Apa itu Clickjacking dan Bagaimana Mencegahnya

Clickjacking adalah eksploitasi web jahat yang telah ada sejak situs web pertama kali masuk ke Internet. Clickjackers mengeksploitasi metode untuk menyematkan satu halaman web di dalam yang lain. Dikombinasikan dengan rekayasa sosial yang menipu, serangan clickjacking mempertahankan tingkat keberhasilan yang sangat tinggi, menargetkan jutaan korban yang tidak menaruh curiga setiap hari.

Sebagai kerangka pembuatan situs web paling populer di dunia, WordPress adalah target besar untuk clickjacking. Secara default, hanya halaman login WordPress dan area admin yang tidak dapat disematkan ke halaman web lain. Jika ada bagian lain dari situs Anda yang tidak ingin disematkan di tempat lain, Anda harus mengambil tindakan untuk melindunginya sendiri.

Panduan untuk clickjacking, atau serangan ganti rugi antarmuka pengguna ini, akan menunjukkan cara kerja clickjacking sehingga Anda dapat memastikan bahwa konten situs web WordPress Anda tidak dapat digunakan oleh penyerang untuk mencuri informasi sensitif atau mengelabui pengguna agar melakukan sesuatu yang merugikan mereka dan/atau membantu clickjacker.

Apa itu Clickjacking?

Seperti namanya, clickjacking membajak klik dan tindakan antarmuka web lainnya. Ini memungkinkan clickjacker untuk melakukan tindakan untuk tujuan mereka sendiri atas nama korban yang tidak menaruh curiga.

Nama teknis untuk clickjacking adalah "penggantian antarmuka". Clickjackers "mendandani ulang" halaman web yang sah dengan menyematkannya di situs web mereka sendiri, di mana kode mereka sendiri dapat secara diam-diam mengubah apa yang terjadi saat pengunjung berinteraksi dengannya. Ini dicapai dengan menyematkan konten yang sah, seperti halaman login atau layar pembayaran dari situs web atau layanan yang sah, pada halaman web berbahaya yang dibuat oleh penjahat. Pengunjung dapat mengklik tombol yang tampaknya tidak berbahaya, memasukkan beberapa informasi ke dalam kotak teks, atau bahkan melakukan elemen drag-and-drop. Mereka tidak melihat antarmuka tersembunyi yang melakukan tindakan berbeda dan tak terduga yang menguntungkan penyerang.

Dengan menyamarkan situs mereka dengan konten Anda, clickjackers berharap mengelabui pengunjung situs mereka agar melakukan tindakan yang tidak diinginkan, seperti memberikan informasi sensitif atau mengunduh malware.

Bagaimana Cara Kerja Clickjacking?

Serangan clickjacking memanfaatkan kemampuan HTML untuk memuat halaman web dari satu situs web di dalam halaman situs lain dengan menggunakan elemen <iframe> atau <objects> .

Sebagian besar waktu, serangan ganti rugi antarmuka pengguna bergantung pada pengguna yang masuk ke situs web tertentu dan percaya bahwa mereka ada di situs itu ketika mereka berinteraksi dengan situs "berpakaian ulang" clickjackers. Dengan cara ini, orang yang terpikat ke halaman web jahat dapat melakukan tindakan tertentu yang diinginkan clickjacker tanpa menyadari bahwa mereka tidak berinteraksi dengan bank mereka atau situs WordPress yang dikenal.

Lima Jenis Utama Clickjacking

Ada beberapa jenis strategi clickjacking tergantung pada tujuan akhir penyerang. Mereka dapat berkisar dari aktivitas yang relatif tidak berbahaya (meningkatkan tampilan situs konten mereka atau mendapatkan suka pada postingan atau video) hingga mencuri informasi masuk atau bahkan uang dari korban yang tidak menaruh curiga.

