42 Hasil : Dapat dilihat pada website yang telah di scan memiliki 2 user yaitu ‘rizqulloh’ dan ‘admin’
43 2. Halaman Login a. Kerentanan Halaman Login Laman login secara default adalah lamanURL/wp-admin. Laman ini secara default menjadi laman utama yang digunakan untuk login ke dashboard admin. Dalam setup default laman ini mudah sekali untuk dilakukan brute force. Brute force merupakan langkah berulang menebak password dalam sebuah aplikasi menggunakan aplikasi lain. Brute force menggunakan database password yang sudah disiapkan dan dilakukan berulang dari data pertama sampai terakhir. b. Proof of Concept Halaman Login 1) Mendownload password list dalam format txt 2) Menjalankan perintah wpscan - -password-attack xmlrpc dst wpscan --password-attack xmlrpc -t 20 -U ‘target_username_1, target_username_2’ -P password_file_path --url url_web
44 Contoh: wpscan --password-attack xmlrpc -t 20 -U ‘admin1, admin2’ -P Downloads/rockyou.txt --url 10.10.18.5/wp Hasil : Pada gambar diatas terdapat ‚Valid Combination Found‛ yang berarti password dari user target kita telah ditemukan dengan Username : rizqulloh dan Password 1234567890.
45 3) Login menggunakan kombinasi username dan password yang ditemukan Buka browser dan masukkan link website yang telah kita scan, dan login username dan password sesuai kombinasi yang ditemukan. Maka kita akan berhasil masuk ke dashboard admin dan kita memiliki akses penuh terhadap website tersebut.
46 PENANGANAN KERENTANAN WORDPRESS A. Pencegahan Kerentanan 1. Versi Wordpress Versi Wordpress yang kadaluarsa dapat menyebabkan portal rentan untuk diretas. Oleh karena itu Wordpress yang kadaluwarsa harus diupdate. Dalam hal sebelum melakukan update perlu diperhatikan dahulu sebagai berikut: a. Pastikan sudah memiliki cadangan (backup) situs web sebelum melakukan pembaruan, agar dapat mengembalikan situs jika terjadi masalah. b. Matikan sementara semua plugin sebelum memulai pembaruan. Beberapa plugin mungkin tidak kompatibel dengan versi WordPress yang lebih baru dan dapat menyebabkan masalah.
47 Berikut adalah langkah-langkah untuk melakukan pembaruan WordPress: a. Periksa Kebutuhan Sistem Pastikan hosting memenuhi persyaratan sistem untuk menjalankan versi terbaru WordPress. Cek kebutuhan sistem terbaru di situs resmi WordPress.org. b. Backup Website Melakukan backup situs web adalah tindakan pencegahan yang bijaksana sebelum melakukan pembaruan. dapat menggunakan plugin backup atau alat cPanel dari penyedia hosting . c. Matikan Sementara Semua Plugin: Masuk ke dasbor WordPress , lalu navigasi ke "Plugins" di sidebar kiri. Klik "Semua Plugin" untuk menampilkan daftar semua plugin yang aktif. Pilih semua plugin dengan mencentang kotak di sebelah kiri, lalu pilih "Nonaktifkan" dari menu dropdown tindakan massal. Plugin akan dimatikan sementara. d. Periksa Pembaruan yang Tersedia Di dasbor WordPress , navigasi ke "Dashboard" > "Update". Di halaman pembaruan, akan melihat informasi tentang pembaruan WordPress dan plugin yang tersedia. Jika ada pembaruan WordPress yang tersedia, akan melihat tombol "Update Now". e. Lakukan Pembaruan WordPress: Klik tombol "Update Now" untuk memulai pembaruan WordPress. Proses ini akan mengunduh paket pembaruan dan menggantikan file lama dengan versi yang lebih baru. Tunggu hingga selesai. f. Aktifkan Kembali Plugin: Setelah pembaruan selesai, pergi ke "Plugins" lagi, dan pilih semua plugin yang telah matikan sebelumnya.
