<![CDATA[WordPress, sebagai platform Content Management System (CMS) yang dominan, menjadi target utama serangan siber, termasuk Cross-Site Request Forgery (CSRF). Meskipun WordPress telah mengadopsi mekanisme Nonce sebagai token keamanan untuk memverifikasi keabsahan permintaan, implementasinya pada Plugin sering kali tidak konsisten dan rentan terhadap kesalahan. Penelitian ini bertujuan untuk mengatasi celah tersebut dengan mengembangkan custom ruleset PHP_CodeSniffer (PHPCS) yang dirancang khusus untuk mendeteksi kesalahan implementasi Nonce dalam Plugin WordPress. Ruleset yang dinamakan WPNonceAnalysis ini dibangun di atas WordPress Coding standards (WPCS) dan terdiri dari tiga sniff utama untuk mendeteksi ketiadaan generasi Nonce, kurangnya verifikasi, dan mengevaluasi kualitas implementasi. Metodologi penelitian melibatkan identifikasi pola kesalahan, perancangan sniff, serta pengujian terhadap 20 Plugin WordPress (10 versi rentan dan 10 versi aman). Hasil pengujian menunjukkan bahwa ruleset WPNonceAnalysis sangat efektif, dengan Akurasi sebesar 90% dan Recall 100%, berhasil mengidentifikasi semua Plugin rentan tanpa false negative. Namun, nilai Presisi 83.33% mengindikasikan adanya kasus false positive akibat keterbatasan analisis statis dalam memahami konteks aplikasi yang kompleks. Penelitian ini menunjukkan bahwa custom ruleset PHPCS yang dikembangkan memiliki kinerja yang sangat baik untuk deteksi otomatis kesalahan implementasi Nonce, menjadikannya alat bantu yang berharga untuk mitigasi kerentanan CSRF di ekosistem WordPress.]]>
Copyrights © 2025
