Tips Menghindari Resiko Keamanan Inactive WordPress Plugin

security wordpress plugin

Plugin merupakan komponen WordPress yang memiliki peran sangat penting. Dengan plugin kita bisa membuat website dengan tampilan yang keren dan fasilitas yang lengkap. Namun dibalik itu semua ada bahaya yang mengancam website kita apabila tidak berhati-hati.

Tentu kita semua tahu bahwa WordPress.org menyediakan ribuan plugin yang bisa kita gunakan secara gratis di website kita. Namun perlu diketahui bahwa tidak semua plugin tersebut dibuat oleh pengembang dengan koding yang baik.

Baca Juga: Panduan Instalasi WordPress Plugin

Sebagian besar plugin dibuat oleh pihak ketiga yang sengaja ditempatkan di website resmi milik WordPress agar pengguna lebih mudah untuk menemukannya. Diantara plugin-plugin tersebut ada yang memang merupakan produk yang berkualitas namun ada juga yang tidak.

Selain itu tidak ada jaminan bahwa plugin tersebut akan selalu di-update oleh pembuatnya. Mengapa demikian? Jawabannya yaitu karena itu merupakan produk gratisan. Tidak ada keuntungan yang diperoleh oleh pembuat plugin tersebut.

Kalau dipikir-pikir mengapa mereka rela membuat plugin gratisan? Tentu ada motif terselubung di balik itu semua. Apakah motif tersebut?

PERTAMA yaitu popularitas. Sebagian besar pengembang plugin berawal dari hobi. Mereka sukarela membuat plugin karena suka dengan pekerjaan tersebut walaupun tidak ada keuntungan materi yang mereka peroleh.

Namun demikian tentu saja mereka butuh pengakuan dari orang lain. Oleh karena itu mereka meletakkan plugin yang mereka buat di website WordPress.org. Tujuannya apa? Agar bisa diketahui oleh banyak orang. Semakin banyak penggunanya maka pembuat plugin tersebut akan semakin populer.

Mengingat bahwa plugin tersebut dibuat hanya berdasarkan atas hobi maka “maintenance”-nya biasanya juga tidak pasti, tergantung mood dan waktu yang dimiliki oleh pembuatnya. Bahkan kalau dia sudah bosan bisa jadi plugin gratisan tersebut tidak akan pernah dia perhatikan lagi.

KEDUA yaitu promosi gratis. Perlu diketahui bahwa tidak semua plugin yang ada di website WordPress.org tersebut 100% gratis. Sebagian merupakan produk freemium. Artinya kombinasi dari gratisan dan berbayar (premium). Mereka menempatkan plugin tersebut di website WordPress.org tujuannya yaitu untuk promosi gratis.

WooCommerce adalah salah satu contohnya. Kita bisa mendownload dan menggunakan WooCommerce secara gratis dari website WordPress.org. Semua fitur dasar untuk membuat toko online telah tersedia di WooCommerce. Akan tetapi kalau kita ingin menggunakan fitur-fitur tertentu kita harus menginstall plugin tambahan dan itu berbayar.

Baca Juga: Panduan Membuat Toko Online Dengan WooCommerce

Kembali ke masalah resiko keamanan inactive WordPress plugin. Mengapa plugin WordPress bisa berbahaya?

PERTAMA, WordPress plugin bisa menjadi berbahaya untuk digunakan kalau tidak pernah di-update atau maintenance-nya berhenti. Salah satu alasannya seperti di atas, yaitu karena pembuatnya malas atau sudah bosan untuk mengembangkan plugin tersebut.

Plugin yang tidak pernah di-update dalam jangka waktu lama berpotensi menimbulkan celah keamanan pada WordPress. Kalau kita tetap nekat untuk menggunakannya di website kita ada kemungkinan website kita akan mudah dibobol oleh orang yang tidak bertanggung jawab.

KEDUA, WordPress plugin bisa menjadi berbahaya apabila tidak digunakan namun tetap terinstall di website. Kita bisa menyebutnya dengan istilah plugin yang “inactive”.

Kata “inactive” artinya tidak aktif atau dengan kata lain tidak dipakai lagi.

Perlu diketahui bahwa plugin WordPress yang tidak aktif tersebut berpotensi menimbulkan resiko keamanan di website yang bisa dimanfaatkan oleh orang yang tidak bertanggung jawab untuk membobol website kita.

Sudah menjadi kebiasaan bahwa mengingat mudahnya menginstall plugin WordPress, seringkali ketika plugin tersebut sudah tidak digunakan lagi tapi masih saja dibiarkan tersimpan di website. Selain menghambur-hamburkan space web hosting, kebiasaan tersebut juga membahayakan website kita sendiri.

Baca Juga: Pertimbangkan 7 Faktor Ini Ketika Memilih Plugin WordPress

Memang benar bahwa WordPress tidak me-load plugin yang tidak aktif. Akan tetapi plugin tersebut tetap bisa diakses dan dijalankan pada web server. Kalau ada orang yang iseng, bisa saja itu dipakai untuk membobol website kita tanpa kita sadari.

Khusus untuk WordPress plugin menggunakan script TimThumb, kita juga patut waspada. Bisa jadi website kita bisa dieksploitasi dengan mudah seperti yang pernah ditulis oleh WPMU.org.

TimThumb adalah script PHP yang digunakan untuk me-resize ukuran gambar secara otomatis. Banyak sekali plugin dan theme yang menggunakan script ini. Sayangnya script ini tidak aman dan sering menjadi penyebab utama website bisa dijebol dengan mudah.

Baca Juga: 7 Kiat Agar WordPress Tetap Aman Dari Gangguan Peretas

Bagaimana cara memperlakukan plugin yang sudah tidak aktif tersebut? Ada dua pilihan yang bisa kita ambil, yaitu:

PERTAMA, hapus semua plugin WordPress yang tidak digunakan.

KEDUA, luangkan waktu untuk mengecek dan mengupdate semua plugin dengan versi yang terbaru, sekalipun sudah tidak digunakan lagi.

Pilihan pertama merupakan pilihan yang terbaik dan sebaiknya kita lakukan. Tidak ada gunanya untuk menyimpan plugin WordPress yang sudah tidak digunakan lagi di web server kita.

Dengan menghapus plugin yang tidak terpakai tersebut berarti kita sudah menutup satu celah keamanan yang bisa dieksploitasi oleh hacker untuk menjebol website kita. Disamping itu juga menghemat waktu dan tenaga karena kita tidak perlu lagi untuk mengupdate plugin tersebut.

Bagaimana pendapat Anda?

Leave a Reply

Your email address will not be published. Required fields are marked *