Basic Web Security – Upaya Pengamanan Website

Kami akan mengulas dasar-dasar keamanan web. Pengenalan dasar web security, perihal tanda-tanda situs web telah diretas hacker juga langkah pencegahan dini menangkal serangan dan perbaikan.

Basic-Web-Security-Protect-Againt-Hacked

Kita mesti mengingat bahwa:
Tidak ada sistem yang anti peretasan hacker, namun setidaknya kita dapat memperkuat pertahanan. Click To Tweet

Ketertarikan kami untuk membahas security ini didasari keterkejutan melihat laporan pada panel admin untuk beberapa waktu yang lalu. Sebuah situs yang baru saja kami bangun, dalam hitungan hari yang pendek telah mendapat percobaan pembobolan berkali-kali.

Kekhawatiran yang membuat kami berkeinginan untuk mencari langkah pengamanan.

Sekaligus memberikan kami begitu banyak masukan tentang keamanan web. Dan merangkumnya untuk Anda kali ini.

Seringkali kita menyimak laporan statistik rata-rata harian serangan hacker terhadap situs web seluruh dunia. Situs web milik pemerintah pun tak luput dari serangan, apalagi sebuah situs yang dikelola perorangan atau kelompok kecil.

Jangan tutup mata tentang ini bila Anda mengelola sebuah situs web. Baik berupa blog, toko online maupun untuk perusahan kecil Anda. Keamanan web itu penting.

Silahkan melihat laporan Sucury mengenai serangan hacker

 

Google pun telah mem-blacklist puluhan ribu situs yang terkena serangan demi kenyamanan pengguna.

Awal quarter tahun lalu (yaitu 2016) Google mengeluarkan laporan bahwa lebih dari 50.000.000 pengguna telah mendapatkan peringatan bahwa situs yang mereka kunjungi berkemungkinan mengandung perangkat lunak berbahaya, dan berpotensi merusak juga mencuri data pengguna internet.

dampak buruk keamanan web yang lemah
*img doc: Google Webmaster Support

Apakah Anda Pangguna CMS WordPress Self Hosted?

Kenali Tanda Situs Web Telah Diretas

Berikut merupakan tanda-tanda yang mungkin menunjukkan keamanan web Anda sudah sudah dikalahkan seorang peretas.

Penurunan drastis visitor

Ketika melihat data analytic dan di panel webmaster tool Anda mungkin menemui kurva menyerupai air terjun… Trafik anjlok, ini bisa menjadi sebuah indikasi.

Pengunjung situs bisa saja tertahan oleh sesuatu dan tak jadi mengunjungi situs web Anda. Atau dalam hal ini dapat menampilkan angka pentalan yang besar, bounce. Pengunjung dengan cepat menutup halaman situs Anda dikarenakan suatu hal yang tidak diharapkan.

Tampilan pada SERP abnormal

Anda bisa melihat kejadian ini di halaman hasil pencarian seperti Google Search Result Page. Snippet dan nama situs web Anda bisa sangat tidak normal.

snippet-serp-site-under-attack
*img doc: Google Webmaster Support

Berarti meta tag di situs Anda telah dirubah oleh hacker. Anda jelas tidak mendapat pengunjung dikarenakan hal ini.

Dalam waktu singkat pula Anda akan mendapatkan peringatan dari Google. Resiko blacklist sementara dapat terjadi sampai Anda memperbaiki kerusakan tersebut.

Situs melambat saat diakses

Kekacauan yang ditimbulkan hacker seringkali dapat memperlambat situs. Memaksa server bekerja keras, memakan resource yang besar. Pengunjung situs Anda tentu tidak menyukai hal ini.

Tak jarang hacker juga memberdayakan sistem Anda untuk tujuan tertentu, seperti mengendalikannya bersamaan dengan banyak sistem lain guna menyerang sistem yang memiliki sumber daya besar.

Mereka membutuhkan serdadu yang diremote dan milik Anda salah satunya.

Deface

Ini bagian termudah untuk dikenali. Halaman depan atau halaman lainnya di situs Anda dirubah oleh hacker. Deface adalah yang sering kali terjadi.

Bentuk serangan termudah yang dapat dilakukan dan populer bagi hacker hitam pemula.

