Ancaman serangan siber seperti pemaparan data sensitif, penyebaran ransomware, dan perangkap spear phishing menjadi sebuah ancaman serius bagi keamanan aplikasi web, khususnya WordPress. Aplikasi web yang dibangun dengan WordPress memiliki kelemahan terutama pada plugin dan tema WordPress yang bisa menjadi jalan pintas untuk mengakses data pengguna yang sensitif. Di sinilah plugin backup WordPress berperan, memberikan lapisan perlindungan lain situs web Anda.

Apa itu Plugin Backup WordPress?

Plugin backup WordPress adalah sebuah ekstensi untuk membuat salinan cadangan (backup) dari berbagai komponen penting situs web, seperti konten, data, file media, dan pengaturan situs web. Tujuan utamanya adalah untuk melindungi situs web dari kemungkinan kehilangan data akibat serangan siber, blooper, kegagalan server, atau perubahan yang tidak diinginkan.

Dengan plugin backup wordpress memungkinkan pencadangan otomatis secara berkala maupun manual. Plugin ini mencakup semua aspek situs web, seperti database, file atau folder, tema, plugin serta konfigurasi. Sehingga, jika terjadi masalah ancaman, salinan cadangan yang telah dibuat sebelumnya dapat digunakan untuk memulihkan situs web dengan cepat dan mudah.  

Hasil Riset Terkait Keamanan 21 Plugin Backup

Berdasarkan hasil penelitian yang diuraikan dalam jurnal “Security Evaluation of WordPress Backup Plugins”, analisis dilakukan secara manual terhadap kategori plugin backup WordPress dengan berfokus pada kerentanannya terhadap Eksposur Data Sensitif. Dari 21 plugin yang diuji, 12 diantaranya memiliki kerentanan terkait Eksposur Data Sensitif. Analisis lebih lanjut dilakukan untuk mengidentifikasikan faktor-faktor kerentanan dalam masing-masing plugin dan mengevaluasi metodenya. Semua plugin dites pada versi terbaru WordPress. Hasil dari penelitian ini menunjukkan pentingnya meningkatkan perhatian terhadap keamanan dalam penggunaan plugin backup, terutama terkait dengan data sensitif.

Berikut ini adalah contoh beberapa plugin backup wordpress yang rentan terhadap serangan : 

• All-in-one-wp-migration

Menyimpan backup di /wp-content/ai1wm-backups/ dengan nama situs web yang merupakan informasi publik. Ini berpotensi mendapatkan serangan melalui pencarian tanggal pembuatan direktori backup. 

• BackWPup

Membuat direktori /wp-content/uploads/backwpup-[hash]-backups/ dengan hash dapat diprediksi, berpotensi serangan melalui pencarian nama file cadangan melalui file log. 

• BackitUP

Membuat direktori /wp-content/wpbackitup_backups/ yang berisi file .htaccess dengan penolakan hak akses, berpotensi serangan melalui pencarian nama file cadangan melalui file log. 

• BulletProof Security

Menggunakan metode kriptografi yang sulit diprediksi untuk nama file cadangan. 

• WP-DBManager

Menyimpan backup di /wp-content/backup-db/ dengan nama file berdasarkan timestamp, berpotensi serangan melalui prediksi timestamp dan nama database.

• BackupWD

Menggunakan hash lemah untuk nama file cadangan di /wp-content/uploads/backup-wd-files-db-[hash]/, berpotensi serangan melalui pencarian hash yang dapat diprediksi. 

• Unyson

Membuat backup di /wp-content/uploads/fw-backup/ dengan nama berdasarkan timestamp, berpotensi serangan melalui pencarian tanggal melalui permintaan GET. 

• Backup Guard

Menggunakan direktori cadangan dengan nama dapat diprediksi, berpotensi serangan melalui akses sementara pada file state.json. 

• BolGrid

Membuat backup di /wp-content/bolgrid_backup/ dengan nama berdasarkan hash sha512 dan crc32, berpotensi serangan melalui pencarian hash yang dapat diprediksi.

• Keep-backup-daily

Nama cadangan berformat [tahun-bulan-hari-jam-menit], berpotensi serangan melalui pencarian tanggal melalui parameter Last-Modified. 

• Backup Database dan Complete-central-backup

Nama cadangan berdasarkan timestamp.

Beberapa plugin cadangan WordPress memiliki potensi serangan melalui akses terhadap file cadangan. Perlu pengamanan lebih lanjut diperlukan untuk melindungi data sensitif. Oleh karena itu, pengguna perlu memilih plugin dengan hati-hati, menghindari metode yang mudah diprediksi dalam penamaan file backup dan pilihlah plugin backup yang memiliki enkripsi yang kuat. Kemudian, perbarui plugin secara berkala untuk mengurangi resiko serangan siber dan kerentanan yang mungkin terjadi pada situs web Anda.

Selain ancaman dari plugin, apa saja ancaran serangan terhadap website kita? Contoh serangan yang lain dapat dibaca pada artikel : 8 jenis serangan yang mengancam website kamu

Sumber

Cernica, Ionuț, dkk. Security Evaluation of WordPress Backup Plugins. 2019.