Web membuat hidup kita lebih nyaman. Kita bisa memesan T-shirt atau pizza dengan beberapa klik. Kita dapat melakukan penelitian global tanpa meninggalkan tempat duduk kita. Ini telah mengubah cara kita melakukan apa saja.
Sebagai desainer web, kami berupaya untuk menambah lebih banyak kenyamanan. Kami menggunakan sistem untuk “mengingat” pengguna. Kami menyimpan informasi pelanggan di cloud. Fitur-fitur ini memudahkan orang dalam menyelesaikan sesuatu.
Pengalaman pengguna yang lancar adalah tujuannya. Ini bermaksud baik dan berpotensi menguntungkan. Namun, sering kali ada biaya dalam hal keamanan.
Pelaku kejahatan memanfaatkan kemudahan ini. Metode seperti mencuri cookie sesi adalah hal yang lazim. Oleh karena itu, tetap masuk ke situs web Anda adalah sebuah risiko.
Itu hanyalah puncak gunung es. Memang benar, menjadikan web lebih aman berarti mengurangi kenyamanan. Berikut adalah beberapa contoh tampilannya. Selain itu, kita akan membahas mengapa tindakan ini mungkin bersifat sementara.
Menggunakan Otentikasi Dua Faktor di Mana Saja
Semakin sulit untuk menghindari otentikasi dua faktor (2FA). Metode ini diterapkan di mana saja – termasuk situs WordPress Anda.
Idenya sangat masuk akal. Lapisan otentikasi tambahan berarti seorang peretas membutuhkan lebih dari sekedar nama pengguna dan kata sandi. Mereka tidak dapat mengakses akun Anda tanpa kode 2FA.
Namun, 2FA masih jauh dari sempurna. Cookie sesi yang dicuri tersebut adalah buktinya. Seorang peretas dengan cookie yang valid dapat melewati persyaratan login lainnya.
Ditambah lagi, 2FA merepotkan pengguna. Pikirkan tentang waktu ekstra yang diperlukan untuk masuk ke setiap situs web yang Anda gunakan. Hal ini membuat orang ingin tetap login – dan berisiko dicurinya cookie sesi.
Bantuan mungkin sudah di depan mata. Kunci sandi siap untuk menyederhanakan proses login – dengan tetap menjaga keamanan terbaik.
Kunci sandi bergantung pada perangkat pengguna untuk menggantikan nama pengguna dan kata sandi. Pengguna mengautentikasi menggunakan metode yang sama yang mereka gunakan untuk membuka kunci perangkat mereka. PIN dan biometrik adalah contohnya.
Itu mungkin bisa meringankan bebannya. Namun kita mungkin akan terjebak dengan metode yang ada saat ini lebih lama lagi.
Mengunci File WordPress
Ekosistem tema dan plugin adalah bagian besar dari WordPress. Anda dapat menambahkan item baru atau memperbarui item yang sudah ada. Semuanya dilakukan dalam satu dasbor. Sekali lagi, ini adalah fitur yang sangat nyaman.
Masalahnya dimulai ketika akun pengguna disusupi. Aktor jahat dapat menambahkan segala jenis malware. Dan mereka tidak harus menjadi administrator. Beberapa kerentanan memungkinkan pengguna yang lebih kecil untuk melewati izin WordPress.
Jawabannya tampaknya mengunci instalasi WordPress Anda. Misalnya, sebuah situs mungkin mengizinkannya lingkungan pementasan untuk menulis ke file. Itu memungkinkan Anda menambah atau memperbarui perangkat lunak. Tapi itu juga akan dilindungi oleh masuk HTTP.
Itu tempat produksi akan memungkinkan untuk mengunggah file media – tetapi tidak yang lain. Artinya, instalasi tema atau plugin apa pun harus berasal dari staging terlebih dahulu. Hal yang sama berlaku untuk pembaruan.
Ya, ini adalah langkah ekstra. Tapi itu layak untuk dilakukan. Metode ini tidak hanya meningkatkan keamanan. Ini juga merupakan praktik terbaik untuk pengujian. Hal ini dapat mencegah masalah pada situs-situs penting.
Namun, tidak semua host web menawarkan staging. Atau cara mudah untuk mengunci instalasi. Tapi ini mungkin pilihan terbaik sampai sesuatu yang lebih baik datang.
Omong-omong, penyedia keamanan sedang merancang strategi baru. Itu bisa memberikan keseimbangan antara keamanan dan kemudahan penggunaan.
Membatasi Eksekusi Kode dalam Konten Situs
Terkadang, kita perlu mengeksekusi kode dalam konten situs. Misalnya, kami mungkin menyematkan JavaScript dari jaringan periklanan ke dalam postingan blog.
WordPress memfasilitasi ini melaluinya HTML khusus memblokir. Beberapa plugin juga mengaktifkan penambahan cuplikan kode.
Ini adalah fitur yang berguna. Anda dapat menambahkan segala macam widget pihak ketiga yang melibatkan pengguna. Mereka mungkin juga menghasilkan pendapatan.
Ini juga merupakan cara mudah untuk memasukkan kode berbahaya. WordPress mencoba melakukannya membersihkan memasukkan. Namun, tidak semua tema dan plugin mengikuti praktik terbaik. Kode yang tidak disanitasi dapat menginfeksi situs Anda – dan berdampak pada pengguna.
Membatasi eksekusi kode adalah salah satu cara untuk mencegah masalah keamanan. Anda mungkin menonaktifkan blok HTML Khusus, misalnya. Anda juga bisa membuat Header keamanan HTTP di tingkat server.
Kecerdasan buatan (AI) akan segera menjadi salah satu faktornya. Alat yang dapat mendeteksi kode berbahaya secara real-time mungkin dapat mencegah serangan berhasil. Hal ini akan memberdayakan pengguna tanpa menimbulkan banyak masalah keamanan.
Situs Web yang Aman Membutuhkan Pengorbanan
Keamanan menempatkan desainer web pada posisi yang sulit. Kami berusaha keras untuk membangun pengalaman pengguna yang luar biasa. Kami ingin membantu klien kami melakukan pekerjaannya dengan mudah.
Namun kami juga ingin situs web kami aman. Hal ini mengharuskan kita mengambil beberapa keputusan sulit. Apakah kita mengorbankan kenyamanan demi keselamatan?
Jawabannya tampaknya “ya” untuk saat ini. Metode login yang tidak aman dan folder yang dapat ditulisi berisiko. Begitu juga dengan mengizinkan pengguna untuk mengeksekusi kode dalam konten mereka. Dan tampaknya malware terus berkembang pesat di lingkungan ini.
Oleh karena itu, menutup jalur serangan ini adalah hal yang masuk akal. Meskipun hal itu menimbulkan rintangan tambahan bagi pengguna.
Namun, kita masih bisa berharap untuk masa depan yang lebih baik. Munculnya kunci sandi dan keamanan berbasis AI mungkin merupakan hal yang kita perlukan. Waktunya tidak bisa segera tiba.
Atas