48 Kemudian pilih "Aktifkan" dari menu dropdown tindakan massal. Aktifkan plugin satu per satu dan periksa apakah semuanya berfungsi dengan baik. g. Periksa Situs : Setelah pembaruan selesai dan semua plugin diaktifkan kembali, periksa situs web untuk memastikan semuanya berjalan dengan lancar. Pastikan untuk memeriksa halaman, posting, formulir kontak, dan fungsi lainnya. 2. Login a. Instalasi Plugin Memindah Laman Login Plugin yang digunakan untuk memindah halaman login adalah ‚Change wp-admin login‛. Plugin ini berfungsi menyembunyikan laman login sehingga peretas kesulitan untuk mengarahkan aplikasi brute force. Langkah-langkah untuk install plugin memindah laman login adalah sebagai berikut 1) Masuk ke dashboard admin. 2) Arahkan kursor ke menu Plugin pada sidebar dan pilih Tambah Baru. 3) Cari plugin dengan kata kunci ‚Change wp-admin login‛. Kemudian klik Pasang Sekarang pada plugin
49 Change wp-admin login yang diterbitkan oleh wpexpertsio. 4) Klik aktifkan. 5) Arahkan kursor ke menu pengaturan pada sidebar dan pilih Permalink. 6) Pada bagian Change wp-admin login, masukkan subdomain yang ingin digunakan pada bagian Login
50 URL untuk menampilkan laman login. Lalu klik Simpan Perubahan. 7) Jika Log out dan ingin login lagi maka dapat diarahkan url ke login url yang telah dibuat tadi. Pada contoh diatas login url adalah localhost/wp/login, maka untuk menampilkan halaman login kita perlu membuka laman localhost/wp/login pada browser. b. Install Plugin Strong Password Plugin untuk mengatur password seperti apa yang diperbolehkan dalam Wordpress adalah ‚Password Policy Manager‛. Pada prinsipnya langkah ini adalah melakukan pengamanan terhadap password. Password disetting agar sulit ditebak dan merupakan passphrase yang tidak ada dalam list password. Langkah untuk melakukan agar mengatur password wordpress sebagai berikut
51 1) Masuk ke dashboard admin. 2) Arahkan kursor ke menu Plugin pada sidebar dan pilih Tambah Baru. 3) Cari plugin dengan kata kunci ‚Password Policy Manager‛. Kemudian klik Pasang Sekarang pada plugin ‚Password Policy Manager | Password Manager‛ yang diterbitkan oleh miniOrange. 4) Klik Aktifkan.
52 5) Pilih For All Users dan centang semua pilihan yang ada. Lalu klik Save Settings. 6) Setelah mengaktifkan plugin tersebut, setiap user yang melakukan login dan memiliki password yang tidak sesuai dengan peraturan password yang telah ditetapkan, maka user tersebut akan dipaksa untuk mengganti passwordnya agar sesuai peraturan password yang telah ditetapkan.
53 c. Install Plugin 2FA Plugin 2FA digunakan untuk memastikan bahwa personil yang login adalah benar-benar pengguna yang sebenarnya. Prinsip dari plugin ini adalah menggunakan faktor kedua yang sudah disetup untuk melakukan konfirmasi. Faktor kedua ini merupakan bilangan random yang tergenerate oleh aplikasi Authy atau Google Authenticator. Instalasi plugin ini dapat dilakukan sebagai berikut. 1) Install extensions ‚Authenticator: 2FA Client‛ pada browser yang digunakan. 2) Masuk ke Dashboard admin. 3) Di sidebar, pilih ‚Plugin‛ dan kemudian ‚Tambah Baru‛. 4) Ketik ‚wp 2fa‛ pada kotak pencarian. 5) Klik Pasang Sekarang pada plugin ‚WP 2FA - Two-factor authentication for WordPress‛. 6) Klik Aktifkan. 7) Klik ‚LET’S GET STARTED‛, lalu klik ‚Continue‛ sampai pada bagian ‚2FA policy‛.
54 8) Pilih ‚All users‛ pada bagian 2FA policy. Lalu klik ‚CONTINUE SETUP‛. 9) Klik ‚CONTINUE SETUP‛. 10)Pilih ‚Users have to configure 2FA straight away‛ pada bagian ‚Grace Period‛. Lalu klik ‚ALL DONE‛. 11)Kemudian kita akan diarahkan untuk mengaktifkan 2FA. Pilih ‚One-time code via 2FA app‛. Lalu klik Next Step.
55 12)Klik extension ‚Authenticator‛ yang telah di install. 13)Pilih icon scan pada kanan atas. 14)Buat kotak pada barcode yang diberikan untuk setting TUTP. 15)Klik ‚I’M READY‛. 16)Klik extension ‚Authenticator‛. Masukkan kode yang tampilkan oleh extension ke form Authentication Code.
