Melindungi WordPress dari Serangan XSS dan Clickjacking
WordPress adalah salah satu content manageent system paling populer di dunia. Bagaiman tidak, sekitar 26,4 % website yang berada di interne saat ini berjalan menggunakan sistem dari WordPress. Dan, WordPress telah diinstal sebanyak 76 juta kali di seluruh dunia. Bukan tanpa sebab kenapa WordPress menjadi CMS dengan pemakai terbanyak di dunia. Namun karena kepopulernannya, menjadikan website berbasis WordPress incaran para peretas alias hacker yang bertebaran di internet. Berbagai serangan menargetkan situs berbasis WordPress setiap harinya. Dari sekian serangan yang yang selalu menghantui web berbasis WordPress, serangan XSS atau Cross Site Scripting dan Clickjacking menjadi jenis serangan yang paling banyak ditemui saat ini. Sebelum membahas mengenai cara melindungi WordPress dari serangan XSS dan clickjacking, kamu harus mengetahui dulu apa itu XSS dan clickjacking, berikut cara kerja keduanya.
Contents
- 1 Apa itu XSS
- 2 Apa itu Clickjacking
- 3 Cara Mengamankan Situs Website dari Serangan Peretas
- 3.1 1. Pastikan Selalu Mengaktifkan Fitur Auto Update
- 3.2 2. Hindari Penggunaan Nama Admin sebagai username
- 3.3 3. Aktifkan 2-Step Authentication
- 3.4 4. Jangan menggunakan theme dan plugin WordPress Bajakan
- 3.5 5. Pindahkan website WordPress ke Web Hosting yang Lebih Aman
- 3.6 6. Lakukan Backup Sesering Mungkin
- 3.7 7. Hapus tema dan plugin yang tidak digunakan
Apa itu XSS
Cross Site Scripting atau yang biasa disingkat dengan XSS adalah sebuah serangan beruapa penyusupan kode script kedalam sebuah situs. Hal ini hanya akan berhasil apabila situs yang diserang tersebut memiliki fitur yang menampilkan kembali isian form pada tampilan web browser, contohnya form komentar. Serangan XSS juga bisa disebut sebagai HTML injection sebagai istilah yang lebih spesifik untuk serangan berjenis penyusupan kode.
Mengapa XSS berbahaya
Dengan menggunaka metode XSS, peretas bisa melakukan beberapa hal yang merugikan penggunna.
- Memiliki akses ke sema objek yang memiliki akses ke halaman web lainnya. Salah satunya adalh cookie pengguna. Cookie biasanya digunakan untuk menyimpan sesi pengguna.Jika peretas berhasil mendapatkan cookie sesi pengguna, mereka dapat menyamar menjadi pengguna, melakukan tindakan mengatasnamakan pengguna, dan emdapatkan data-data sensitif pengguna.
- Memperoleh skses ke geolokasi pengguna,, webcam, microfon, dan file-file tertentu dari sistem file pengguna. Sebagian besar API ini mengahruskan pengguna untuk ikut serta, au memberi izin, namun dengan mengguakan social engineering, penyerang dapat melampaui batasan itu.
Untuk mencegah terjadinya sebagan XSS, yang harus kamu lakukan adalah senantiasa membersihkan inputmu. Kode aplikasimu esharusnya tak pernah menampilkan data yang diterima sebagai input langsung ke browser tanpa memeriksa kode yang berbahaya.
Apa itu Clickjacking
Clickjacking adalah sebuah serangan yang bekerja dengan cara menggiring pengguna untuk mengklik tombol yang muncu di halaman muka sebuah website Biasanya ini ditemui ketika selesai loading website terjadi. Misalnya, kamu sedang membuka sebuah website, mendapati pilihan “klik disini untuk mendapatkan laptop gratis”. Bagi orang awam, mendapati tampilan seperti itu tentu saja sangat menggiurkan. Begitu kamu mengklik, program jahat yang sudah dipasang oleh penyerang akan bekerja. Dengan kata lain, tempilan website tersebut telah dimanipulasi oleh si penyerang dengan menambah layer-layer yang menutupi tampilan halaman asli website tersebut. Sungguh mengerikan.
Cara Mengamankan Situs Website dari Serangan Peretas
Diawal artikel ini WordPress disebut sebagai CMS yang sangat rentan dengan serangan hacker. Untuk itu, kamu harus melakukan berbbagai langkah pencegahan untuk mengurangi kemungkinan serangannya. Kamu bisa meminta bantuan tim support dimana kamu menyewa hosting. namun untuk lebih jelasnya, silakan ikuti langkah-langkah pengamanan WordPress berikut ini:
1. Pastikan Selalu Mengaktifkan Fitur Auto Update
Ini adalah langkah pertama yang penting namun sering dilupakan. Jika kamu ingin memilik website yagn bebas dari serangan malware dan virus jahat lainnya, kamu harus memastikan bahwa WordPress yang kamu gunakan selalu berada di versi yang paling baru. Dengan melakukan update version, kemanana WordPressmu secara otomatis juga terupdate. Namun biasanya ini hanyalah update minor saja. Untuk melakukan update total, kamu harus melakukannya secara manual.