Clickjacking adalah cara yang sangat serbaguna untuk melakukan berbagai aktivitas berbahaya. Meskipun clickjacking dianggap sebagai bentuk serangan dunia maya, hal itu juga dapat memfasilitasi serangan lain, seperti XSS, atau skrip lintas situs, serangan, dan bahkan menggunakan muatan XSS untuk memfasilitasi XSRF atau serangan pemalsuan permintaan lintas situs.

Berikut adalah lima jenis serangan clickjacking yang paling umum:

• Clickjacking Klasik. Melibatkan pemilihan situs web atau layanan korban dan menggunakan kontennya untuk mengelabui penggunanya agar melakukan sejumlah tindakan yang tidak diinginkan.
• Seperti pembajakan. Variasi lama dari clickjacking bertujuan untuk meningkatkan penayangan dan suka pada halaman web atau video tertentu. Dapat dianggap agak tidak berbahaya dan jarang terlihat akhir-akhir ini.
• Cursorjacking. Sebuah teknik yang digunakan oleh penyerang untuk mengganti kursor yang sebenarnya dengan yang palsu untuk mengelabui pengguna agar mengklik elemen jahat tanpa menyadarinya.
• Pembajakan kue . Taktik umum yang digunakan penyerang adalah mendapatkan cookie yang disimpan oleh browser korban. Sebagian besar waktu, itu dilakukan oleh pengguna yang diundang untuk melakukan operasi drag-and-drop yang tampaknya tidak berbahaya di halaman web penyerang.
• Pembajakan file. Serangan mengeksploitasi kemampuan browser untuk membuka file di perangkat pengguna, memungkinkan penyerang mengakses sistem file lokal mereka. Selain sistem file lokal, penyerang dapat mengakses mikrofon di perangkat atau lokasi Anda.

Korban Clickjacking: Dari Platform Media Sosial hingga Sistem Pembayaran Online

Clickjacking menjadi sangat populer sekitar sepuluh tahun yang lalu ketika platform media sosial utama seperti Facebook dan Twitter menjadi korban berbagai variasi clickjacking. Misalnya, serangan clickjacking yang dilakukan pada akhir tahun 2000-an memungkinkan penyerang mengelabui korban agar mengirimkan spam ke seluruh daftar teman Facebook mereka hanya dengan satu klik.

Meningkatnya popularitas perbaikan antarmuka pengguna dalam dekade terakhir membuat raksasa teknologi dengan cepat mengambil langkah yang tepat untuk melindungi platform mereka dari jenis serangan ini. Namun, peneliti keamanan terus melaporkan lebih banyak kerentanan yang memengaruhi organisasi besar, bahkan hingga hari ini.

Salah satu kerentanan paling menonjol yang ditemukan baru-baru ini memengaruhi Paypal. Pada tahun 2021, peneliti ancaman menemukan kerentanan dalam layanan transfer uang Paypal yang berpotensi memungkinkan penyerang mencuri uang dari akun pengguna dengan mengeksploitasi transfer dana sekali klik. Paypal memberi penghargaan kepada peneliti dan mengumumkan rencana untuk mengatasi situasi tersebut.

Jebakan Sempurna: Menyiapkan Serangan Clickjacking

Setiap serangan clickjacking melibatkan tiga langkah utama: memilih target atau situs web korban, membuat halaman web berbahaya, dan memikat pelanggan situs atau layanan yang ditargetkan ke sana.

Langkah 1. Memilih Website Target

Karena sebagian besar organisasi besar menegakkan langkah-langkah keamanan yang kuat yang mencegah penyerang melakukan serangan clickjacking terhadap pelanggan mereka, peretas sering menargetkan bisnis yang lebih kecil. Situs web WordPress sangat menarik bagi penjahat karena perangkat lunak tidak menerapkan tindakan keamanan default apa pun yang mencegah konten WordPress disematkan di situs web penyerang.