Jenis serangan ini dilancarkan guna menampilkan pesan-pesan tertentu di halaman web Anda. Hampir menyerupai serangan unjuk rasa atau unjuk gigi.

Bisa saja diangap serangan hisapan jempol, serangan coba-coba bagi mereka yang baru paham dunia hacker. Namun cukup memalukan dan dapat menurunkan kepercayaan pelanggan Anda. Jelas mengganggu tentunya.

Pop-up modal dan pop under

Sembulan-sembulan yang tak berperikemanusiaan bermunculan di situs web Anda. Seringkali berupa kampanye, baik kampanye iklan maupun jenis lainnya. Hacker bisa mendapatkan keuntungan dari layar sembulan yang muncul ini.

Sembulan tidak akan selalu muncul, mereka yang menempatkannya di situs Anda mungkin telah melakukan setting dengan baik. Menerapkan suatu conditional term, bisa saja pengurus situs tidak melihat sembulan ini, karena ditargetkan tampil hanya pada pengunjung.

Pengguna mencurigakan

Anda perlu sesesekali mengecek keberadaan spamer dan pengguna mencurigakan di daftar member situs Anda.

Bahkan bila situs web Anda tidak menyediakan fitur daftar member sekalipun… masih besar kemungkinan hacker mendaftarkan sebuah nama pengguna dengan berbagai cara di sana.

Itu adalah akses masuk hacker dengan leluasa ke dashboard website Anda. Mereka telah memegang stir website bila ini ditemukan.

Konten berisi link atau cuplikan dengan sendirinya

Ini seringkali adalah hal yang sangat memalukan untuk website Anda. Hacker menebar link / tautan di dalam konten situs Anda. Dapat pula cuplikan-cuplikan sejenis iklan promosi.

Promosi yang dilakukan hacker untuk ini bisa saja mengarahkan pengguna situs web Anda ke halaman lain yang tdak semestinya. Bisa saja ke halaman situs web dengan konten vulgar dan terlarang lainnya.

Ini perlu diawasi dengan baik dan semestinya pengurus peka pada laporan pengunjung bila mereka menginformasikan hal ini.

Bisa saja ini diatur agar pengurus website tidak dapat melihatnya bila login sebagai administrator.

SMTP bermasalah

Ketika tidak lagi mendapatkan email dari situs Anda sebaiknya periksa hal ini.

Hacker bisa saja telah melumpuhkan mail server. Mail server bisa digunakan sebagai pemberitahu secara otomatis mengenai situs Anda. Sistem dapat memberitahu Anda melalui email terhadap suatu masalah dan aktifitas, hacker perlu melumpuhkan ini.

Permasalahan pada mail server bisa membuat form yang ada di website tidak lagi dapat mengirim email.

Log abnormal

Sesekali Anda perlu audit adalah ringkasan log yang dibuat sistem. Melalui panel hosting Anda silahkan menuju log file. Beberapa kejadian tidak normal mungkin bisa terlihat bila hacker secara diam-diam telah bekerja dalam sistem atau bahkan mengendalikannya.

Beberapa contoh seperti aktifitas yang tidak Anda lakukan namun tercatat di dalam log. Ini patut dicurigai.

Log Server Cpanel Guna Memantau Keamanan Web

Keberadaan file mencurigakan

Masuk ke dalam file hosting untuk inspeksi keamanan cukup penting. Melihat file-file yang tidak umum dan tidak selayaknya. Hacker mungkin perlu menanamkan file di dalam web hosting Anda melalui berbagai pintu untuk mendapatkan akses penuh ke sistem.

Secara berangsur-angsur kuasa hacker terhadap sistem Anda bisa bertambah, lanjut setelah itu, menguasai sepenuhnya. Mereka bisa memulai dari celah sempit dan kecil untuk menguasai.

Gagal login

wordpress-gagal-login
Hacked: Gagal Login

Anda mungkin menjadi kesulitan bila ini terjadi. Anda mengingat username dengan baik, juga password, namun situs Anda tidak menerimanya. Log masuk gagal. Bisa saja hacker telah berhasil merubah data untuk log masuk.

Sebagai administrator Anda kehilangan hak untuk ruang kendali situs web Anda sendiri.

