in

Ancaman Keamanan Website eCommerce WordPress & WooCommerce

TokoDaring.Com – Ancaman Keamanan Website eCommerce (WordPress & WooCommerce). Beberapa hal berikut adalah beberapa ancaman yang nyata dan selalu mengancam website eCommerce.

Tentu saja beberapa yang kami terangkan berikut adalah ancaman keamanan website eCommerce secara umum, bukan hanya WordPress, tapi juga website yang dibuat menggunakan platform manapun.

Namun, kami ingin mempersempit konteks artikel ini sebagai masalah keamanan website eCommerce yang dibuat menggunakan WordPress dan WooCommerce.

Laporan Wordfence tentang serangan siber yang terjadi selama tahun 2020 mengungkap ada lebih dari 2.800 serangan per detik yang targetnya adalah website WordPress.

Ini sebenarnya bukan berarti bahwa setiap serangan itu menargetkan website eCommerce WordPress secara khusus. Ada beberapa metode hacking yang sifatnya adalah menargetkan website secara random.

Tetapi karena WordPress adalah CMS paling populer yang paling banyak digunakan dari seluruh populasi website diseluruh dunia. Maka secara probabilitas, WordPress juga yang paling banyak diretas.

Setiap ancaman-ancaman atau serangan di dunia maya memang membuang waktu, energi, dan bahkan uang.

Namun yang paling serius bagi bisnis eCommerce adalah bahwa itu dapat mengancam reputasi bisnis anda, terutama jika serangan tersebut secara langsung merugikan pengunjung atau pelanggan situs website anda.

Ketimbang menghitung-hitung secara statistik seberapa banyak dan dampak serangan yang mengancam website eCommerce anda, akan lebih penting untuk mengenali dan memahami masalahnya.

Paling tidak ketika kita mengenali dan memahaminya, anda bisa bersiap untuk satu atau beberapa masalah lainnya. Itu karena setiap serangan siber yang berbeda, mungkin dikarenakan dari penyebab yang sama.

Itu juga berarti ketika anda menggunakan satu cara untuk membendung satu metode hacking, itu berarti juga dapat membendung metode hacking lainnya.

Artikel ini membahas beberapa masalah dan ancaman keamanan website eCommerce secara umum, (namun kami mempersempitnya hanya dalam konteks WordPress & WooCommerce).

Tentu saja dengan langkah-langkah yang bisa diambil untuk memastikan bahwa data dan pengguna website eCommerce anda bisa merasa aman.

Note : Beberapa istilah ancaman-ancaman keamanan website eCommerce pada artikel ini tidak di artikan kedalam bahasa indonesia, melainkan tetap dalam istilah bahasa inggris.

Ancaman keamanan website eCommerce

Outdated software inti (Core file)

Apapun website builder yang digunakan, itu merupakan sebuah software yang juga dibuat dan dikembangkan menggunakan bahasa pemrograman.

WordPress misalnya, dibuat menggunakan bahasa PHP. Adalah bahasa pemrograman sumber terbuka (open source) yang banyak digunakan untuk pengembangan website dan dapat disematkan ke dalam HTML.

Pengembang atau organisasi dibalik pengembangan PHP tentu saja akan terus meningkatkan fungsionalitas dan juga keamanan untuk tetap memberikan pengalaman pengguna yang baik.

Lalu WordPress meluncurkan pembaruan rutin, baik mengikuti perkembangan bahasa PHP atau yang lebih seringnya adalah untuk meningkatkan fungsi, fitur, perform dan keamanan platformnya sendiri.

Misalnya ketika akhir tahun 2020 lalu terdapat release PHP 8 dari sebelumnya PHP 7.4.x.x. Seharusnya -meskipun secara bertahap pembaruan itu harus diikuti juga oleh WordPress, para pengembang tema dan plugin dan juga provider hosting untuk menyesuaikan pada versi PHP baru tersebut.

