Dalam website, plugin menjadi salah satu elemen yang dapat meningkatkan fungsi dan performa website. Bahkan, dalam CMS seperti WordPress sendiri, terdapat ratusan plugin dengan berbagai fungsi yang bisa kamu gunakan sesuai kebutuhan.
Akan tetapi, ingatlah bahwa tidak semua plugin website aman digunakan. Plugin rentan kena phising sehingga membuka celah bagi hacker untuk mencuri data atau mengendalikan website kamu.
Untuk menghindari ini, sebaiknya kita pahami dulu apa itu phising pada plugin beserta alasan kenapa plugin begitu rentan terhadap serangan ini.
Apa Itu Phishing pada Plugin?
Phishing adalah sebuah serangan siber yang menyamar sebagai entitas terpercaya untuk mencuri data pengguna.
Dalam website, serangan ini menargetkan plugin untuk menyisipkan kode berbahaya atau menjebak pengguna untuk mengungkapkan data-data pentingnya melalui website yang tampak asli.
Singkatnya, plugin rentan menjadi pintu masuk utama bagi pelaku untuk melancarkan serangan sibernya.
Baca juga: 7 Tahap Terjadinya Peretasan yang Wajib Kamu Waspadai
Alasan Plugin Rentan Terkena Phishing
Ada berbagai alasan mengapa plugin bisa menjadi pintu masuk serangan phishing. Dengan memahami penyebabnya, kamu akan lebih bijak untuk memilih atau mengelola plugin di website.
1. Kerentanan Kode dan Bug
Plugin yang ditulis dengan kode kurang aman berpotensi menyimpan celah keamanan.
Contohnya adalah bug pada plugin WordPress Automatic (CVE-2024-27956) yang memudahkan hacker untuk mengontrol sebanyak 38.000 website dari sang pengguna plugin.
Serangan ini terjadi karena plugin tersebut tidak menyediakan fungsi keamanan seperti $wpdb->prepare atau menggunakannya dengan salah.
Dalam kasus di atas, hacker lalu menaruh kode SQL berbahaya di kolom input. Saat query berhasil dijalankan, mereka bisa membaca, mengubah, atau menghapus data di database.
2. Plugin Bajakan dan Tidak Resmi
Pelaku juga bisa menyisipkan kode berbahaya dalam plugin bajakan yang diunduh dari website abal-abal yang tidak disadari oleh pengguna awam.
Saat menggunakannya, website akan mengarahkanmu ke halaman phising atau membuka pintu akses bagi penyerang.
Selain merugikan secara keamanan, plugin bajakan juga melanggar hak cipta dan tidak memiliki dukungan update resmi.
3. Plugin Tidak Diperbarui dan Versi Kadaluarsa
Menggunakan plugin versi lama sama saja dengan membuka pintu untuk hacker. Plugin versi lama yang tidak mendapat update keamanan jadi target empuk serangan phishing.
Misalnya saja plugin “Email Subscribers & Newsletters” oleh Icegram yang dimanfaatkan hacker.
Mereka akan mengirimkan email palsu secara massal dari sebanyak 100.000 website WordPress yang menggunakan plugin tersebut ke semua penerima–baik dari daftar kontak maupun pelanggannya.
Menurut seorang peneliti di Tenable, mereka harus memperbarui plugin tersebut ke versi 4.5.6 atau yang lebih tinggi.
4. Kelemahan Sistem Otentikasi pada Plugin
Beberapa plugin memiliki fitur login atau manajemen user yang kurang aman. Hal ini bisa dimanfaatkan hacker untuk menyusup melalui otentikasi lemah.
Misalnya adalah plugin WooCommerce Payments versi 5.62. Plugin ini menggunakan kode admin_init() atau is_admin() sebagai metode otentikasi.
Sayangnya, kode tersebut membuat penyerang bisa menyamar sebagai admin website dan mengambil alih lebih dari 500.000 website WordPress.
Dampak Phishing yang Berasal dari Plugin
Serangan phishing yang disebabkan oleh plugin tidak hanya merugikan pemilik website, tapi juga pengunjung. Berikut adalah beberapa dampak negatif yang disebabkan:
1. Pengambilalihan Kontrol Website
Plugin yang terinfeksi memudahkan hacker untuk masuk ke dashboard admin. Dari situ, mereka akan memanipulasi website seperti mengganti konten, mencuri data, hingga memasang malware.
2. Penyebaran Malware dan Spam
Plugin ini juga dapat menyebarkan malware ke pengunjung. Hacker juga bisa mengubah website-mu menjadi mesin pengirim spam otomatis. Jika dibiarkan, domainmu dicap sebagai website berbahaya dan diblokir oleh search engine.
Baca juga: 6 Ciri Ciri Komputer Terkena Virus dan Cara Mencegahnya
3. Kerugian Reputasi
Reputasi website yang memburuk membuat orang akan enggan membuka website-mu karena dianggap tidak aman. Ini juga menyebabkan penurunan trafik secara drastis yang memengaruhi pendapatan bisnis.
Cara Mencegah Plugin dari Serangan Phishing
Untungnya, ada langkah-langkah yang bisa kamu lakukan untuk mengurangi risiko plugin terkena phishing. Dengan strategi pencegahan yang tepat, website bisa tetap aman dan terpercaya.
1. Selalu Perbarui Plugin ke Versi Terbaru
Jangan sesekali menunda update plugin. Biasanya, pembaruan ini akan membawa patch untuk menutup celah keamanan di versi sebelumnya. Semakin lama kamu menunda, semakin besar risiko website-mu diserang.
2. Gunakan Plugin dari Sumber Terpercaya
Jangan tergiur dengan plugin bajakan! Pastikan untuk mengunduh plugin hanya dari marketplace atau developer resmi dan ternama. Mereka hanya akan membuat plugin yang sudah lolos proses verifikasi keamanan yang ketat.
Selain itu, plugin resmi juga akan mendapatkan dukungan update dan keamanan dari pengembang aslinya.
3. Gunakan Plugin Keamanan Tambahan
Pasanglah plugin keamanan khusus yang bisa memantau aktivitas mencurigakan. Beberapa plugin bahkan bisa mendeteksi phishing dan memblokir akses mencurigakan dengan otomatis.
4. Rutin Audit dan Scan Situs
Terakhir, lakukan pengecekan keamanan website secara berkala dengan tool scan malware. Proses audit ini dapat mendeteksi lebih awal adanya plugin yang berpotensi disusupi phishing.
Baca juga: 4 Cara Cek Keamanan Website: Panduan Dari Cyber Studio
Saatnya Lindungi Website dari Serangan Phishing
Setelah membaca artikel ini, sekarang kamu tahu alasan kenapa plugin rentan kena phising dan bagaimana cara mengatasinya. Dengan menerapkan langkah-langkah yang tepat, kamu bisa melindungi data dan reputasi website-mu dengan baik!
Untuk meningkatkan keamanan website, sebaiknya tingkatkan juga kemampuanmu di bidang cyber security. Yuk, daftarkan diri untuk mengikuti kelas cyber security yang disediakan oleh Cyber Studio!
Dengan learning path komprehensif dan bimbingan mentor terpercaya, kamu bisa memahami materi-materi dan mengimplementasikannya langsung dalam dunia kerja. Lampirkan juga hasil project akhir dan sertifikat kredibel kami dalam portofolio.
Kunjungi halaman learning path kami sekarang dan pilihlah paket kursus sesuai kebutuhan dan minatmu!