulu bersumber dari core saja, namun dari semua pendukungnya, termasuk theme, plugins, server dan konfigurasinya.
Bisa jadi core utama WordPress sudah sangat aman. Namun masalah dapat muncul dari theme dan plugins yang tersebar di internet, dibuat oleh sembarang orang yang kita tidak tahu latar belakangnya. WordPress memang menyediakan space untuk para kontributor theme (https://wordpress.org/themes) dan plugins (https://wordpress.org/plugins) untuk meletakkan aplikasi-aplikasi mereka. Namun di luar itu ada juga yang menyediakan plugins berbayar ataupun memang free. Theme dan plugins inilah yang sering menjadi sumber masalah. Saat celah keamanan plugins / theme diketahui hacker, maka akan masalah akan segera timbul. Terkadang ada juga theme dan plugins yang berisi backdoor ataupun trojan untuk tujuannya secara sengaja melakukan serangan terhadap keamanan wordpress.
Mari Scan Keamanan WordPress !
Seperti dalam artikel sebelumnya, WordPress adalah CMS paling populer kalangan kampus. Tercatat universitas-universitas raksasa seperti UI, ITS, UNDIP, Univ Brawijaya telah berani menggunakan WordPress sebagai bagian dari portal utama kampusnya. Loh? Cerobohkah mereka? Tidak. Mereka sangat memahami risiko, mitigasi dan penanganan keamanan wordpress mereka. Tidak hanya itu, situs-situs pemerintahan domestik dan luar negeri juga banyak menggunakan WordPress ini. Bersamaan dengan popularitas WordPress (tentu juga beserta popularitas bugnya), komunitas-komunitas WordPress akhirnya membuat metode cek keamanan WordPress untuk pemantauan potensi risiko security. Salah satunya adalah dengan membuat tools scanning security WordPress, yang bernama WPScan.
WPScan adalah tools yang dirancang khusus untuk meneliti celah-celah keamanan WordPress. WPScan marak digunakan oleh para pentester untuk melakukan penetration testing ataupun vulnerability assessment. WPScan memiliki community site di https://wpscan.org. Dibangun dengan menggunakan bahasa Ruby, WPScan dijalankan dengan menggunakan mode command line. Cara mendapatkannya cukup mudah, yaitu dengan melakukan clone dari akun github mereka : https://github.com/wpscanteam/wpscan. Tool itu dijalankan di komputer / laptop. Program pendukung yang diperlukan adalah : Ruby.
WPScan adalah salah satu tool yang disarankan oleh OWASP untuk digunakan sebagai alat pindai deteksi dini atas celah keamanan WordPress. Dengan mengetahui bug lebih dulu, maka kita dapat mengurangi risiko keamanan portal WordPress kita. Tool ini juga update setiap saat. Ada tim kontributor update WPScan yang senantiasa mengupdate bug-bug terbaru, lantas dimasukkan dalam database WPScan. Model kontribusinya, persis seperti pola kerja para pengembang open source. Open contribution.
Cara Instalasi WPScan
Cara instalasi pertama, adalah dengan membuka dan melakukan petunjuk yang ada pada halaman https://github.com/wpscanteam/wpscan . Bisa dipilih akan menggunakan gem (ruby based), git, ataupun docker.
Setelah semua petunjuk pada halaman tersebut diikuti dan tidak ada error, maka WPScan langsung dapat digunakan untuk cek keamanan WordPress. Jika error, biasanya error tersebut sekitar masalah versi Ruby yang digunakan di komputer tidak cukup kompatibel untuk menjalankan WPScan. Cara menjalankan WPScan hanya dengan memanggil file wpscan.rb yang sifatnya sudah dibuat executable. Secara simpel adalah seperti berikut :
./wpscan.rb -u namasite
WPScan juga akan mengirimkan notifikasi jika diperlukan update. Perlu diketahui, bahwa update database vulnerability WPScan ini sangat cepat. Rajin update juga akan menambah kekayaan database vulnerability keamanan WordPress yang kita punya.
Contoh hasil scanning adalah :
Dari hasil scanning tersebut, kita bisa mengetahui hal-hal yang lepas dari perhatian kita, yang berkaitan dengan keamanan portal WordPress kita. Hal-hal yang dapat dicover oleh WPScan antara lain :
- WP Core Scanning
- Versi WordPress
- Header
- Versi Server (webserver dan bahasa PHP)
- Konfigurasi server
- Themes dan versinya
- Plugins dan versinya
- Information Disclosure
- User
WPScan juga akan memberikan scoring untuk tingkat keamanan yang ditemukan, dalam wujud warna. Warna merah adalah warning keras, warna kuning adalah peringatan medium, dan hijau adalah hal sesuai dengan yang disarankan.
Baca juga: 3 CMS Opensource Populer di Kalangan Kampus
WPScan Pisau Bermata Dua
WPScan, sebagai alat Vulnerability Scanner, didesain untuk mempermudah melakukan security check s sistem keamanan WordPress kita. Namun tak jarang alat ini juga digunakan oleh para cracker justru untuk memata-matai celah keamanan WordPress. Dengan demikian “baik jahatnya” tool WPScan ini sangat tergantung pada siapa yang menggunakannya. Pada kenyataannya banyak tutorial di blog ataupun youtube yang menggunakan WPScan ini untuk alat serang situs lain. Hal ini tentu tidak disarankan, dan merupakan penyalahgunaan alat untuk melakukan pelanggaran Undang-Undang (UUITE).
Namun, saran dari tim eCampuz untuk para pengelola portal web kampus yang menggunakan WordPress : “WPScan ini juga digunakan oleh para hacker yang tidak bertanggung jawab dalam memata-matai sebuah web. Mengapa para pengelola tidak memulai untuk menggunakan WPScan untuk mengecek keamanan website kampus sendiri?”
Nah, silakan dicoba untuk instalasi dan menggunakannya dengan benar. Jangan mempergunakannya untuk keperluan menembus sistem keamanan pihak lain. Gunakan untuk “introspeksi” celah website sendiri. Dengan demikian segala celah dapat diketahui dan dimitigasi secara dini. Metoda lain, akan dishare oleh tim eCampuz, kapan-kapan 🙂