Apa itu Pelanggaran Kata Sandi?
Diterbitkan: 2022-06-10Apa itu pelanggaran kata sandi? Langkah apa yang harus Anda ambil untuk mencegahnya terjadi di situs WordPress Anda?
Sejak awal Internet dan formulir login situs web, kita semua telah diajarkan untuk menggunakan kata sandi yang aman dan tidak dapat dipecahkan untuk menjaga privasi online kita. Tetapi sebagai pemilik situs WordPress, ini bahkan lebih penting dari sebelumnya. Karena ancaman keamanan siber yang terus-menerus, Anda perlu mengambil langkah-langkah untuk menghindari pelanggaran kata sandi yang dapat menyebabkan peretas mengambil alih situs web Anda.
Dalam panduan ini, kami akan membahas risiko pelanggaran kata sandi dan bagaimana mereka digunakan untuk mengambil kendali penuh atas situs WordPress Anda. Kami juga akan menunjukkan kepada Anda apa yang perlu Anda lakukan untuk mempertahankan situs Anda dari pelanggaran kata sandi. Mari lihat.
Apa itu Pelanggaran Kata Sandi?
Singkatnya, pelanggaran kata sandi adalah ketika seseorang memiliki akses ke kata sandi Anda tanpa izin Anda. Pelanggaran kata sandi sering terjadi dalam skala besar, karena kumpulan besar nama pengguna dan kombinasi kata sandi dikompromikan. Pelanggaran kata sandi sering mengakibatkan kebocoran dan dump database. Dump database ini diungkapkan di web gelap atau bahkan dijual.
Pelanggaran kata sandi adalah masalah besar karena sejumlah alasan. Yang pertama, jelas, adalah bahwa peretas dapat memperoleh akses ke akun online Anda. Setelah kata sandi Anda termasuk dalam pelanggaran data, keamanan online Anda sangat berkurang.
Lebih buruk lagi, jika Anda menggunakan kembali kata sandi untuk beberapa akun, semua akun tersebut akan disusupi. Dalam Laporan Investigasi Pelanggaran Data Verizon baru-baru ini, lebih dari 70% karyawan menggunakan kembali kata sandi di tempat kerja mereka. Tetapi statistik terpenting dari laporan Verizon adalah bahwa 81% pelanggaran terkait peretasan memanfaatkan kata sandi yang dicuri atau lemah.
Apa itu Serangan Man-In-the-Middle (MITM)?
Ketika berbicara tentang pelanggaran kata sandi, penting untuk memahami serangan MITM, atau Man-In-the-Middle. Serangan Man in the Middle adalah istilah umum untuk setiap serangan dunia maya di mana peretas memposisikan diri pada posisi perantara antara pengirim dan penerima informasi atau data.
Contohnya adalah peretas berada di antara browser web pengguna dan situs web yang sedang mereka kunjungi. Dengan memposisikan diri mereka di tengah, ini memungkinkan penyerang untuk menguping dan, dalam banyak kasus, memodifikasi konten yang ditargetkan saat dikirim dan diterima di antara dua lokasi yang berbeda.
Ketika seorang peretas dapat menangkap kredensial masuk pengguna situs, mereka terkadang dapat menggunakan informasi itu untuk mendapatkan akses istimewa ke situs WordPress Anda. Dan jika mereka dapat menangkap kredensial administrator situs Anda, mereka akan dapat melakukan apa saja ke situs Anda sesuka mereka, termasuk mengarahkannya ke lokasi yang sama sekali berbeda.
Bagaimana Peretas Mencuri Kata Sandi dan Kredensial Untuk Masuk
Peretas menggunakan banyak teknik untuk mencuri kata sandi Anda, termasuk phishing, mencuri cookie otentikasi Anda, dan mengawasi koneksi yang tidak aman atau tidak terenkripsi.
Untuk memahami sepenuhnya bagaimana pelanggaran kata sandi terjadi dan bagaimana kredensial dapat dicuri, Anda harus terlebih dahulu melihat permintaan HTTP tidak aman yang berisi kredensial yang dikirimkan menggunakan alat pengembang bawaan browser.
Perlu diingat bahwa ini bukan serangan Man-In-the-Middle, tetapi tetap merupakan pelanggaran kata sandi. Dan informasi ini akan membantu mengilustrasikan apa yang perlu Anda cari nanti dalam proses ini.
Sekarang, kita perlu melihat apa yang dilihat peretas ketika mereka memeriksa lalu lintas HTTP yang tidak dienkripsi. Untuk contoh ini, kami menggunakan alat yang disebut Wireshare. Ini adalah alat analisis jaringan yang populer dan gratis yang dapat digunakan siapa saja. Pengguna jahat, yang berada di jaringan WiFi yang sama dengan Anda, dapat menggunakan alat tersebut untuk mendapatkan informasi sensitif yang tidak dienkripsi melalui HTTPS.
Bagaimana Persisnya Cookie Berkaitan Dengan Otentikasi Situs Web?
Selain mencuri kredensial login dan kata sandi Anda, peretas yang berpengetahuan luas juga dapat mencuri cookie otentikasi Anda dan menggunakannya untuk sepenuhnya menyamar sebagai Anda di situs web Anda.
Penting untuk dipahami bahwa HTTP adalah apa yang dikenal sebagai protokol stateless. Dengan kata lain, dalam HTTP, server tidak melampirkan makna individual apa pun pada permintaan yang datang melalui soket TCP yang sama.
Artinya, kecuali Anda ingin mengetikkan kata sandi lengkap Anda setiap kali Anda meminta halaman di situs, browser perlu menyimpan token sementara yang mengikuti Anda saat Anda menjelajahi situs.
Token ini disebut sebagai token sesi. Dan browser secara otomatis mengirimkan token ini dengan setiap permintaan yang Anda buat di situs web. Untungnya, browser web memiliki mekanisme bawaan untuk fungsi yang tepat ini. Dan mekanismenya adalah cookie.
Inilah sebabnya, ketika Anda menghapus semua cookie yang disimpan di browser Anda, Anda akan keluar dari semua situs web yang sebelumnya Anda masuki.
Ini memberi tahu kami bahwa peretas dan penyerang jahat bahkan tidak perlu mengetahui kata sandi Anda untuk melakukan pelanggaran kata sandi dan menyamar sebagai Anda. Yang perlu mereka lakukan hanyalah mendapatkan token sesi Anda, dan mereka dapat masuk langsung ke situs Anda.
Seperti dalam contoh pelanggaran kata sandi WordPress sebelumnya, Anda akan melihat bahwa informasi identik yang sama sekarang dapat diakses oleh penyerang yang menggunakan Wireshark.
Kemudian, dengan menggunakan ekstensi browser yang sepenuhnya gratis seperti Cookie-Editor, peretas akan dapat dengan mudah menggunakan nilai cookie yang mereka curi di browser web mereka dan mulai bernavigasi di dasbor admin WordPress Anda seperti Anda. Dan tidak ada hal baik yang akan terjadi untuk diri Anda atau situs web Anda.
Cara Melindungi Diri Anda Dari Pelanggaran Kata Sandi
Perlu diingat bahwa beberapa jenis serangan pembobolan kata sandi sangat mudah dilakukan oleh peretas yang terampil. Dan ini terutama berlaku pada jaringan publik atau jaringan yang kurang aman, seperti lokasi WiFi publik.
Untungnya, menjaga situs WordPress Anda terlindung dari pelanggaran kata sandi sangatlah mudah. Dan itu adalah sesuatu yang harus segera dilakukan oleh setiap pemilik situs web WordPress yang bertanggung jawab untuk menghindari serangan yang dapat merusak seluruh situs web Anda.
Pertama dan terpenting, pastikan Anda mengaktifkan dan menerapkan HTTPS di setiap dan semua situs WordPress yang Anda kelola. Ini adalah persyaratan mutlak untuk semua jenis situs WordPress, baik kecil atau besar – bahkan jika pengguna Anda tidak diberi izin untuk masuk ke situs.
Sederhananya, HTTPS mengenkripsi semua lalu lintas antara browser dan server situs Anda. Jika penyerang mencoba membaca konten lalu lintas yang dienkripsi dengan HTTPS, mereka hanya akan melihat teks terenkripsi yang kacau dan tidak berarti.
Dan kata sandi Anda akan aman.
Tentu saja, Anda harus memiliki sertifikat keamanan SSL untuk dapat menerapkan HTTPS di situs Anda. Saat ini, banyak host WordPress menawarkan sertifikat SSL gratis, yang membuatnya mudah.
Menggunakan Plugin iThemes Security Pro Untuk Menghindari Pelanggaran Kata Sandi di Situs WordPress Anda
Mirip dengan semua aplikasi situs web lain yang berisi formulir login, sistem manajemen konten WordPress mengirimkan nama pengguna dan kata sandi dalam permintaan HTTP saat Anda atau pengguna lain masuk. Dan, seperti yang mungkin Anda ketahui, HTTP bukanlah protokol terenkripsi.
Ini berarti bahwa jika Anda tidak menjalankan situs dengan aman menggunakan HTTPS, semua komunikasi antara pengguna dan server web Anda terbuka untuk penyadapan dari peretas dan penyerang jahat.
Peretas kemudian dapat dengan mudah mencegat, lalu memodifikasi, lalu lintas HTTP (tidak terenkripsi) cleartext situs WordPress Anda. Dan tentu saja, informasi paling berharga yang akan dicari oleh peretas adalah kredensial masuk dari administrator situs, termasuk kata sandi Anda. Itulah mengapa sangat penting untuk selalu menggunakan HTTPS untuk situs WordPress Anda. Berikut panduan singkat tentang arti HTTP vs HTTPS.