Halaman login WordPress dan dasbor admin berfungsi sebagai pengecualian, tetapi tanggung jawab untuk melindungi situs lainnya berada di tangan pemilik situs. Lain kali Anda bertanya-tanya mengapa peretas menyerang situs web Anda, jawabannya sederhana — mudah dan nyaman bagi peretas untuk menargetkan Anda, terutama jika Anda tidak memperbarui perangkat lunak WordPress Anda. Berkat banyaknya kerentanan yang selalu muncul di plugin dan tema WordPress, penting untuk membuat pilihan yang baik tentang apa yang akan diinstal. Dan kemudian perbarui semua perangkat lunak. Jika tidak, Anda menjadikan diri Anda sasaran empuk.

Bergantung pada jenis situs web WordPress yang Anda operasikan dan konten yang Anda terbitkan, penyerang dapat menargetkan bagian yang berbeda. Clickjacking WordPress sering menargetkan formulir web, halaman login di luar admin WordPress, dan halaman checkout WooCommerce dengan checkout satu klik diaktifkan.

Langkah 2. Membuat Halaman Web Berbahaya

Setelah situs web target dipilih dan ditemukan rentan terhadap clickjacking, penyerang membuat halaman web berbahaya untuk mengelabui pengguna agar melakukan tindakan tertentu. Clickjacking WordPress cenderung menargetkan fungsionalitas e-niaga, tetapi mencuri kredensial dan mengirim spam tetap menjadi tujuan umum yang ditetapkan oleh penyerang.

Contoh clickjacking yang bagus adalah halaman yang mengklaim bahwa Anda telah memenangkan hadiah dan mengundang Anda untuk mengklaimnya. Dengan mengklik tombol “Klaim hadiah saya”, Anda sebenarnya memberikan informasi pribadi atau mengonfirmasi pembelian atau transfer uang.

Langkah 3. Memikat Pengguna Situs Web Target ke dalam Jebakan

Agar serangan clickjacking berhasil, penyerang harus membuat pengguna membuka halaman web berbahaya mereka dan meyakini bahwa itu adalah bagian dari situs yang sah dan familiar. Ini dapat dicapai dengan banyak cara, mungkin dengan mengirimkan tautan ke sana melalui email atau mengalihkan pengguna dari situs web pihak ketiga yang terinfeksi yang sebelumnya diretas oleh penyerang.

Jika Anda tidak mengeklik tautan dalam email, teks, atau obrolan yang tidak biasa, tidak terduga, atau mencurigakan, kemungkinan upaya clickjacking berhasil sangat rendah, bahkan jika laman web berbahaya penyerang tampak benar-benar sah dan tidak menimbulkan kecurigaan Anda. Browser modern juga menerapkan berbagai perlindungan terhadap clickjacking, dan kombinasi kewaspadaan Anda dan teknologi browser saat ini dapat secara signifikan mengurangi tingkat keberhasilan serangan ganti rugi UI.

Bagaimana Agar Tidak Menjadi Korban Clickjacking

Untuk melindungi diri Anda dari semua jenis clickjacking, hindari membuka email, iklan, dan tautan yang mencurigakan ke situs web. Jangan pernah menginstal perangkat lunak dari sumber yang tidak diverifikasi. Karena clickjacking bergantung pada praktik rekayasa sosial yang menipu, mempelajari cara menemukannya adalah pertahanan terbaik Anda. Di luar itu, Anda harus terus memperbarui semua browser dan sistem operasi Anda ke versi terbarunya. Anda juga dapat menginstal ekstensi keamanan browser yang kuat dan menggunakan perangkat lunak antivirus modern untuk memastikan Anda tidak menjadi korban clickjacking dan serangan cyber berbahaya lainnya.

Waspadai Undangan untuk Mengklik Tautan

Clickjackers sering mengirim tautan ke calon korban melalui email, SMS, dan aplikasi perpesanan. Jika Anda tidak melakukan apa pun untuk meminta atau memicu pesan semacam itu, lihat asalnya. Clickjackers akan sering mengirim pesan dari domain, subdomain, dan nama akun yang mirip dengan situs resmi, seperti Paypal. Lihat apakah Anda dapat mendeteksi perbedaan kecil yang membuat pengirim mencurigakan ini:

1. [email dilindungi]
2. http://paypaI.com

Dalam kasus pertama, "paypal" adalah subdomain yang dapat dilampirkan siapa saja ke domain tingkat atas primer, yaitu "app1.com" dalam kasus ini. Itu bukan Paypal.

