WordPress adalah Content Management System (CMS) yang masih populer digunakan di Indonesia. Sedangkan secara global, Market share WordPress mencapai 59.8% menurut artikel yang diterbitkan oleh Kinsta pada Oktober lalu. WordPress masih menempati urutan pertama CMS paling banyak digunakan dibanding CMS lain seperti Drupal, Joomla, dan Magento. Barn2 mencatat ada sekitar 1,3 milyar situs di seluruh dunia dan lebih dari 455 juta menggunakan WordPress.
Semakin meningkatnya kebutuhan blog berbasis WordPress semakin meningkat pula layanan-layanan terkait hal itu. Mulai dari jasa pembuatan blog, hosting khusus WordPress, tema dan plugin premium sampai bajakan juga banyak ditawarkan. Belum lagi kelas-kelas SEO dan hal teknis lainnya seputar WordPress yang juga semakin menjamur.
Mengenal Cara WordPress Dikembangkan
WordPress itu terdiri dari beberapa komponen yang saling mendukung satu sama lain. Secara garis besar, komponen itu bisa dibagi menjadi tiga yaitu: komponen inti (core), komponen tampilan (theme), dan komponen pendukung (plugin).
Pengembangan komponen inti diawasi sangat ketat oleh reviewer dan manager. Setiap perubahan yang diajukan oleh kontributor harus melalui sederet tahapan review dan pengujian. Semua kontributor bisa ikut berpartisipasi untuk menguji dan memberi masukan pada reviewer atau kontributor yang mengajukan perubahan. Setelah perubahan yang diajukan dinyatakan lolos baru akan digabung (merge) atau diterapkan pada komponen inti.
Plugin dan tema WordPress yang diajukan untuk dimuat di direktori WordPress juga akan direview oleh tim. Pengembang plugin atau tema akan menerima feedback dari WordPress untuk memperbaikinya sebelum diajukan ulang untuk meminta peninjauan kembali. Review ketat ini dilakukan untuk menjaga ekosistem WordPress agar tetap aman dan nyaman untuk digunakan. Hanya saja, plugin dan tema WordPress ini bisa didistribusikan secara bebas tanpa melalui review yang ketat di luar platform WordPress. Banyak marketplace atau situs yang menyediakan plugin dan tema WordPress secara berbayar maupun gratisan. Ada juga yang membagikan tema dan plugin bajakan atau nulled.
Isu Terkait Celah Keamanan WordPress
Beberapa orang memercayai bahwa blog yang dibangun menggunakan WordPress rawan dihack. Sebagain dari mereka beralasan hanya karena WordPress dibangun menggunakan bahasa pemrograman PHP. Sebagian yang lain menyatakan alasannya karena WordPress dibangun secara kolektif dengan kontributor tersebar di seluruh dunia membuatnya mudah untuk dicari-cari kelemahannya.
Di sisi lain, kerentanan blog WordPress diulas secara parsial oleh media massa karena ditulis oleh orang yang bukan ahlinya di bidang IT. Tidak ditulis secara rinci apakah kerentanan itu terletak pada core, theme, atau plugin. Tidak dijelaskan pula bagaimana hal itu secara persis terjadi. Sehingga orang awam tahunya hanya WordPress sangat rentan untuk dihack atau dibajak.
Hal ini menyebabkan orang awam yang sama sekali tidak memahami cara kerja WordPress menjadi ketakutan untuk menggunakannya.
Memetakan Celah Keamanan WordPress
Secara umum, komponen utama WordPress sudah sangat aman karena dikembangkan dan diawasi dengan sangat ketat oleh developer yang tersebar di selurtuh penjuru dunia. Hanya saja yang namanya sistem tetap memiliki potensi kerentanan di bidang keamanan oleh sebab itu WordPress diperbarui secara berkala untuk menutup celah yang ditemukan atau dilaporkan oleh pengguna.
Selama ini, celah keamanan blog WordPress seringkali terjadi pada tema dan plugin yang dikembangkan diluar platform wordpress.org karena tidak diawasi secara ketat. Pengguna bisa menginstall plugin atau tema yang dibeli dari marketplace atau dari developer secara langsung. Dari sini potensi kerentanan blog dimulai jika plugin atau tema yang diinstall itu ternyata memiliki celah keamanan yang serius.
Secara umum, pengguna wordpress yang awam di dunia IT hanya akan melihat fitur dari tema atau plugin yang ditawarkan. Mereka tidak melihat lebih jauh apakah plugin atau tema itu memiliki celah keamanan atu tidak. Sedikit sekali pengguna yang mau mencari review dari plugin atau tema yang mau digunakan untuk memastikan keamanannya.
Kecerobohan Pengguna
Pengguna blog WordPress yang minim literasi seringkali tidak dapat membedakan antara plugin dan tema premium yang asli dengan yang bajakan. Asal ada embel-embel kata pro atau premium dianggap aman untuk digunakan. Padahal banyak plugin atau tema premium yang sudah dimodifikasi dijual dengan harga murah di marketplace seperti Tokopedia atai Shopee.
Tema dan plugin premium yang dimodifikasi biasanya memuat kode iklan atau bahkan kode yang membahayakan blog. Hal ini seringkali tidak disadari oleh pengguna. Mereka lebih memilih membeli tema atau plugin dengan harga yang jauh lebih murah dari harga pada situs resminya meskipun sebetulnya bisa berakibat fatal bagi blog miliknya. Lebih parah lagi ada juga yang memilih mendownload plugin atau tema premium itu secara gratis dari situs illegal yang tidak bertanggungjawab.
Sayangnya ketika akhirnya blog mereka kena hack yang disalahkan malah wordpress dan bukan kecerobohannya dalam menggunakan plugin atau tema bajakan
