Keamanan

Pelajari lebih lanjut tentang keamanan perangkat lunak core WordPress dalam artikel gratis berikut. Anda juga dapat mengunduhnya dalamformat PDF.

Ikhtisar

Dokumen ini adalah analisis dan penjelasan dari development software core WordPress dan proses keamanan yang terkait, juga pengujian keamanan yang menjadi bagian tetap dari software. Pengambil kebijakan yang sedang mengevaluasi WordPress sebagai pilihan CMS atau framework aplikasi web dapat menggunakan dokumen ini untuk analisis dan pengambilan keputusan mereka, dan juga untuk developer yang ingin membiasakan diri dengan komponen keamanan dan praktik terbaik dari software WordPress.

Informasi di dalam dokumen ini adalah informasi yang terkini, disesuaikan dengan rilis software yang stabil dan terbaru, WordPress 4.7 pada saat dokumen ini ditulis, dan juga relevan untuk kebanyakan versi sebelumnya, karena kompatibilitas terbalik adalah fokus utama tim development WordPress. Langkah dan perubahan spesifik terkait keamanan akan dicatat setelah ditambahkan ke core software. Kami menyarankan agar Anda menjalankan WordPress versi terbaru yang stabil untuk penggunaan yang paling aman.

Ringkasan Eksekutif

WordPress adalah sebuah content management system (sistem manajemen konten) open-source yang dinamis, yang dipakai oleh jutaan situs web, aplikasi web, dan blog. Saat ini, lebih dari 43% dari 10 juta website top di Internet memakai WordPress. Kegunaan, ekstensibilitas, dan komunitas development yang matang membuat WordPress populer dan menjadi pilihan untuk situs web dengan segala ukuran.

Sejak ditemukan tahun 2003, WordPress telah diperbarui terus menerus sehingga software core-nya dapat mengidentifikasi dan memitigasi ancaman keamanan yang umum, termasuk yang ada di daftar Top 10 dari Open Web Application Security Project/OWASP (Proyek Keamanan Aplikasi Web Terbuka), yang dibahas di dalam dokumen ini.

Tim Keamanan WordPress, bersama dengan Tim Kepemimpinan Core WordPress dan seluruh komunitas WordPress global, bekerja untuk mengidentifikasi dan memecahkan isu keamanan di software core WordPress, juga memberi rekomendasi dan mendokumentasi praktik keamanan terbaik untuk penyusun plugin pihak ketiga dan penyusun tema.

Developer dan administrator situs harus memperhatikan penggunaan API core yang benar dan konfigurasi server, yang biasanya menjadi sumber dari kerentanan, juga memastikan bahwa semua pengguna mempunyai password yang kuat untuk mengakses WordPress.

Gambaran Umum WordPress

WordPress adalah sebuah content management system (CMS) yang gratis dan terbuka. WordPress adalah software CMS yang paling banyak digunakan di dunia dan dipakai oleh lebih dari 43% 10 juta situs top dunia¹, kira-kira menguasai 62% pasar dari semua situs yang menggunakan CMS.

WordPress berlisensi General Public License (GPLv2 atau seterusnya) yang menyediakan empat poin kebebasan, dan dapat dianggap sebagai “deklarasi hak-hak” WordPress:

1. Kebebasan untuk menjalankan program, untuk tujuan apa pun.
2. Kebebasan untuk mempelajari cara sebuah program bekerja, dan mengubahnya sesuai kebutuhan Anda.
3. Kebebasan untuk mendistribusi ulang.
4. Kebebasan untuk mendistribusikan salinan Anda versi modifikasi kepada orang lain.

Tim Kepemimpinan Core WordPress

Proyek WordPress adalah sebuah meritokrasi, dijalankan oleh tim pemimpin core, dan dipimpin oleh ko-kreator dan developer pemimpin utama, Matt Mullenweg. Tim tersebut mengelola semua aspek dari proyek, termasuk development core, WordPress.org, dan pembentukan komunitas.

Tim Pemimpin Core terdiri dari Matt Mullenweg, lima pemimpin developer, dan lebih dari selusin developer core dengan akses permanen untuk membuat commit. Developer ini yang membuat keputusan akhir untuk urusan teknis, diskusi arsitektur, dan implementasi.