Dalam kasus kedua, huruf kecil 'l' telah diganti dengan huruf besar 'I', yang identik di banyak font umum. Clickjackers sering mendaftarkan domain yang sedikit salah eja seperti ini untuk mengelabui orang agar percaya bahwa mereka berasal dari pengirim yang sah.

Anda juga dapat melihat header email untuk melihat asal pesan. Biasakan diri Anda dengan domain dan alamat email yang digunakan oleh lembaga keuangan Anda dan akun penting lainnya. Mereka juga akan memiliki kebijakan yang menguraikan bagaimana mereka akan atau tidak akan menghubungi Anda dan bagaimana mereka akan mengidentifikasi diri mereka sendiri. Jangan percayai komunikasi apa pun yang berada di luar parameter ini. Lebih baik aman daripada menyesal!

Instal Ekstensi Browser Anti-Clickjacking

Selain fitur keamanan bawaan browser Anda, ekstensi browser anti-clickjacking dapat memberi Anda tingkat perlindungan yang lebih tinggi terhadap clickjacking dan serangan skrip lintas situs. NoScript adalah ekstensi lintas-browser paling populer yang didukung oleh Google Chrome, Mozilla Firefox, dan Microsoft Edge. JS Blocker adalah alternatif yang bagus untuk NoScript untuk pengguna Safari.

Tiga Langkah untuk Melindungi Situs WordPress Anda dari Clickjacking

WordPress melindungi dasbor admin dan halaman loginnya dari clickjacking secara default, tetapi semua area lain di situs Anda memerlukan perlindungan tambahan. Banyaknya serangan yang dapat dilakukan terhadap sebagian besar situs web saat ini menjadikan keamanan sebagai prioritas tertinggi bagi pemilik situs.

Untungnya, ada banyak cara untuk melindungi diri Anda dari clickjacking WordPress. , Anda harus menggabungkan beberapa pendekatan untuk memastikannya didukung oleh semua browser. Selain itu, kombinasi langkah-langkah keamanan akan membantu memastikan konten situs web Anda terlindungi dari semua jenis aktivitas jahat yang dapat difasilitasi oleh serangan pemulihan UI.

Ada tiga langkah besar yang dapat Anda ambil untuk mengamankan situs WordPress Anda dari clickjacking:

• Siapkan header X-Frame-Options untuk menghentikan siapa pun memuat konten situs web Anda dalam bingkai pada sumber daya pihak ketiga yang tidak tepercaya.
• Konfigurasikan arahan frame-ancestor Kebijakan Keamanan Konten (CSP) untuk menentukan situs web apa yang dapat menyematkan halaman situs web Anda dalam bingkai. (Biasanya, ini dapat disetel ke "tidak ada".)
• Gunakan atribut cookie SameSite dari header Set-Cookie untuk bertahan dari upaya clickjacking dan cross-site request forgery (CSRF).

Menggunakan .htaccess untuk Mengonfigurasi Header Respons HTTP untuk WordPress

Header respons adalah header HTTP yang digunakan untuk menentukan variabel spesifik untuk komunikasi server-klien antara situs Anda dan browser pengunjungnya. Mereka tidak terlihat oleh pengunjung Anda. X-Frame-Options, Content Security Policy, dan Set-Cookie adalah contoh header respons HTTP.

Meskipun plugin WordPress tertentu dapat digunakan untuk mengonfigurasi header respons HTTP di situs web WordPress, pendekatan termudah adalah menggunakan file .htaccess lokal Anda. (Ini mengasumsikan lingkungan server Anda menggunakan Apache atau Litespeed untuk melayani permintaan HTTP.) Konfigurasi header yang ditentukan dalam file .htaccess di direktori akar situs web diterapkan ke semua halaman di situs web.