56 17)Klik ‚VALIDATE & SAVE‛. 18)2FA untuk akun yang sudah berhasil diaktifkan. B. Penanganan jika Sudah Terinfeksi Apabila sudah terinfeksi langkah yang harus dilakukan adalah 1. Take down domain dan jadikan IPLocal 2. Update Wordpress 3. Cek User dan password Wordpress a. Buka Dashboard b. Hapus semua akun wordpress kecuali admin c. Ganti Password admin d. Buat user baru jika diperlukan 4. Install Plugin Sucuri Langkah instalasi Sucuri a. Masuk ke panel administrasi WordPress b. Di sidebar, pilih "Plugins" dan kemudian "Add New" c. Ketik "sucuri" atau "sucuri-scanner" di kotak pencarian d. Instal opsi dengan "By Sucuri Inc." di kaki, e. Setelah diaktifkan, akan menemukan ikon baru di sidebar dengan logo Sucuri. Buka dasbor plugin dan klik tombol
57 yang bertuliskan "Hasilkan Kunci API" untuk mengaktifkan pemantauan peristiwa, ini akan menghasilkan kunci unik untuk mengautentikasi situs web terhadap layanan API WordPress Sucuri jarak jauh 5. Scan menggunakan sucuri atau wordfence 6. Uninstall plugin, themes yang terdeteksi rentan. a. Login menu dashboard wordpress b. Masuk menu Plugins -> Installed plugins
58 c. Klik Deactivate pada plugin yang ingin diuninstall d. Klik Delete pada plugin yang ingin diuninstall e. Uninstall Selesai 7. Scan menggunakan wpscan C. Black SEO Black SEO atau Search Engine Optimization (SEO) hitam adalah praktik-praktik tidak etis atau ilegal yang bertujuan untuk meningkatkan peringkat situs web dalam hasil mesin pencari dengan cara melanggar pedoman dan kebijakan yang ditetapkan oleh mesin pencari seperti Google, Bing, atau Yahoo. Black SEO mencoba untuk memanipulasi algoritma mesin pencari dengan cara-cara yang melanggar aturan, sehingga situs web mendapatkan peringkat yang lebih tinggi daripada seharusnya dalam hasil pencarian. Beberapa contoh dari praktik Black SEO meliputi: 1. Keyword Stuffing: Penggunaan berlebihan dan tidak relevan dari kata kunci tertentu di dalam konten atau meta tag halaman dengan tujuan untuk meningkatkan peringkat dalam hasil pencarian.
59 2. Cloaking: Menampilkan konten yang berbeda antara pengguna dan mesin pencari. Konten yang ditampilkan kepada mesin pencari sering kali berisi kata kunci dan link yang tidak terlihat oleh pengguna. 3. Pemalsuan Backlink: Membuat atau membeli tautan balik (backlink) dari situs-situs yang berkualitas rendah, spam, atau ilegal untuk meningkatkan otoritas dan peringkat situs web. 4. Pencurian Konten: Mengambil konten dari situs web lain tanpa izin dan menggunakannya di situs web mereka sendiri untuk mendapatkan peringkat pencarian yang lebih tinggi. 5. Pembuatan Konten Spam: Membuat konten yang tidak relevan, berlebihan, atau tidak bermutu dengan kata kunci berlebihan dalam upaya untuk menarik perhatian mesin pencari. 6. Redirect Spam: Mengalihkan pengguna ke situs web yang berbeda dari apa yang dijanjikan oleh tautan atau hasil pencarian. 7. Praktik Black SEO melanggar pedoman etika dan peraturan mesin pencari, dan jika ketahuan, situs web yang terlibat dapat dihukum atau diberi sanksi oleh mesin pencari, termasuk pengurangan peringkat atau bahkan penghapusan dari indeks mesin pencari.
60 PENUTUP Dari penjelasan uraian di atas, dapat diberikan kesimpulan bahwa untuk membangun CMS dapat dilakukan dengan mudah menggunakan Wordpress. Namun membangun CMS menggunakan Wordpress perlu diatur konfigurasi yang benar mulai dari server, themes, plugins, halaman login dan versi wordpress. Dengan disusunnya buku ini semoga memberikan manfaat bagi pembaca dan dapat meningkatkan keamanan website yang saat ini ada.