Jika Anda memiliki situs web WordPress, salah satu garis pertahanan terbaik Anda adalah plugin iThemes Security Pro. iThemes Security adalah plugin keamanan WordPress yang kuat dengan fitur yang dirancang untuk mengamankan akun pengguna dan memperkuat WordPress.
Misalnya, fitur Persyaratan Kata Sandi di iThemes Security Pro bukan hanya kebijakan kata sandi Anda tetapi juga alat penegakan kata sandi Anda.
Dengan menggunakan fitur Persyaratan Kata Sandi, Anda akan dapat dengan mudah memaksa anggota grup pengguna WordPress mana pun di dalam dasbor Anda untuk:
- Gunakan kata sandi yang kuat
- Pilih waktu yang ditentukan untuk kata sandi kedaluwarsa dan diatur ulang oleh pengguna dalam setiap grup
- Menolak kata sandi yang telah disusupi (ini memaksa pengguna untuk menggunakan kata sandi yang tidak muncul dalam pelanggaran kata sandi apa pun yang dilacak oleh Have I Been Pwned)
- Paksa perubahan sandi seluruh situs untuk memastikan semua orang di situs mematuhi kebijakan sandi kuat baru yang Anda terapkan.
Fitur Persyaratan Kata Sandi Pro Keamanan iThemes akan berfungsi untuk mengamankan kredensial masuk WordPress Anda dari serangan pelanggaran kata sandi yang baru saja kita bahas dalam panduan ini, dan banyak lagi.
Faktanya, ini adalah rangkaian keamanan WordPress lengkap yang tidak boleh dimiliki oleh pemilik situs WordPress jika mengamankan situs Anda dari semua jenis serangan berbahaya penting bagi Anda.
Plus, ini memberi Anda kemampuan untuk menegakkan kebijakan kata sandi Anda dengan satu klik tombol. Yang benar adalah bahwa kebanyakan orang lebih suka mengambil jalan yang paling sedikit perlawanannya. Dengan menghapus opsi untuk menggunakan kata sandi yang lemah atau disusupi, Anda membantu diri Anda sendiri dan semua orang yang menggunakan situs Anda untuk sepenuhnya melindungi akun mereka dari kerusakan akibat pelanggaran kata sandi.
Tindakan Pencegahan Kata Sandi Tambahan Untuk Diambil
Meskipun tidak ada pertanyaan bahwa Anda harus segera mengaktifkan HTTPS di situs WordPress Anda, kemudian menginstal suite keamanan untuk melindunginya dari serangan pelanggaran kata sandi, ada juga beberapa tindakan tambahan yang ingin Anda ambil yang berhubungan dengan keamanan dan pengerasan WordPress:
- Tambahkan 2FA (otentikasi dua faktor) untuk meningkatkan keamanan mekanisme otentikasi situs WordPress Anda. Plugin iThemes Security Pro akan membantu Anda dalam hal ini.
- Batasi upaya login yang gagal di situs Anda untuk membantu menggagalkan upaya peretasan seperti serangan menebak kata sandi dan serangan DDoS dengan perlindungan brute force iThemes Security.
- Aktifkan pencatatan keamanan untuk membantu Anda memantau akses tidak sah ke dasbor admin WordPress Anda.
- Pastikan untuk mengaktifkan deteksi perubahan file di situs WordPress Anda untuk menemukan perubahan file yang tidak sah atau mencurigakan.
Penutup: Menghindari Pelanggaran Kata Sandi di Situs WordPress Anda
Pelanggaran kata sandi yang berhasil adalah salah satu hal paling menghancurkan yang dapat terjadi pada pemilik situs WordPress. Dan bahkan situs web terbesar di dunia pun tidak kebal terhadap bahayanya.
Namun, setelah mempelajari panduan ini, Anda sekarang memiliki alat untuk digunakan di situs Anda yang akan membantu menjauhkan Anda dari pukulan yang menghancurkan ini.
Dan dengan bantuan alat yang tepat, seperti yang dibahas di sini, Anda akan siap menjalankan situs WordPress yang lebih aman.
Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress
WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga telah menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs WordPress Anda. Ini seperti memiliki staf ahli keamanan penuh waktu yang terus-menerus memantau dan melindungi situs WordPress Anda untuk Anda.
Kristen telah menulis tutorial untuk membantu pengguna WordPress sejak 2011. Sebagai direktur pemasaran di iThemes, dia berdedikasi untuk membantu Anda menemukan cara terbaik untuk membangun, mengelola, dan memelihara situs web WordPress yang efektif. Kristen juga suka menulis jurnal (lihat proyek sampingannya, Tahun Transformasi !), hiking dan berkemah, aerobik langkah, memasak, dan petualangan sehari-hari bersama keluarganya, berharap untuk menjalani kehidupan yang lebih kekinian.