WordPress mempunyai banyak developer kontributor (relawan). Beberapa sudah ikut berkontribusi sebelumnya, yang lainnya baru menjadi kontributor pertama kali. Developer kontributor ini adalah kontributor yang sudah lama dan dipercaya oleh sesama developer. Jika dibutuhkan, WordPress juga mempunyai developer tamu, orang-orang yang diberikan akses, biasanya untuk komponen spesifik, dalam jangka waktu sementara atau masa percobaan.

Developer core dan developer yang berkontribusi menentukan jalannya development WordPress. Di setiap versi, ratusan developer ikut menuliskan kode WordPress. Kontributor core ini adalah relawan yang menulis kode di core WordPress pada lini yang beragam.

Siklus Penerbitan WordPress

Setiap siklus rilis WordPress dipimpin oleh satu atau lebih developer core WordPress. Siklus ini biasanya berlangsung selama 4 bulan, mulai dari meeting penentuan scope awal hingga peluncuran versi.

Siklus penerbitan memiliki alur berikut²:

• Fase 1: Perencanaan dan penentuan pemimpin tim. Fase ini dilakukan di ruang chat #core di Slack. Pemimpin rilis akan mendiskusikan fitur-fitur rilis berikutnya dari WordPress. Kontributor WordPress dapat ikut terlibat dalam diskusi tersebut. Pemimpin rilis akan menentukan pemimpin tim untuk setiap fitur baru yang akan dikerjakan.
• Fase 2: Pengerjaan development dimulai. Pemimpin tim mengumpulkan tim dan mengerjakan fitur yang telah ditugaskan kepada mereka. Obrolan atau chat dijadwalkan berkala untuk memastikan ada kemajuan dalam proyek.
• Fase 3: Beta. Versi beta dirilis, dan penguji beta diminta untuk melaporkan gangguan (bug). Tidak ada commit baru untuk perbaikan atau permintaan fitur mulai dari fase ini. Penyusun plugin pihak ketiga dan penyusun tema disarankan untuk menguji kode mereka berdasarkan perubahan yang ada.
• Fase 4: Kandidat Rilis. Mulai fase ini, ada pembekuan string (string freeze) untuk string yang dapat diterjemahkan. Pekerjaan hanya difokuskan pada regresi dan penghambat rilis.
• Tahap 5: Peluncuran. Versi WordPress diluncurkan dan tersedia di Admin WordPress untuk pembaruan.

Penomoran Versi dan Siaran Keamanan

Versi utama WordPress ditentukan dari dua angka pertama. Misalnya, 3.5 adalah rilis utama, begitu juga 3.6, 3.7, atau 4.0. Tidak ada “WordPress 3” atau “WordPress 4” dan setiap rilis utama disebutkan secara lengkap, misalnya “WordPress 3.9.”

Rilis utama biasanya menambahkan fitur baru untuk pengguna dan API untuk developer. Walaupun biasanya di dunia software, sebuah versi “utama” berarti Anda dapat melanggar kompatibilitas versi terdahulu, WordPress berusaha untuk tidak melakukannya. Kompatibilitas versi terdahulu adalah salah satu filosofi terpenting dalam proyek ini, dengan tujuan untuk membuat update lebih mudah untuk pengguna dan developer.

Versi minor WordPress dapat dilihat apabila mempunyai tiga angka. Versi 3.5.1 adalah versi minor, begitu juga versi 3.4.2³. Rilis minor dibuat khusus untuk memperbaiki kerentanan keamanan dan bug yang rentan. Karena versi terbaru WordPress sering sekali dirilis — setiap 4-5 bulan untuk rilis utama, dan rilis minor sesuai kebutuhan — hanya diperlukan rilis minor dan utama.

Kompatibilitas Versi Sebelumnya

Proyek WordPress mempunyai komitmen yang kuat terhadap kompatibilitas pada versi terdahulu. Hal tersebut berarti tema, plugin, dan kode khusus tetap berjalan walaupun software core WordPress diupdate, sehingga mendorong pemilik situs untuk menjalankan WordPress pada versi rilis terbaru yang aman.

WordPress dan Keamanan

Tim Keamanan WordPress

Tim Keamanan WordPress terdiri dari sekitar 50 ahli, termasuk lead developer dan peneliti keamanan — sekitar setengahnya adalah karyawan dari Automattic (pembuat WordPress.com, platform hosting WordPress pertama dan terbesar), dan beberapa bekerja di bidang keamanan web. Tim ini juga berkonsultasi dengan peneliti keamanan yang ternama dan terpercaya dan sejumlah perusahaan hosting³.