61 Daftar Pustaka Ariata, C. (2023) ‘WordPress vs Blogspot: Mana yang Lebih Baik untuk Blog?’, WordPress vs Blogspot: Mana yang Lebih Baik untuk Blog?, 23 January. Available at: https://www.hostinger.co.id/tutorial/wordpress-vs-blogspot (Accessed: 20 July 2023). Burhan, F.A. (2021) ‘Alasan Hacker Incar Sistem Pemerintah, Salah Satunya Ingin Populer’. Available at: https://katadata.co.id/desysetyowati/digital/6179372e9b1f7/ alasan-hacker-incar-sistem-pemerintah-salah-satunya-inginpopuler (Accessed: 21 January 2023). Garand, A. et al. (2021) Sucuri Threat Report 2021. Available at: https://sucuri.net/wp-content/uploads/2022/04/sucuri-2021- hacked-report.pdf. Khalisah, A.M. and Kirana, P. (2022) ‘Implementasi Norma Hukum Terhadap Tindak Pidana Peretasan (Hacking) di Indonesia’, Jurist-Diction, 5(6), pp. 2117–2132. Available at: https://doi.org/10.20473/jd.v5i6.40073. Moran, M. (2023) ‘WordPress Hacking Statistics (How Many Websites Get Hacked?)’, WordPress Hacking Statistics (How Many Websites Get Hacked?), 20 July. Available at: https://colorlib.com/wp/wordpress-hacking-statistics/ (Accessed: 20 July 2023). Rahman, J. et al. (2022) ‘2021 Laporan Tahunan Monitoring Keamanan Siber’, Direktorat Operasi Keamanan Siber. Available at:
62 https://cloud.bssn.go.id/s/Lyw8E4LxwNiJoNw (Accessed: 21 January 2023). Setiawan, W.B.M., Churniawan, E. and Faried, F.S. (2020) ‘Upaya Regulasi Teknologi Informasi Dalam Menghadapi Serangan Siber (Cyber Attack) Guna Menjaga Kedaulatan Negara Kesatuan Republik Indonesia’, Jurnal USM Law Review, 3(2), p. 275. Available at: https://doi.org/10.26623/julr.v3i2.2773. SF, N. (2022) ‘Apa Itu Plugin? Ini Arti, Fungsi, dan Cara Menggunakannya’, Apa Itu Plugin? Ini Arti, Fungsi, dan Cara Menggunakannya, 29 December. Available at: https://kumparan.com/how-to-tekno/apa-itu-plugin-ini-artifungsi-dan-cara-menggunakannya-1zWh5QfyRli (Accessed: 20 July 2023). Trunde, H. and Weippl, E. (2015) ‘WordPress security: an analysis based on publicly available exploits’, in Proceedings of the 17th International Conference on Information Integration and Web-based Applications & Services. iiWAS ’15: The 17th International Conference on Information Integration and Web-based Application & Services, Brussels Belgium: ACM, pp. 1–7. Available at: https://doi.org/10.1145/2837185.2837195. Wpbeginner (2023) ‘11 Top Reasons Why WordPress Sites Get Hacked (& How to Prevent it)’, 11 Top Reasons Why WordPress Sites Get Hacked (& How to Prevent it), 11 April. Available at: https://www.wpbeginner.com/beginners-guide/reasons-whywordpress-site-gets-hacked/ (Accessed: 28 July 2023).
63 Profil Penulis Winarno, S.Si., M.Eng. Penulis adalah salah satu dosen di Program Studi Informatika Fakultas Teknologi Informasi dan Sains Data UNS. Penulis aktif dalam kegiatan pengembangan Smart City Kota Surakarta. Selain itu juga berkecimpung dalam pengembangan Cyber Security di Solo Technopark. Selain mengajar penulis juga melakukan riset di bidang artificial intelligence, software development dan cyber security dan pengembangan software di lingkungan UNS. Penulis menyelesaikan studi magister di Magister Teknologi Informasi UGM. Penulis dapat dihubungi melalui email [email protected] Rizqulloh Rayhan Ferdiansyah. Penulis merupakan mahasiswa D3 Teknik Informatika. Penulis aktif dalam kegiatan Magang di UPT Teknologi Informasi dan Komunikasi. Mohammad Al Furqon. Penulis merupakan mahasiswa S1 Informatika. Penulis aktif dalam kegiatan Magang di UPT Teknologi Informasi dan Komunikasi
64 Prof. Bambang Harjito, M.App.Sc. Ph.D. Penulis adalah salah satu dosen di Program Studi Informatika Fakultas Teknologi Informasi dan Sains Data UNS. Penulis merupakan Guru Besar bidang Security dan Kriptografi di UNS. Penulis menyelesaikan studi doktoral di Curtin University Australia. Penulis dapat dihubungi melalui email [email protected] Dr. Wiranto, M.Cs., Penulis adalah salah satu dosen di Program Studi Informatika Fakultas Teknologi Informasi dan Sains Data UNS. Penulis menyelesaikan studi doktoral di Universitas Gajah Mada. Bidang riset penulis soft computing. Penulis dapat dihubungi melalui email [email protected] Sari Widya Sihwi, M.TI. Penulis adalah salah satu dosen di Program Studi Informatika Fakultas Teknologi Informasi dan Sains Data UNS. Bidang riset penulis artificial Intelligence. Penulis menyelesaikan studi magister di Magister Teknologi Informasi UI. Penulis dapat dihubungi melalui email [email protected]
65 Heri Prasetyo, Ph.D. Penulis adalah salah satu dosen di Program Studi Informatika Fakultas Teknologi Informasi dan Sains Data UNS. Bidang riset penulis artificial Intelligence dan image processing. Penulis menyelesaikan studi doktoral di NTUSC Taiwan. Penulis dapat dihubungi melalui email: [email protected]
66