Meskipun pembaruan mengikuti ke versi baru php memang tidak bisa benar-benar dilakukan dengan segera. Butuh waktu hingga beberapa bulan atau beberapa tahun kedepan agar semuanya bisa benar-benar ‘pindah’ ke PHP 8.

Jika memang belum memungkinkan untuk benar-benar menggunakan PHP 8, paling tidak pastikan bahwa PHP 7.4.x.x masih merelease pembaruan untuk anda ikuti.

Jika tiba saatnya versi lawas tersebut tidak lagi mengeluarkan maintenance releasenya, itu seharusnya anda sudah benar-benar meninggalkannya.

Outdated tema dan plugin

Yang menarik dari menggunakan WordPress adalah simple. Dimana anda tidak perlu menulis kode apapun, terutama untuk mendesain hingga membuat sebuah website eCommerce secara keseluruhan.

Itu karena banyaknya pengembang pihak ketiga yang membuat ribuan tema dan plugin yang unik untuk dapat digunakan sesuai dengan yang diinginakan.

Hampir setiap niche atau bidang bisnis dapat terakomodasi oleh tema yang ditawarkan oleh para pengembang tersebut.

Sumber utama untuk menemukan tema website gratis adalah melalui halaman repository tema. Ketika anda menginginkan fitur yang lebih baik, anda bisa melakukan upgrade ke versi premium.

Namun, ini ternyata membuat anda harus sedikit hati-hati. Plugin atau tema yang anda gunakan mungkin saja outdated, atau istilahnya adalah kadaluwarsa.

Ketika anda tetap menggunakan tema atau plugin yang kadaluwarsa, maka itu berarti sedang berhadapan dengan ancaman dan risiko keamanan.

Bahkan tema dan plugin yang up to date juga masih memiliki peluang ancaman keamanan dimana terdapat lubang yang terbuka.

Developer tema dan plugin seringkali merilis pembaruan baik untuk meningkatkan fitur dan fungsionalitasnya, maupun patch tambalan ketika mereka melihat ada lubang pada software mereka.

Setiap kali terdapat pembaruan pada file core WordPress maupun PHP seharusnya diikuti juga pembaruan pada level tema dan plugin.

Ketika pihak pengembang tidak melakukan ini, mungkin ada satu atau beberapa fungsi yang tidak bekerja semestinya dan itu akan menjadi titik masuk eksploitasi (peretasan).

Dan jika peretasan itu benar-benar terjadi, maka seorang peretas (hacker), bukan tidak mungkin mereka akan dapat mengambil alih dan mendapatkan kendali atas sebuah situs.

Kenapa dua hal diatas membuat website eCommerce WordPress menjadi rentan ?

Kenapa keduanya, baik file core dan file tema, plugin dan ekstensi yang usang bisa menjadi ancaman keamanan website eCommerce anda ?

Baik file core, tema, plugin atau ekstensi yang usang memang dapat menjadi sangat rentan akan aksi-aksi hacking.

Pembaruan atau patch biasanya dirancang untuk mengatasi masalah keamanan yang kritis dimana seorang yang tidak bertanggung jawab bisa saja memanfaatkan celah itu.

Contoh exploit

Contoh exploit WordPress terakhir yang kami dengar adalah WordPress Stored XSS Vulnerability didalam file inti WordPress.

XSS Vulnerability tersebut memungkinkan seseorang dapat secara langsung mengunggah skrip ke dalam situs website dengan cara mem-bypass proteksi sanitisasi.

Bagaimana mencegahnya

  • Memantau berita-berita pembaruan.
    • Pantau berita-berita pembaruan, anda bisa mendapatkannya dari website official baik WordPress, plugin keamanan atau website yan memantau masalah-masalah keamanan.
  • Menggunakan plugin keamanan.
    • Pastikan dan menggunakan plugin keamanan.
  • Menggunakan layanan keamanan.
    • Layanan keamanan agak sedikit berbeda dengan layanan keamanan. Layanan keamanan memberikan ekstensi perlindungan yang lebih dari plugin keamanan yang anda pasang.