Tim Keamanan WordPress sering berkolaborasi dengan tim keamanan lain untuk memperbaiki masalah umum yang memiliki dependensi, seperti memperbaiki kerentanan di parser PHP XML, yang digunakan di API XML-RPC pada WordPress 3.9.2⁴. Pemecahan masalah kerentanan ini adalah hasil dari kerja sama tim keamanan WordPress dan Drupal.

Risiko, Proses, dan Riwayat Keamanan WordPress

Tim Keamanan WordPress percaya pada Pelaporan Bertanggungjawab, dengan memberitahu tim keamanan segara jika ditemukan kerentanan. Kerentanan keamanan dapat dilaporkan ke Tim Keamanan melalui WordPress HackerOne⁵. Tim Keamanan saling berkomunikasi melalui kanal Slack privat, dan bekerja menggunakan Trac privat untuk melacak, mengetes, dan memperbaiki bug dan masalah keamanan.

Setiap laporan keamanan diakui dengan tanda terima, dan tim keamanan akan berusaha untuk membuktikan kerentanan yang dilaporkan dan memutuskan tingkat keparahannya. Jika terkonfirmasi, tim keamanan akan merencanakan patch untuk memperbaiki masalah tersebut, yang dapat dirilis bersamaan dengan software WordPress bersamaan atau dirilis langsung sebagai rilis keamanan darurat, tergantung pada tingkat keparahan masalah.

Untuk rilis keamanan yang darurat, artikel berisi saran akan ditulis oleh Tim Keamanan di situs Berita WordPress.org⁶, mengumumkan rilis dan perubahannya. Nama pihak yang melaporkan kerentanan/kesalahan yang bersangkutan akan dicantumkan di artikel tersebut, untuk mendorong pelaporan yang berkelanjutan di kemudian hari.

Saat ada rilis baru yang tersedia, administrator software WordPress akan mendapat pemberitahuan pada dasbor situs mereka untuk melakukan upgrade, dan akan dialihkan ke halaman Tentang WordPress dimana semua perubahan di rilis tersebut dijelaskan. Jika admin mengaktifkan update otomatis di belakang layar, mereka akan menerima email setelah upgrade selesai dilakukan.

Pembaruan Tertutup Otomatis untuk Penerbitan Keamanan

Mulai versi 3.7, WordPress memperkenalkan update otomatis di belakang layar untuk semua rilis minor⁷, seperti versi 3.7.1 dan 3.7.2. Tim Keamanan WordPress dapat mengidentifikasi, memperbaiki, dan memberikan peningkatan keamanan tanpa ada tindakan dari pemilik situs, update keamanan tersebut akan terinstal secara otomatis.

Saat sebuah update keamanan diluncurkan untuk versi stabil WordPress saat ini, tim core juga akan meluncurkan update keamanan tersebut untuk semua versi sebelumnya yang mempunyai pengaturan otomatis di belakang layar (sejak WordPress 3.7), sehingga versi yang lebih lama tetapi masih banyak dipakai ini akan mendapatkan perbaikan keamanan.

Pemilik situs individual dapat memilih untuk menonaktifkan update otomatis di belakang layar dengan membuat perubahan kecil di file konfigurasi mereka, tetapi membiarkan fungsionalitas berjalan seperti biasa dan menggunakan rilis WordPress terbaru yang stabil sangat disarankan oleh tim core.

Top 10 OWASP 2013

Proyek Keamanan Aplikasi Web Terbuka (Open Web Application Security Project atau OWASP) adalah komunitas online yang didekasikan untuk keamanan aplikasi web. Daftar top 10 OWASP⁸ berfokus pada mengidentifikasi risiko keamanan aplikasi yang paling serius pada berbagai jenis perusahaan. Daftar top 10 ini dipilih dan diprioritaskan dengan indikator perkiraan eksploitabilitas, detektabilitas, dan dampak.

Bagian di bawah ini membahas tentang API, sumber daya, dan aturan yang WordPress gunakan untuk memperkuat software core dan plugin serta tema pihak ketiga untuk meminimalisir risiko keamanan.

A1 - Injeksi

Seperangkat fungsi dan API tersedia di WordPress untuk membantu developer memastikan kode yang tidak mempunyai akses tidak bisa dimasukkan, dan membantu mereka memvalidasi dan membersihkan data. Praktik terbaik dan dokumentasi juga tersedia⁹ mengenai cara menggunakan API ini untuk melindungi, memvalidasi, atau membersihkan data input dan output di HTML, URL, header HTTP, dan saat berinteraksi dengan database dan filesystem. Administrator dapat juga membatasi tipe file yang dapat diunggah menggunakan filter.