Untuk situs web yang dibangun di atas platform berbeda bisa saja memiliki kemiripan indikasi dengan CMS opensource WordPress self hosted ini.

Dan khusus pengguna hosted, peranan penyedia layanan sangat besar dalam pengaman, pengguna hanya perlu menjaga kerahasiaan log masuk dan mengikuti saran dari pihak penyedia layanan.

Anda juga bisa menemukan bagaimana memilih platform yang terbaik di dalam catatan berikut.

 

Anda dapat pula melihat informasi dari Google Webmaster terkait Indikasi Serangan Hacker.

 

Langkah Pengamanan Dari Serangan Hacker

Basic Web Security
pengamanan situs web

Berikut adalah langkah pengamanan dasar yang bisa diterapkan, dikhususkan bagi pemilik website pribadi dan kelompok kecil. Untuk tingkat lanjut Anda mungkin membutuhkan layanan jasa security.

Pilih Perusahaan Hosting Terpercaya

File website Anda akan dititipkan di web hosting. Pastikan bahwa Anda memilih perusahaan yang memiliki legalitas hukum, dan dapat menjelaskan bagaimana mereka akan mengamankan server mereka.

Kekuatan pengamanan dari penyedia layanan hosting sangat berperan, meski bukan 100% tanggung jawab mereka, namun memilih layanan hosting yang salah membuat situs Anda semakin rentan dan tidak aman.

Rekomendasi kami untuk Anda berlangganan layanan hosting berkualitas adalah PT. WEB MEDIA TECHNOLOGI INDONESIA

 

a-website

* Penting untuk diketahui secara transparan. Kami memberikan rujukan ber-afiliasi. Dalam artian kami mendapat nilai dari transaksi sukses.

* Sementara bagi Anda yang berlangganan melalui link afiliasi kami dan/atau menggunakan kode kupon a-website dalam order produk akan mendapat keuntungan lebih berupa potongan harga khusus.

Update Web Security Berkala

Jangan biarkan sistem Anda berjalan tanpa update sekian lama. Ini beresiko. Update yang dikeluarkan adalah upaya perbaikan yang berkesinambungan.

Sebuah sistem bisa saja kuat untuk saat ini, namun di masa mendatang pengetahuan hacker akan bertambah untuk mengeksplorasi titik-titik kelemahan. Update dapat berisi perbaikan akan celah keamanan yang terjadi.

Penting:
Perlu mengikuti petunjuk mengenai update yang selalu ditampilkan dalam pesan update tersebut agar tidak menimbulkan gangguan.

Pencadangan sebagai langkah antispasi dalam keamanan web

Pastikan Anda membuat pencadangan Website secara berkala. Kita tidak tahu kapan sebuah permasalahan menghampiri. Adanya backup akan membantu mengembalikan kondisi normal situs web Anda.

Pencadangan bisa saja tetap menyimpan file di dalam hosting Anda atau (rekomendasi) mengirimnya ke penyedia drive online (Contoh: Google Drive dan Dropbox)

Menggunakan salah satu plugin backup dapat dikatakan wajib bagi sebuah situs berbasis WordPress. Berharap Anda tidak melewatkan ini.

PENTING:

Dalam pengaturan penjadwalan untuk membuat backup perlu pula pertimbangan. Berapa interval dan kapan waktu yang tepat.

Proses backup bisa saja memberi beban lebih pada situs di saat itu. Usahakan tidak mengganggu kenyamanan pengunjung. Dan tidak menetapkan backup otomatis pada jam-jam sibuk situs Anda.

Perkuat Cara Log Masuk

Password dan username perlu diperhatikan adalah yang kuat dan tidak mudah ditebak. Berikan kesulitan lebih kepada hacker.

Hindari menggunakan username default. Peretas akan mencobanya terlebih dahulu dan lebih mudah.

Batasi jumlah kesalahan input pada form login. Anda bisa menggunakan plugin pembatas kesalahan login atau yang bundled sekaligus dengan plugin security.

Tambahkan pertanyaan keamanan. Ini bisa makin menyulitkan peretas situs. Anda bisa membuat pertanyaan dan mengatur jawabannya. Siapapun yang ingin login tak cukup hanya mencoba password dan username berbeda.