Menggunakan plugin versi premium mungkin akan membuat anda merogoh kocek. Tapi biasanya anda juga akan mendapatkan layanan keamanan sebagai bagian dari fasilitas plugin premium tersebut.

Brute force attack

Brute force attack adalah ancaman keamanan website eCommerce yang mungkin paling banyak dilakukan. Maklum, untuk menjalankan metode ini bahkan tidak memerlukan keahlian atau skill khusus.

Brute force attack adalah dimana hacker menggunakan bot untuk mencoba masuk atau login kedalam website anda dengan mengkombinasikan nama pengguna (user name) dan password secara acak.

Brute force attack akan menjadi berhasil jika si penyerang berhasil menemukan kombinasi username dan password lalu masuk dan mengakses dashboard anda dengan level hak yang paling tinggi.

Lihat disini tentang apa itu brute force attack, apa yang menyebabkannya dan bagaimana mengatasinya.

Malware

Malware adalah istilah yang sangat luas. Malware bukanlah sekedar ancaman keamanan website eCommerce saja. Malware bisa menyusupi perangkat lunak (software) apa saja, website, aplikasi desktop dan mobile, email bahkan aplikasi otomotif.

Peretas atau hacker dapat menempatkan file malware di dalam file website atau menanam kode dan bersemayam hanya untuk mencuri setiap data dari situs website, data pengunjung bahkan data transaksinya.

Apa yang menyebabkan malware menjadi ancaman keamanan website eCommerce WordPress ?

Kami yakin anda pernah mendengar apa yang disebut dengan nulled theme atau nulled plugin. Adalah plugin premium dengan banyak kemampuan dan fitur, namun bisa didapatkan secara gratis melalui website-website download yang menyediakannya.

Nulled theme atau nulled plugin sangat mirip dengan versi crack dari software desktop. Atau seperti jika misalnya anda menggunakan OS Windows bajakan. Dimana anda tidak mungkin mendapatkan update atau versi pembaruan.

Karena tidak adanya security maintenance yang dimaksud, maka nulled theme, nulled plugin atau software bajakan biasanya penuh dengan lubang atau bahkan sudah disusupi oleh malware.

Penyebab lainnya website yang disusupi malware adalah anda meninggalkan proses pembaruan pada file inti, tema dan plugin yang anda gunaan seperti pada point nomor 1 dan 2 yang sudah kami jelaskan.

Bagaimana mencegahnya

Tentu saja untuk tidak coba-coba menggunakan nulled theme atau plugin. Jangan juga gunakan tema dan plugin yang tidak di maintenance oleh pihak pengembangnya.

Sesekali dan secara berkala anda dapat menggunakan tools online untuk melakukan scanning file-file instalasi WordPress anda.

SQL injection

SQL (Structured Query Language) adalah bahasa pemrograman yang digunakan untuk mengakses data anda yang disimpan di situs website.

SQL adalah bahasa yang juga digunakan oleh WordPress untuk memanage basis data. SQL sudah tentu aman, tapi banyak pihak jahat yang justru menggunakannya untuk mencari celah disitus website eCommerce anda.

Ketika proses SQL injection dilakukan, peretas akan dapat melihat dan memodifikasi database secara langsung, hacker dapat menggunakan SQL untuk membuat akun baru.

Dalam kondisi serangan yang tidak berbahaya mereka mungkin hanya akan menambahkan tautan dan konten yang tidak sah.

Namun dalam konteks serangan yang serius, mereka bisa mengambil dan membocorkan, mengedit, dan menghapus data.

Seringkali tentu saja mereka ingin mengambil keuntungan dengan menjual data pelanggan anda di dark web.

Apakah website WordPress rentan akan hal ini ?