Modul mod_headers Apache memungkinkan Anda untuk mengonfigurasi header respons di .htaccess menggunakan set Header dan pernyataan penambahan Header. Karena header tertentu dapat dikonfigurasi dalam konfigurasi global server web, kadang-kadang disarankan untuk menggunakan Header append untuk menggabungkan nilai yang dikonfigurasi ke header respons yang ada alih-alih mengganti konfigurasi yang ada.

Karena penyedia hosting Anda dapat mengonfigurasi header respons HTTP tertentu untuk semua situs web secara default, sebaiknya hubungi mereka sebelum melakukan perubahan apa pun pada .htaccess untuk menghindari masalah apa pun.

Siapkan X-Frame-Options Header

Header X-Frame-Options menentukan apakah halaman web dapat dirender dalam bingkai dan daftar sumber daya yang diizinkan untuk melakukannya. Ada dua arahan untuk X-Frame-Options – DENY dan SAMEORIGIN. Arahan ALLOW-FROM yang sebelumnya digunakan sekarang sudah tidak digunakan lagi.

Nilai DENY secara efektif mencegah situs web apa pun menyematkan konten situs web Anda dalam bingkai. Mengatur X-Frame-Options ke SAMEORIGIN memungkinkan pembingkaian konten jika permintaan berasal dari halaman lain di situs Anda.

Untuk mengonfigurasi header X-Frame-Options di situs WordPress Anda, tambahkan salah satu baris berikut ke file .htaccess di direktori instalasi WordPress. (Harap dicatat opsi set digunakan.)

 Header mengatur X-Frame-Options "DENY"

 Header mengatur X-Frame-Options "SAMEORIGIN"

Meskipun browser modern hanya menyertakan dukungan parsial untuk X-Frame-Options atau bahkan tidak lagi mendukung arahan CSP frame-ancestors, mengonfigurasinya di situs WordPress Anda akan melindungi browser lama.

Konfigurasi Kebijakan Keamanan Konten Frame-Ancestors Directive

Header respons Kebijakan Keamanan Konten adalah ukuran keamanan yang kuat yang dapat membantu mengurangi sejumlah serangan, termasuk clickjacking, skrip lintas situs, pemalsuan permintaan, mengendus paket, dan serangan injeksi data. Kebijakan Keamanan Konten didukung oleh semua browser modern.

Arahan frame-ancestor Kebijakan Keamanan Konten dapat disetel ke none atau self untuk menolak pembingkaian konten atau membatasi penggunaannya pada batas-batas situs web yang sama, atau Anda dapat menentukan daftar situs web tepercaya, beserta daftar jenis konten masing-masing dapat membingkai.

Menambahkan baris di bawah ke .htaccess akan membatasi pembingkaian semua jenis konten ke situs web saat ini:

 Header menyetel Content-Security-Policy "frame-ancestors 'self'”

Variasi berikut membutuhkan penggunaan HTTPS:

 Tajuk menetapkan Kebijakan-Keamanan-Konten “frame-ancestors 'self' https://mywpsite.com" 

Tambahkan Header Set-Cookie Dengan Atribut SameSite

Header respons Set-Cookie digunakan untuk mentransfer cookie dari server ke browser. Mengonfigurasi atribut SameSite memungkinkan Anda membatasi penggunaan cookie ke situs web saat ini. Ini membantu memastikan perlindungan terhadap serangan clickjacking yang mengharuskan pengguna diautentikasi di situs web yang ditargetkan dan pemalsuan permintaan lintas situs.

Mengatur SameSite ke ketat secara efektif mencegah cookie sesi dikirim jika permintaan dibuat ke situs web yang ditargetkan dalam bingkai, bahkan jika pengguna diautentikasi pada sumber daya yang ditargetkan. Harap perhatikan bahwa tindakan saja tidak dapat mengurangi semua jenis serangan clickjacking dan pemalsuan lintas skrip.