Mereka juga harus menebak pertanyaan keamaan yang Anda tambahkan. Bisa menggunakan plugin untuk ini.

Menambahkan password pengaman folder admin. Anda dapat mengunci folder admin dengan username dan password melalui panel hosting Anda.

folder-admin-password
Password Folder Admin

Google Authenticator. Menggunakan fitur keamanan dari Google ini bermamfaat mempertebal pengamanan untuk login di situs web Anda.

Log out otomatis. Membuat log out otomatis untuk idle user dapat mencegah pencurian sesi masuk. Untuk log out idle user dapat menggunakan plugin.

Pembatas Ip Address. Ini dikhususkan kepada Anda yang akan mengelola website Anda dari static IP address. Jangan gunakan bila Anda menggunakan Dinamyc IP. Hal ini akan menutup akses ke situs web Anda dari IP manapun kecuali IP address yang Anda tentukan.

Pembatas ip address secara manual.

Tambahkan barisan kode berikut di .htaccess file.

*Anda juga dapat memamfaatkan fitur ini melalui plugin yang tersedia bagi penggun WordPress Self-Hosted.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# IP address pengurus 1 di sini
allow from xx.xx.xx.xxx
# IP address pengurus 2 di sini
allow from xx.xx.xx.xxx
</LIMIT>

Gunakan Security Plugin

Security plugin bisa lebih meringankan Anda dalam mengelola pengamanan. Beragam hal yang mesti dilakukan manual demi pengamanan dapat dengan mudah dibuat hanya dalam beberapa klik.

Pertimbangan plugin security adalah:
Pastikan tidak mengakibatkan bentrok dengan plugin lain dan memadai dengan resource yang dimiliki hosting Anda.

 

Beberapa saran untuk plugin security.

Jetpack.

Tak hanya sebagai security, Jetpack buatan perusahaan pengembang yang sama dengan WordPresss ini membawa beragam fungsi lainnya.

Wordefance.

Salah satu yang termasuk penjaga keamanan terbaik. Banyak review dari pengguna menampakkan kesan positif. Dapat digunakan berbarengan dengan Jetpack.

 Sucury.

Juga adalah yang termasuk kuat. Mendapat pengakuan dari berbagai pihak akan kehandalannya.

Bila Anda telah menggunakan plugin keamanan. Apapun. Mungkin Anda masih perlu menambahkan keamanan secara manual atau plugin terpisah.

Berikut yang mungkin anda butuhkan.

 

Fix-website
* Management security website

Bila Anda telah menggunakan plugin keamanan. Apapun. Mungkin Anda masih perlu menambahkan keamanan secara manual atau plugin terpisah.

Berikut yang mungkin anda butuhkan jika fitur plugin Anda tidak memilikinya..

Matikan File Editor

File editor berguna untuk mengubah file theme dan plugin langsung dari dashboard admin. Ini memang bisa mempermudah dalam melakukan perbaikan tampilan dan fungsi-fungsi dari theme maupun plugin.

Untuk memberikan kemudahan inilah fitur file editor diberikan, namun sisi lain bisa menjadi celah kerentanan keamanan sistem.

Peringatan:
Melakukan disable file editor berarti untuk mengedit file theme dan plugin setelahnya harus melalui panel hosting atau ftp.

Cara disable file editor WordPress

Akses ke file wp-config.php melalui ftp ataupun web file manager di panel hosting.

Tempelkan barisan perintah yang tertera dalam penampil kode di bawah

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Disable PHP File Execution

Pada folder yang tidak membutuhkan, sebaiknya PHP file execution dimatikan. Seperti folder media, umumnya kita tidak meletakkan dan mengeksekusi file php di sana.

Bila file execution untuk jenis PHP telah dalam keadaan disable akan mengurangi kemungkinan hacker memamfaatkan celah ini.

Cara disable PHP File Execution

Akses ke dalam folder: wp-content/uploads

Kita akan membuat sebuah file .htacces di sana (bisa juga menerapkan pada folder lain yang Anda rasa perlu).

Pada penampil kode di bawah tersedia barisan perintah untuk diisikan ke dalam file .htacces yang ada di dalam folder tersebut.