Ini juga merupakan ancaman keamanan website eCommerce WordPress yang bisa jadi sangat serius. Situs website WordPress sesungguhnya dirancang sebagai CMS untuk konteks penerbitan dan blogging.

Anda bisa menemui bahwa disetiap artikel WordPress selalu terdapat kolom untuk memberikan komentar. Atau terdapat contact form pada setiap halaman tentang kami atau halaman kontak.

SQL injection seringkali menggunakan form-form itu sebagai jalan masuk mereka. Peretas dapat memasukkan kode berbahaya yang akan berjalan dan melakukan perubahan apapun dari dalam.

Bagaimana mencegahnya

Batasi penggunaan karakter khusus (special character) pada setiap form yang dapat digunakan oleh pengguna dari luar.

Memasang captcha di website eCommerce anda juga merupakan langkah yang baik untuk mencegah percobaan SQL injection yang menggunakan bot.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) adalah metode serangan atau ancaman keamanan website eCommerce yang mirip-mirip dengan SQL injection. Mencoba menanam kode berbahaya yang akan dijalankan pada file sistem anda dengan menargetkan fungsionalitas halaman website.

Facts about XSS

Kenapa XSS dijadikan kependekan dari Cross-Site Scripting ? Bukankah seharusnya CSS lebih tepat ? Tentu saja itu karena CSS sudah digunakan untuk kependekan dari cascade style sheet. Temukan fakta-fakta lainnya tentang apapun dihalaman fun facts.

Kenapa situs WordPress rentan terhadap metode serangan XSS ?

Satu website WordPress biasanya terdiri dari banyak plugin pihak ketiga. Ketika anda menggunakan plugin atau tema WordPress dengan metode coding yang buruk atau tidak dimaintain lagi, maka itu merupakan jalan masuk bagi hacker melancarkan metode ini.

Bagaimana anda dapat mencegahnya ?

Selalu lakukan update jika itu tersedia, baik untuk core (platform, tema, plugin dan extention). Pastikan dan menggunakan software pihak ketiga (plugin, extentions) dari pengembang dengan reputasi yang baik..

Website firewall merupakan aplikasi yang ampuh untuk memeriksa trafik lalu mencegah pengunjung yang tidak disetujui untuk memasuki sistem.

DoS atau DDoS

ancaman keamanan website ecommerce
Ancaman keamanan website ecommerce / Img src : id.wikipedia.org

Serangan Denial-of-Service (DoS) dan Distributed Denial-of-Service (DoS) dilakukan dengan mengirimkan begitu banyak trafik (flooding) ke server yang ditargetkan hingga mengakibatkan crash.

Ini bertujuan untuk memblokir pengunjung -yang sah untuk mengakses situs website hingga menghapus semua situs website yang dihosting pada server itu. Serangan DDoS dilakukan secara bersamaan dengan menggunakan lebih dari satu mesin (botnet).

Kenapa serangan DoS dan DDoS menjadi ancaman keamanan website eCommerce secara umum

Tampaknya metode serangan DoS dan DDoS bukanlah ancaman keamanan website ecommerce WordPress saja, melainkan website manapun.

Itu karena serangan DoS dan DDoS menargetkan server hosting, server atau hosting provider dengan keamanan terbatas mungkin akan sulit untuk mengatasi metode serangan ini.

Bagaimana mencegahnya

Anda tidak bisa hanya mengandalkan plugin keamanan untuk yang satu ini. Pertahanan paling baik terhadap serangan DoS dan DDoS adalah hosting website yang benar-benar bisa diandalkan.

Artikel kami berikut tentang bagaimana memilih hosting yang tepat dengan perlindungan DDoS enterprise membantu anda menghadapi serangan DDoS yang berbahaya.

Cross-site Request Forgery (CSRF)

Cross-site Request Forgery (CSRF) merupakan salah satu ancaman keamanan website eCommerce yang memungkinkan penyerang memengaruhi pengguna untuk mengambil tindakan yang tidak mereka inginkan.