2. Hindari Penggunaan Nama Admin sebagai username
Bila kamu adalah orang yang sering menggunakan nama admi sebagai username, sebaiknya mulai sekarang gunakanlah username yang lain. Kenapa? Karena dengan menggunakan username Admin, kamu telah memberikan peluang kepada peretas untuk mengacak-ngacak websitemu. Cara yang paling direkomendasikan adalah mengganti user admin denngan username yang baru.
Caranya adalah, masuk dashboard WP, lalu pada bagian user, klik menu add new. Buat sebuah user baru dan berikan role administrator untuk user tersebut. Lalu logut dan loginkembali menggunakan user yang baru tadi, lalu masuk kembali ke menu users, dan hapuslah username admin.
3. Aktifkan 2-Step Authentication
Password tak cukup untuk melidungi akunmu dari tangan orang jahil. Kamu bisa mengaktikan 2 step auntenkator untuk lebih mengamankan akunmu. Fitur ini memberikan langkah tambahan ketika kamu akan login ke akunmu. Memang terkesan ribet, tetapi ini akan memberikan keamanan lebih untukmu.
4. Jangan menggunakan theme dan plugin WordPress Bajakan
Tema dan plugin wordpress banyak tersedia di internet. Kamu bisa mendaptkannya dengan mudah dari berbagai sumber. Namun menggunakan tema dan wordpress yang tidak resmi alias bajakan, akan mengantarkanmu pada risiko yang besar pada kemanan websitemu. Tak sedikit tema dan plugin WordPress bajakan yang telah disusupi malware, black hat SEO, dan program-program jahat lainnya.
5. Pindahkan website WordPress ke Web Hosting yang Lebih Aman
Salah satu alasan yang membuat sebuah website WordPress rentan dengan serangan adalah adanya celah keamanan di akun hosting. Untuk itu,kamu harus mengevaluasi apakah selama ini hosting yang kamu gunakan sudah cukup memberikan perlindungan optimal. Kalau kamu merasa demikian, baiknya segera memindahkan hoting website wordpressmu. Sebelum memindahkan hosting website WordPressmu, ada beberapa pertimbangan yang harus kamu lakukan terkait pemilihan penyedia layana hosting.
- Jika kamu memilih shared hosting, pastikan akunmu terpisah dari pengguna lain dan tidak ada risiko satu website terinfeksi virus yang kemungkinan menyebar melalui server yang sama.
- Memiliki fitur backup
- Memiliki firewall di sisi server dan fitur scanning virus.
6. Lakukan Backup Sesering Mungkin
Patut kamu ketahui, bahwa serangan terhadap sebuah website hampir terjadi setiap hari. Apalai kalau websitemu adalah website yang memiliki pengnjung besar setiap harinya, bisa dipastikan akan banyak orang iseng yang mengincar websitemu. Untuk itu kamu tak boleh lupa untuk selalu mem-backup websitemu secara berkala. Ada banyak cara untuk melakukan backup suatu website, namun yang paling mudah adalah menggunakan fitur backup yang disediakan oleh penyedia web hostingmu.
7. Hapus tema dan plugin yang tidak digunakan
Bersihkan website WordPressmu dari tema dan plugin yang sudah tidak digunakan. Karena peretas sering melakukan scanning temaatau plugin yang tidak update, lalu mendaptkan akses masuk ke dashboard websitemu. Dengan menghapus tema atau plugin yang tidak digunakan lagi, berarti kamu telah mengurangi risiko dari kemungkinan serangan peretas yang mencoba mengakses websitemu melalui tema yagn sudah tidak dgunakan lagi.
Itulah tadi apa yang dimaksud dengan serangan XSS dan clickjacking. Juga telah di jabarkan bagaimana melindungi WordPress dari serangan XSS dan clickjacking. Untuk memperkecil kemungkinan peretas, pastikan kamu memilih web hosting terbaik yang mempunyai fitur keamanan terbaik. IDwebhost sebagai penyedia layanan hosting terbaik sekaligus harga termurah di Indonesia mempunya beragam fitur keamanan untuk memastikan websitemu dari aman dari gangguan peretas. Semoga bermanfaat!
Member since 6 Sep 2019