A2 - Otentikasi yang Rusak dan Pengelolaan Sesi

Software core WordPress mengelola akun pengguna dan otentikasi dan detail seperti ID pengguna, nama, dan password, serta kuki otentikasi dikelola di server. Password dijaga di database menggunakan teknik standar salting dan stretching. Sesi yang aktif dihapus saat logout untuk versi WordPress setelah 4.0.

A3 - Cross Site Scripting (XSS)

WordPress menyediakan banyak fungsi yang menjamin bahwa data yang diberikan user tersimpan aman¹⁰. Pengguna yang dipercaya, yaitu administrator dan editor pada instalasi WordPress tunggal, serta administrator jaringan pada WordPress Multisitus, dapat menuliskan kode HTML atau Javascript yang tidak difilter di dalam artikel atau halaman. Konten yang diajukan oleh pengguna yang tidak dipercaya akan difilter untuk menghilangkan entitas yang berbahaya, menggunakan library KSES melalui fungsi wp_kses.

Sebagai contoh, tim core WordPress menemukan bahwa fungsi the_search_query() disalahgunakan oleh banyak penyusun tema sebelum rilis WordPress 2.3, dengan mengabaikan fungsi escaping untuk output di HTML. Jarang sekali kompatibibilitas terbalik menjadi rusak, output fungsi tersebut telah dirubah di WordPress 2.3; dibuat menjadi pre-escaped.

A4 - Referensi Direct Object Tidak Aman

WordPress seringkali menyediakan referensi direct object, seperti nomor ID akun pengguna atau konten yang tersedia di URL atau formulir. Walaupun nomor ID ini menampilkan informasi sistem secara langsung, WordPress mempunyai sistem kontrol perizinan dan akses yang canggih, sehingga dapat mencegah akses pengguna yang tidak bertanggung jawab.

A5 - Kesalahan Konfigurasi Keamanan

Kebanyakan operasi konfigurasi keamanan WordPress dibatasi hanya untuk satu administrator yang punya otoritas. Pengaturan awal untuk WordPress terus dievaluasi oleh tim core, dan tim WordPress core menyediakan dokumentasi dan praktik terbaik untuk meningkatkan keamanan untuk konfigurasi server untuk menjalankan situs WordPress¹¹.

A6 - Paparan Data yang Sensitif

Kata sandi akun pengguna WordPress di garami dan di hash berdasarkan Portable PHP Password Hashing Framework¹². Sistem hak akses WordPress digunakan untuk mengendalikan akses pada informasi pribadi seperti PII pengguna terdaftar, alamat surel pemberi komentar, konten privat terpublikasi, dsb. Dalam WordPress 3.7, kekuatan kata sandi dimasukkan pada inti perangkat lunak memberikan tambahan informasi bagaimana pengguna mengatur kata sandi-nya dan memberi petunjuk untuk meningkatkan kekuatan. WordPress juga memiliki konfigurasi pengaturan opsional untuk mewajibkan HTTPS.

A7 - Kontrol Akses Level Fungsi yang Hilang

WordPress memeriksa otorisasi dan perizinan untuk semua fungsi permintaan akses level sebelum tindakan dijalankan. Akses atau visualisasi dari URL administratif, menu, dan halaman tanpa autentikasi yang benar terintegrasi erat dengan sistem autentikasi untuk mencegah akses dari pengguna yang tidak berwenang.

A8 - Pemalsuan Permintaan Lintas Situs (CSRF)

WordPress menggunakan token kriptografik yang disebut nonces¹³, untuk memvalidasi intensi permintaan aksi dari pengguna terotorisasi untuk melindungi dari ancaman CSRF potensial. WordPress menyediakan API untuk menghasilkan token ini untuk menciptakan dan memverifikasi token untik dan temporer, dan token ini terbatas untuk pengguna spesifik, aksi spesifik, objek spesifik, dan waktu spesifik, yang dapat ditambahkan pada formulir dan URL sesuai kebutuhan. Sebagai tambahan, semua nonces akan di-invalidasi saat keluar.

A9 - Penggunaan Komponen dengan Kerentanan yang Dipahami

Tim WordPress core selalu mengawasi library dan framework yang terintegrasi dengan fungsionalitas inti WordPress. Sebelumnya, tim core telah melakukan kontribusi ke beberapa komponen pihak ketiga untuk membuat komponen tersebut lebih aman, seperti update untuk memperbaiki kerentanan antar-situs pada TinyMCE di WordPress 3.5.2¹⁴.