Sesuai namanya yang jika diartikan kedalam bahasa indonesia adalah Pemalsuan Permintaan Lintas Situs. Dengan metode ini, hacker dapat ‘membujuk’ pengguna untuk mengubah alamat email, mengubah password, bahkan mentransfer uang.

Bagaimana mencegahnya

Anda dapat mencegah serangan CSRF dengan mengontrol penuh setiap plugin yang diguanakan di situs website anda.

Plugin memang penting karena dapat menambah kemampuan dan fungsi bisnis anda. Tapi pastikan bahwa plugin yang anda gunakan adalah berasal dari sumber yang terpercaya.

Plugin keamanan juga bisa membantu membuat website eCommerce anda tetap aman dari semua jenis ancaman, termasuk serangan CSRF.

Hal lainnya yang bisa dilakukan untuk mencegah serangan ini adalah dengan mengeraskan situs website dengan metode otentikasi dua faktor dan menonaktifkan editor file dan eksekusi PHP di folder yang tidak tepercaya.

Supply Chain Attack

Supply chain attack atau juga sering disebut third-party attack. Yaitu ketika seseorang menyusup ke dalam sistem melalui provider yang memiliki akses ke dalam sistem dan database.

Dalam konteks website WordPress ini berarti bisa melalui plugin atau tema yang anda gunakan. Kemungkinannya bisa terjadi dari dua kesempatan berikut.

Pihak pemilik plugin (developer) memasang malware di situs website yang menggunakan plugin tersebut. Atau peretas membeli plugin populer dan memasukkan kode spam yang disamarkan sebagai pembaruan (update).

Dari keduanya, si hacker sama-sama ingin mendapatkan akses tepat ke dalam sistem. Lalu mencoba mengakses file-file yang krusial hingga membuat kekacauan.

Apakah WordPress rentan akan serangan supply chain attack ?

Supply chain attack memang seharusnya dianggap sebagai ancaman keamanan website eCommerce yang serius. Terlebih situs website eCommerce WordPress anda mungkin ditenagai oleh banyak plugin.

Bagaimana mencegah supply chain attack ?

Rutin melakukan pembaruan dan memilih sumber plugin dan tema yang terpercaya adalah hal yang harus selalu anda perhatikan.

Ada baiknya untuk tidak menggunakan plugin jika anda hanya ingin membuat fungsi dan fitur sederhana yang sebenarnya itu bisa dilakukan dengan membuat fungsi php kustom.

Kami sering menulis dan menerbitkan tips-trik seputar modifikasi dan kustomisasi website eCommerce yang di buat menggunakan WordPress dan WooCommerce. Anda bisa menemuinya di halaman arsip artikel kategori coding for fun.

Phishing

Phishing yang berasal dari kata fishing. Yup fishing alias menangkap ikan, begitu pula metode yang dijalan oleh hacker pada teknik serangan phising ini.

Mereka menebar umpan yang biasanya adalah sebuah link, baik via seksi komentar di halaman blog post, email dan bahkan via aplikasi chat. Lalu berharap ada orang yang akan melakukan klik pada link berbahaya tersebut.

Mengapa situs eCommerce WordPress anda rentan akan hal ini ?

Tampaknya anda harus mulai memperhatikan seksi komentar pada setiap artikel konten yang anda terbitkan.

Halaman konten anda tentu bagus untuk menarik pengunjung dan menjadikannya calon pelanggan. Dan WordPress sebagai CMS sejatinya memang dibuat untuk dapat berinteraksi satu sama lain via seksi komentar.

Namun kini, jangan biarkan seksi komentar tersebut terbuka tanpa tools atau perangkat keamanan. Memasang captcha adalah cara terbaik untuk memastikan bahwa komentar yang masuk memang benar-benar dari pengunjung manusia dan bukan dari BOT.

Simak disini tentang cara memasang captcha di website eCommerce WordPress anda.