Untuk mengimplementasikan atribut SameSite dari header Set Cookie di situs WordPress Anda, tambahkan baris berikut ke file .htaccess:

 Set tajuk Set-Cookie ^(.*)$ "$1; SameSite=Strict; Aman 

Tes Clickjacking Sederhana

Anda dapat memeriksa apakah konten situs web Anda dapat dimuat dalam bingkai dari sumber lain dengan membuat halaman HTML sederhana. Buat file HTML dengan kode di bawah ini yang disediakan oleh OWASP dan buka di browser Anda. Jika Anda tidak melihat halaman web tersemat dalam bingkai, pembingkaian konten telah berhasil dibatasi

Harap dicatat bahwa yang terbaik adalah mengunggah halaman ke situs web lain yang Anda miliki kecuali Anda telah menonaktifkan pembingkaian konten sepenuhnya. Dalam hal ini, Anda dapat membuat salah satu situs web yang sama dengan yang Anda uji.

<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>

Cegah Clickjacking dan Serangan Siber Lainnya di Situs WordPress Anda dengan iThemes Security Pro

Clickjacking, juga dikenal sebagai ganti rugi antarmuka pengguna, mengeksploitasi kemampuan memuat halaman web di dalam halaman web lain untuk mengelabui pengguna agar melakukan tindakan yang tidak diinginkan. Clickjacking WordPress telah menjadi sangat umum karena kurangnya perlindungan bawaan yang akan mengamankan halaman web selain halaman login WordPress dan dasbor admin.

Lindungi diri Anda dari clickjacking dengan membatasi kemampuan orang lain untuk membingkai konten situs web Anda menggunakan header respons HTTP seperti X-FRAME-OPTIONS, Kebijakan Keamanan Konten, dan Set-Cookie. Menggunakan file .htaccess lokal di direktori instalasi WordPress Anda, Anda dapat dengan mudah menerapkan kebijakan keamanan ini di seluruh situs.

Clickjacking tetap menjadi ancaman keamanan aktif, dan pembuatan skrip lintas situs ditambah dengan pemalsuan permintaan sering berjalan seiring dengan itu. Mulai lindungi diri Anda dari ancaman keamanan umum seperti ini dengan melakukan pendekatan yang cermat terhadap semua aspek keamanan situs web WordPress Anda.

iThemes Security Pro menawarkan lebih dari 30 cara untuk melindungi area paling rentan di situs WordPress Anda, mempertahankannya dari berbagai taktik modern dan canggih yang digunakan pelaku jahat. Pemindaian kerentanan yang kuat, autentikasi tanpa kata sandi, dan pemantauan integritas file memungkinkan Anda mengurangi permukaan serangan secara dramatis.

BackupBuddy dan iThemes Sync Pro akan membantu Anda menjaga agar situs web WordPress Anda dicadangkan secara teratur dan menyediakan pemantauan uptime tingkat lanjut serta analisis SEO.

iThemes akan memastikan Anda tetap up to date dengan ancaman dan berita keamanan terbaru di komunitas WordPress. Jika Anda baru mengenal WordPress, pelatihan WordPress gratis iThemes mungkin persis seperti yang Anda butuhkan untuk awal yang baik.

Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress

WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga telah menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs web WordPress Anda. Ini seperti memiliki staf pakar keamanan penuh waktu yang terus memantau dan melindungi situs WordPress Anda untuk Anda.

Dapatkan iThemes Security Pro

Kiki Sheldon

Kiki memiliki gelar sarjana dalam manajemen sistem informasi dan pengalaman lebih dari dua tahun di Linux dan WordPress. Dia saat ini bekerja sebagai spesialis keamanan untuk Liquid Web dan Nexcess. Sebelumnya, Kiki adalah bagian dari tim dukungan Liquid Web Managed Hosting di mana dia membantu ratusan pemilik situs web WordPress dan mempelajari masalah teknis apa yang sering mereka temui. Semangatnya untuk menulis memungkinkan dia untuk berbagi pengetahuan dan pengalamannya untuk membantu orang. Selain teknologi, Kiki senang belajar tentang luar angkasa dan mendengarkan podcast kriminal sejati.