Jika diperlukan, tim core dapat memutuskan untuk melakukan fork atau menggantikan komponen eksternal yang penting, seperti ketika SWFUpload library digantikan secara resmi oleh Plupload library di versi 3.5.2, dan sebuah fork dari SWFUpload dibuat oleh tim keamanan<¹⁵ untuk plugin-plugin yang sementara masih memakai SWFUpload.

A10 - Pengalihan dan Penerusan yang Tidak Divalidasi

Sistem autentikasi dan kontrol akses internal WordPress akan melindungi dari upaya untuk mengarahkan pengguna ke tujuan yang tidak diinginkan atau pengarahan otomatis. Fungsi ini juga tersedia bagi developer plugin melalui API wp_safe_redirect()¹⁶.

Risiko dan Kepentingan Keamanan Lebih Lanjut

Serangan pemrosesan XXE (XML eXternal Entity)

Saat memroses XML, WordPress menonaktifkan dimuatnya entitas XML khusus untuk mencegah serangan External Entity dan Entity Expansion. Di luar fungsionalitas PHP core, WordPress tidak menyediakan API pemrosesan XML tambahan yang aman untuk penyusun plugin.

Serangan SSRF (Server Side Request Forgery)

Request HTTP yang dikeluarkan WordPress disaring untuk mencegah akses ke loopback dan alamat IP privat. Selain itu, akses ini hanya diperbolehkan untuk port HTTP standar.

Keamanan Plugin dan Tema WordPress

Tema Asal

WordPress memerlukan sebuah tema aktif untuk bisa memunculkan konten di ujung depan. Tema awal yang disertakan dengan WordPress core (saat ini "Twenty Twenty-Four") telah diperiksa dan diuji secara intensif, terutama dari sisi keamanan, oleh tim developer tema dan tim pengembangan core.

Tema awal dapat menjadi titik mula untuk pengembangan tema khusus, dan developer situs dapat membuat tema turunan yang mencakup kustomisasi tetapi tetap mengacu ke tema awal untuk fungsionalitas dan keamanan. Tema awal dapat dihapus dengan mudah oleh administrator jika tidak dibutuhkan.

Repositori Tema dan Plugin WordPress.org

Kira-kira ada 50,000+ plugin dan 5,000+ tema tersedia di WordPress.org. Tema dan plugin yang tersedia ini didaftarkan dan diperiksa secara manual oleh relawan sebelum dimasukkan ke repositori.

Adanya plugin dan tema di repositori tidak menjamin keamanan plugin dan tema tersebut. Panduan disediakan bagi penyusun plugin sebelum mereka memasukkan plugin di repositori¹⁷, dan dokumentasi lengkap tentang bagaimana melakukan pengembangan tema WordPress¹⁸ tersedia di situs WordPress.org.

Setiap plugin dan tema dapat terus dikembangkan oleh pemilik plugin atau tema tersebut, dan perbaikan atau penambahan fitur dapat diunggah ke repositori dan dibuat tersedia untuk pengguna yang telah menginstal tema atau plugin tersebut, dengan deskripsi perubahan yang dibuat. Administrator situs akan diberikan notifikasi di dasbor mengenai plugin yang harus diupdate.

Ketika ada kerentanan dalam sebuah plugin ditemukan oleh Tim Keamanan WordPress, mereka akan menghubungi penyusun plugin dan bekerjasama untuk memperbaiki dan merilis versi yang lebih aman. Jika penyusun plugin tidak menjawab atau tingkat kerentanannya parah, maka plugin atau tema tersebut akan ditarik dari direktori publik, dan di kasus-kasus tertentu, diperbaiki dan diupdate langsung oleh Tim Keamanan.

Tim Peninjau Tema

Tim Kaji Ulang Tema terdiri dari sekelompok relawan, dipimpin oleh anggota komunitas WordPress yang berpengalaman. Mereka mengkaji dan menyetujui tema sebelum dimasukkan ke dalam direktori resmi Tema WordPress. Tim Kaji Ulang Tema mengurus Panduan Pengkajian Tema resmi¹⁹, Data Tes Unit Tema²⁰, dan Plugin Theme Check²¹, dan terus berusaha melibatkan dan mengedukasi komunitas developer Tema WordPress mengenai praktik development terbaik. Siapa saja yang masuk di tim ini diatur oleh core commiter dari tim development WordPress.