<Files *.php> deny from all </Files>

Jangan Tampilkan Index Folder

Diam adalah emas, bisa menjadi istilah yang tepat. Bila file di dalam folder dapat terbaca dan diketahui dengan mudah, ini bisa menjadi referensi bagi hacker untuk mencari celah yang mungkin digunakan dalam menyerang situs web.

Selain mematikan directory listing Anda juga bisa menempatkan file index kosong.

Menempatkan file index kosong di dalam folder yang tidak memiliki file index adalah solusinya. Hal ini akan membuat folder tersebut berhenti menampilkan data tentang isi folder, dan hanya menampilkan halaman putih kosong.

Prefix Database Jangan Default, berbahaya untuk keamanan web

Saat proses instalasi, bisa memilih untuk mengganti prefix database yang digunakan WordPress agar tidak menggunakan prefix default.

database protected
Ilustrasi Database Proteksi

Bila prefix database dalam keadaan default dan mudah ditebak bisa meringankan pekerjaan seorang hacker dalam menyerang.

Matikan Fitur XMLRPC

Sebenarnya fitur ini bermamfaat untuk memudahkan pengendalian WordPress. Fitur xmlrpc.php bisa membuka akses ke pengendali WordPress dengan berbagai cara, menjadi lebih fleksibel.

Sisi buruk juga dimiliki. Ketika Anda telah melakukan berbagai upaya pengamanan pada sistem log masuk, maka melalui xmlrpc hal itu tidak berfungsi.

Hacker yang menyerang bisa memamfaatkannya untuk melakukan brute force atau percobaan login berulang, mengirim post dan lain-lain.

Cara disable XMLRPC demi keamanan web

Isikan baris perintah dari penampil kode berikut ke .htaccses yang ada di root WordPress.

# Matikan xmlrpc.php requests 
<Files xmlrpc.php> order deny,allow deny from all </Files>

Mematikan Pesan Kesalahan Login

Demi memudahkan pengguna ketika salah memasukkan salah satu syarat login, maka default WordPress akan memberitahukan kesalahan itu. Disisi lain, ini juga bisa membantu hacker yang sedang melakukan upaya login.

Memastikan salah satu opsi yang digunakan benar melalui hint yang tampil dapat meringankan pekerjaan peretas.

Cara disable login hit sebagai tambahan keamanan web

Login hint akan diganti dengan pesan kesalahan lain.

Letakkan barisan kode di bawah ke dalam file function.php
function no_wordpress_errors(){
 return 'GALAT! Login Gagal.';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

 

*** Tambahan untuk keamanan web

Anti Spam

Tingkatkan keamanan web dengan memblokir spam. Aktifkan Anti spam Anda untuk melindungi kolom komentar, pendaftaran pelanggan maupun berbagai kolom isian lain agar tidak disalahgunakan pihak lain.

Akismet. Adalah default dan wajib bagi WordPress

Captha. Code captha bermamfaat meminimalisir aktifitas robot terhadap form disitus Anda.

Situs Web Saya Diretas! – Mengatasi Website Yang Diretas

Pada saat itu Anda akan membutuhkan file backup yang pernah dibuat sebelumnya.

website warning attack
website warning contain malware

Selanjutnya pastikan untuk membersihkan bekas peretasan yang memungkinkan digunakan lagi oleh hacker. Lakukan scan dengan plugin keamanan yang handal.

Beberapa layanan penyedia hosting dapat membantu pelanggannya dalam mengatasi ini. Mereka mempunyai tim ahli untuk Anda. Namun berkemungkinan akan menyesuaikan dengan jenis paket layanan yang Anda gunakan.

Jika Google mendaftar hitamkan situs web Anda karena telah diretas dan bisa merugikan kepada pengguna internet, maka secepatnya perbaiki situs Anda dan ajukan peninjauan ulang ke Google.

Informasi Google terkait perbaikan situs yang telah diretas dapat ditemukan di sini.

 

*** Catatan perihal keamanan web sampai di akhir lembaran. Silahkan menambahkan saran terkait pengamanan di kolom komentar yang tersedia. Terimakasih. [mk|end]



BIla catatan merupakan artikel panjang, silahkan menggunakan menu paginasi halaman yang tersedia di bagian bawah kolom text reader ini guna mengakses part selanjutnya





Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *