Kita mungkin mengira kita mengetahui keamanan WordPress. Tapi kita tidak bisa meremehkan tugas yang ada. Tampaknya ada kejutan yang mengintai di setiap sudut.
Misalnya saja laporan terbaru dari perusahaan keamanan We Watch Your Website. Laporan tersebut mengklaim bahwa 60% situs WordPress yang diretas berasal dari cookie sesi yang dicuri. Saya yakin tidak melihat hal itu datang.
Kami tahu tentang penggunaan kata sandi yang kuat dan mengatur izin file. Kami memahami pentingnya memperbarui instalasi WordPress kami. Kami bahkan mungkin menggunakan satu atau dua plugin keamanan.
Namun, bahkan orang yang paling sadar akan keamanan pun bisa melewatkan banyak hal. Kelalaian tersebut dapat menyebabkan situs web diretas. Meskipun telah mengambil langkah-langkah keamanan.
Cookie sesi yang dicuri tidak ada dalam radar. Lalu, apa yang bisa kita lakukan untuk mencegah hal ini terjadi? Penulis laporan ini mempunyai beberapa saran.
Cara Mencegah Cookie Sesi Dicuri
Thomas J. Raef adalah penulis “Vektor Serangan Nyata yang Bertanggung Jawab atas 60% Situs WordPress yang Diretas pada tahun 2023.” Laporannya menunjukkan ancaman pencurian cookie sesi dengan sangat rinci. Dan sebuah penampilan terkini di podcast WP Tavern Jukebox menjelaskan lebih lanjut tentang subjek ini.
Tapi bagaimana dengan pengobatannya? Bagaimana kita menghentikan serangan ini agar tidak berdampak pada situs web kita? Saya meminta beberapa tip pencegahan kepada Raef. Jawabannya sesederhana logout.
Wawancara kami sedikit diedit agar lebih jelas dan singkat.
Thomas J.Raef: Jika bukan WordPress, sering kali dicuri melalui skrip lintas situs. Namun, WordPress menggunakan Hanya Http pilihan di header. Jadi, itu mencegah pencurian cookie di WordPress melalui XSS.
Cara utamanya adalah dengan pencuri informasi. Jika Anda mencari istilah tersebut di Google, Anda akan melihatnya hampir sama populernya dengan ransomware. Beberapa peretas ransomware mulai lebih banyak menggunakan pencuri informasi untuk infeksi mereka. Pencuri informasi dirancang untuk menghindari deteksi dari sebagian besar program anti-malware. Beberapa didedikasikan untuk menghindari deteksi di Windows, yang lain di Mac.
Mereka biasanya mencuri segala kemungkinan dalam waktu sekitar 10 detik. Beberapa orang bertanya, mengapa mereka repot-repot mencuri cookie sesi WordPress jika mereka juga mencuri login bank, dll. Tapi lihatlah industri penjahat dunia maya. Apa yang mereka butuhkan untuk sebagian besar serangan mereka? Oh, situs web yang sah untuk menginfeksi pengunjung yang tidak menaruh curiga.
Mereka mencuri cookie sesi karena sepenuhnya melewati 2FA (Otentikasi Dua Faktor), MFA, dll. karena pengguna masih diautentikasi. Selama cookie tersebut belum kadaluarsa.
Bagaimana kita bisa mengamankan perangkat kita dari ancaman seperti ini?
TJR: Cara termudah adalah dengan mengingat untuk logout. Itu dia! Saat Anda logout, cookie Anda kedaluwarsa. Jika Anda hanya menutup jendela browser, cookie akan tetap aktif. Jadi kalau dicuri bisa dipakai siapa saja.
Salah satu pencegahan sederhana adalah dengan menggunakan SolidWP (Solid Security). Fitur Perangkat Tepercaya mereka menggunakan alamat IP untuk menghasilkan cookie sesi. Jika dicuri, maka tidak dapat digunakan di mana pun selain di tempat aslinya dibuat. Kedua hal tersebut adalah cara terbaik untuk mencegah cookie sesi digunakan pada situs Anda.
TJR: Mungkin. Jika ada prosedur yang memeriksa ketidakaktifan setelah 30 menit, dan kemudian secara otomatis mengeluarkan pengguna, itu mungkin bisa membantu. Tapi saya yakin itu akan melibatkan JavaScript dan itu menjadi terlalu rumit. Mereka sudah menyertakan opsi HttpOnly, jadi mereka melakukan banyak hal untuk mencegah hal ini menjadi lebih besar.
Apakah Anda punya saran lain untuk desainer web yang mengelola situs WordPress?
TJR: Pastikan setiap orang yang memiliki akses admin ke situs Anda juga fokus pada prosedur sanitasi untuk semua perangkat lokal. Kami melihat semakin banyak situs yang terinfeksi karena malware di perangkat lokal admin. Itu dapat mencuri nama pengguna, kata sandi, dan cookie sesi.
2FA dapat menghentikan penggunaan nama pengguna dan kata sandi, tetapi tidak dapat menghentikan penggunaan cookie sesi. Beritahu semua pengembang untuk logout! Ini cukup sederhana dan 100% efektif.
Satu hal yang mulai kita lihat adalah peretas menyerang dari perangkat lokal. Tidak mencuri cookie sesi atau apa pun, hanya membonceng sesi admin yang sah.
Kami melihat alamat IP resmi dari seorang admin, dan mereka sedang melakukan tugasnya, lalu tiba-tiba dari alamat IP yang sama di waktu yang sama, admin resmi tersebut bekerja – BAM! – plugin palsu dipasang dari alamat IP yang sama!
Peretas memiliki kendali atas perangkat lokal dan mereka menyerang dari perangkat tersebut. Hal ini mendukung fakta bahwa Anda HARUS memperhatikan kesehatan dan kesejahteraan perangkat lokal Anda.
Perangkat Anda Juga Merupakan Faktor Keamanan Situs Web
Komputer atau perangkat seluler yang disusupi dapat memengaruhi keamanan situs web Anda. Di permukaan, teori ini masuk akal. Namun, kita biasanya tidak banyak mendengarnya.
Keamanan situs web biasanya berarti fokus pada situs itu sendiri. Kami berupaya menyaring lalu lintas berbahaya. Dan kami menerapkan berbagai metode untuk mencegah serangan langsung.
Sudah waktunya untuk melihat perangkat kita juga. Anda tahu, sistem yang kami gunakan untuk masuk ke situs web kami. Keamanan yang baik harus dimulai dari sana.
Pencuri informasi dapat menimbulkan kerusakan yang tak terhitung hanya dalam hitungan detik. Kita tidak akan tahu akibatnya sampai semuanya terlambat. Mari kita lakukan sesuatu.
Ikuti praktik terbaik untuk mengamankan perangkat Anda – dan dorong klien serta kolega Anda untuk melakukan hal yang sama. Beberapa langkah sederhana dapat mencegah bencana.
Dan untuk mengikuti saran Raef: Pastikan untuk keluar dari situs web Anda! Cookie sesi yang kedaluwarsa tidak ada gunanya. Jadi, tidak ada salahnya.
Terima kasih banyak kepada Thomas J. Raef karena telah mengobrol dengan kami! Lihat lebih lanjut saran keamanannya di Kami Menonton Situs Web Anda.
Atas