Peran Penyedia Hosting dalam Keamanan WordPress

WordPress dapat diinstal di banyak platform. Walaupun software WordPress core cukup untuk menjalankan aplikasi web yang aman, yang telah disebutkan dalam dokumen ini, konfigurasi sistem operasi dan server tempat software ini berjalan juga sama pentingnya untuk menjaga agar aplikasi WordPress aman.

Catatan tentang WordPress.com dan keamanan WordPress

WordPress.com adalah pemasang WordPress terbanyak didunia, dan dimiliki dan dikelola oleh Automattic, Inc., yang didirikan oleh Matt Mullenweg, salah satu pembuat proyek WordPress. WordPress.com berjalan pada inti perangkat lunak WordPress, dan memiliki pemrosesan keamanan sendiri, resiko, dan solusi²². Dokumen ini mengacu pada keamanan terkait hosting-sendiri, perangkat lunak WordPress sumber terbuka yang dapat diunduh dari WordPress.org dan dapat dipasang di server manapun di dunia.

Lampiran

Inti WordPress APIs

API (Application Programming Interface) WordPress Core terdiri dari beberapa API individual²³, masing-masing mencakup fungsi yang terlibat, dan memakai serangkaian fungsionalitas. Bersama-sama, semua API membentuk antarmuka proyek yang memungkinkan plugin dan tema untuk saling berinteraksi, mengubah, dan memperluas fungsionalitas WordPress core secara aman.

Sementara setiap API WordPress menyediakan praktik terbaik dan cara standar untuk berinteraksi dengan dan memperluas inti perangkat lunak WordPress, API WordPress berikut ini adalah yang paling relevan untuk membangun dan memperketat keamanan WordPress:

Basis Data API

API²⁴ basis data, ditambahkan pada WordPress 0.71, menyediakan metode yang tepat untuk mengakses data sebagai isian yang diberi nama yang disimpan di lapisan basis data.

Filesystem API

API²⁵ sistem file, ditambahkan pada WordPress 2.6²⁶, yang mulanya dibuat untuk WordPress’ memiliki fitur pembaruan otomatis. API sistem file mengabstraksi fungsionalitas yang diperlukan untuk membaca dan menulis file-file lokal ke sistem file secara aman, pada semua hosting.

Hal ini dijalankan melalui class WP_Filesystem_Base , dan beberapa subclasses yang menerapkan cara-cara berbeda dalam menghubungkan sistem file local, tergantung pada fitur hosting masing-masing. Semua tema dan plugin yang menuliskan file secara lokal menjalankan hal serupa menggunakan kelompok WP_Filesystem classes.

HTTP API

API²⁷ HTTP, ditambahkan di WordPress 2.7²⁸ dan dikembangkan di WordPress 2.8, menstandarisasikan permintaan HTTP untuk WordPress. API menangani kuki, pengodean dan mendekodekan gzip, pendekodean bongkah (jika HTTP 1.1), dan implementasi protokol HTTP lain. API menstandarisasikan permintaan, menguji setiap metode sebelum pengiriman, dan, berdasarkan konfigurasi server Anda, menggunakan metode yang sesuai untuk menjalan perintah.

Perizinan dan API pengguna saat ini

Izin dan API²⁹ pengguna aktif merupakan sekumpulan fungsi yang berguna untuk verifikasi izin dan otoritas pengguna yang sedang aktif untuk menjalankan perintah atau operasi yang diminta, dan melindungi dari pengguna yang tidak dikenal mengakses dan menjalankan fungsi diluar kapabilitas yang diizinkan mereka.

Lisensi konten artikel

Teks di dalam dokumen ini (tidak termasuk logo WordPress atau merk dagang) berlisensi CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Anda dapat menggandakan, mengubah, mendistribusikan dan menggunakan, bahkan untuk keperluan komersil, tanpa harus meminta izin.

Terima kasih khusus kepada security white paper Drupal, yang telah menginspirasi.

Bacaan Lebih Lanjut

• Berita WordPress https://wordpress.org/news/
• Rilis Keamanan WordPress https://wordpress.org/news/category/security/
• Sumber Daya Developer WordPress https://developer.wordpress.org/

Ditulis oleh Sara Rosso

Kontribusi dari Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana

Versi 1.0 March 2015

Catatan kaki

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/