Desain Kontrol Keamanan Pada Content Management System Wordpress Berdasar Aspek Aplikasi Dengan Panduan OWASP

Abstract

Layanan CMS WordPress sangat populer di seluruh dunia, sehingga keamanan platform ini menjadi sangat penting. Penelitian ini bertujuan merancang desain kontrol keamanan aplikasi pada CMS WordPress berdasarkan eksploitasi kerentanan pada plugin dan non-plugin. Kerentanan yang dieksploitasi mencakup plugin MStore-API, Modern Event Calendar Lite, WPS-Hide-Login, Elementor, Catch Themes Demo Import, serta kerentanan XXE dan serangan Brute Force. Hasil analisis menghasilkan desain kontrol keamanan aplikasi WordPress berdasarkan ancaman dan kerentanan, mencakup ancaman terhadap data dan standar OWASP Top 10. Dari tujuh kerentanan yang diidentifikasi, lima masuk kategori disclosure dan dua dalam kategori alteration, dengan empat kategori OWASP Top 10. Setiap kerentanan diberikan CVE ID dan dinilai menggunakan sistem CVSS. Misalnya, CVE-2023-2732 pada Plugin MStore-API memiliki skor tertinggi (9.8, Critical), sedangkan CVE-2021-29447 (XXE) memiliki skor terendah (6.5, Medium). Desain kontrol keamanan berdasarkan OWASP Top 10 membantu menentukan prioritas. Contohnya pada Identification and Authentication Failures (A07:2021), MStore-API diklasifikasikan sebagai Critical dengan risiko disclosure, menekankan pentingnya penerapan mekanisme keamanan segera. Meskipun Brute Force termasuk dalam kategori OWASP yang sama dan diklasifikasikan sebagai Medium, fokus utama tetap pada kerentanan Critical terlebih dahulu.