Hotlinking

Hotlinking adalah ketika orang lain menggunakan aset berupa gambar, video atau file audio yang ada pada website eCommerce anda tanpa izin atau memberikan kredit dengan cara mengambilnya langsung dari folder server anda.

Sekilas ini tampak bukan ancaman keamanan website eCommerce yang serius. Tapi faktanya hotlinking dapat membebani performa website bisnis eCommerce yang anda kelola.

Ketika performa website mendapatkan beban yang tidak seharusnya, ini mungkin bisa membuat bisnis berjalan tidak efisien. Ada ekstra bandwith yang masuk ke dalam tagihan dan harus anda bayarkan.

Tampaknya hotlinking juga bukan tipe ancaman yang dilakukan oleh kalangan hacker profesional, praktik ini mungkin dilakukan oleh kalangan yang sekedar iseng dan mengambil jalan pintas.

Mengapa situs WordPress rentan akan hal ini dan bagaimana mencegahnya ?

Bukan hanya situs website WordPress, website dengan platform lainnya juga sepertinya memiliki peluang untuk menerima ancaman ini karena link atau tautan internet yang fleksible memungkinkan akan hal tersebut.

Mencegah hotlinking

Beberapa cara berikut bisa mencegah praktik ini dan tampaknya itu sangat mudah dilakukan.

  • Menambahkan watermark pada setiap aset yang diupload kedalam folder website anda adalah solusi sederhana. Watermark yang bisa digunakan adalah sebuah logo, Merk usaha atau mungkin nama domain.
  • Memanfaatkan fitur hotlink protection dari server hosting adalah semudah anda mengaktifkannya. Biasanya hosting provider website sudah menyediakan fitur ini sebagai nilai tambah yang bisa anda dapatkan. Coba saja eksplorasi panel anda dan aktifkan fitur tersebut.
  • Cara lainnya mencegah hotlinking adalah dengan menambahkan perintah direktif ke dalam file .htaccess sebagai berikut.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)example.com/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|php|png|css|pdf)$ - [F]

File upload vulnerability

Kerentanan lainnya yang tidak kalah berbahaya adalah file upload vulnerability. File upload vulnerability merupakan bentuk ancaman keamanan website ecommerce yang dibuat menggunakan WordPress.

Local vulnerability adalah di mana aplikasi memiliki kerentanan keamanan yang memungkinkan pengguna dengan niat buruk untuk mengunggah dan mengeksekusi file berbahaya. Sementara itu, kerentanan jarak jauh adalah ketika input pengguna dari suatu aplikasi digunakan untuk mengambil file jarak jauh dari internet dan kemudian menyimpan file tersebut secara lokal.

Mencegah file upload vulnerability

Lihat artikel ini untuk mencegah file upload vulnerability.

Kesimpulan : Ancaman keamanan website eCommerce

Bahwa internet adalah berkah teknologi bagi kita. Mempromosikan dan bahkan menjual produk kemanapun kita mau tanpa batasan, bahkan untuk pelaku usaha dan bisnis kecil sekalipun.

Tapi kita juga tahu bahwa internet bisa menjadi tempat yang menakutkan. Dan justru mendatangkan dampak kerugian dari bisnis eCommerce yang kita jalankan.

Ini mungkin terdengar berlebihan, tetapi penting untuk memahami kemungkinan risiko dan ancaman keamanan website eCommerce.

Sedikit meluangkan waktu untuk mendengarkan dan membaca informasi tentang update dan berita yang berkaitan dengan cyber security adalah satu dari banyak cara melindungi pertumbuhan bisnis eCommerce anda.

Written by TokoDaring

TokoDaring.Com - 'Majalah' online (online publishing),  sumber dan referensi teknis untuk membangun dan memaksimalkan performa bisnis toko online. Optimizing your store!

website builder bagi bisnis kecil

Website Builder

artikel bulan maret 2022

[Round-Up] Artikel Bulan Maret 2022