Tutorial SEO – Bagian 1 Keamanan website

Keamanan merupakan salah satu faktor terpenting yang harus dimiliki dan diperhatikan oleh pemilik website. Terlebih, apabila website tersebut merupakan website yang menyediakan dan melayani banyak transaksi setiap harinya. Lalu, bagaimana cara mengamankan website dari tangan-tangan jahil seperti hacker ini?

Hindari injeksi

Salah satu hal fatal yang seringkali terjadi dan merupakan celah keamanan yang paling riskan dihadapi empunya website adalah injeksi. Injeksi yang paling umum terjadi adalah injeksi sql (structured query language).

mysql export database
Gambar oleh: ngaret.com

SQL Injection memanfaatkan celah pada url untuk mengakses data dengan memanfaatkan kelemahan sql (sql without prepared statement) dan kecerobohan programmer. Injeksi lainnya seperti kelemahan eval pada javascript juga sangat riskan sekali mengingat hampir seluruh website dewasa ini menggunakan javascript.

Atur hak akses

Atur dan gunakanlah hirarki hak akses (otoritas) pada website. Hal ini berguna untuk membedakan siapa yang harus mendapatkan apa. Dalam beberapa kasus private web application setidaknya terdapat dua hirarki pengguna yakni normal user dan administrator user. Dalam paradigma object-oriented programming terdapat setidaknya tiga hirarki yakni public, protected, dan private. Gunakanlah konsep yang dirasa cocok dengan website yang kita gunakan.

Gunakan SSL

Banyak sekali website yang menggunakan ssl atau protokol https dewasa ini. Sebetulnya apa yang menarik dari ssl ini? Secara umum terdapat dua keunggulan yang dapat kita peroleh jika menggunakan ssl.

wrong issued certificate
Gambar oleh: ngaret.com

Pertama, dengan menggunakan ssl maka data akan dienkripsi saat dikirim dari server terhadap client, artinya tangan-tangan jahil tersebut tidak akan dengan mudah melihat apa data yang sedang kita akses. Selanjutnya, search engine seperti google memprioritaskan website yang menggunakan https. Artinya, website yang menggunakan https akan cenderung muncul di halaman pertama pencarian google.

Bagaimana cara mendapatkan ssl? Kita bisa membeli terlebih dahulu SSL Certificate untuk dapat menggunakan protokol https lalu memasangnya pada website kita.

Server atau Hosting handal

Sejatinya website merupakan kumpulan file web yang disimpan di sebuah tempat yang kita kenal dengan istilah server atau dalam hal yang lebih kecil lagi kita sebut dengan web hosting. Web administrator (empunya server atau hosting) sejatinya dapat dengan mudah melihat seluruh konten web seperti artikel, gambar, video, hingga database-nya.

server trend design
Gambar oleh: MetroStar Systems

Lucu sekali bukan jika website kita di-hack akibat penyedia server atau hosting kita terkena hack? Oleh karena itu pilihlah penyedia server atau hosting handal yang tidak hanya menyediakan layanan Domain dan Hosting Murah bahkan menyediakan Domain Gratis untuk cc-TLD Indonesia seperti co.id dan web.id.

Antisipasi Hijacking

Beberapa waktu lalu ngaret mendapati aktvitias penggunaan server yang luar biasa dari seorang client. Curiga dengan hal ini, saat diperiksa log server ternyata server tersebut digunakan sebagai Cache dan Forward Proxy oleh website yang tidak bertanggungjawab. Hal ini terjadi akibat ip address (public ip address) dari server tersebut diketahui (exposed).

turner.com innoconent lives
Gambar oleh: CNN

Setelah ditelusuri lebih lanjut ternyata sebelum diberikan kepada ngaret untuk mengatur servernya, client tersebut sebelumnya memberikan akses kepada orang lain untuk membantunya melakukan konfigurasi server, aduh bandel juga ya kamu om.

Solusi untuk menanggulangi hal ini jangan biarkan orang lain mengetahui ip addres server terlebih gunakan port akses lain, jangan gunakan default port seperti port 22 misalnya.

Awas backdoor

Dor! Tidak, ini bukan tentang drama tembak-menembak. Ini tentang celah keamanan yang mungkin terjadi saat kita melakukan akse tertentu. Misalnya saja saat kita melakukan klik dan mengeksekusi file atau aplikasi tertentu pada komputer kita seperti halnya virus readme file email incoming.

Lalu, bagaimana dengan website? Apakah hal yang sama bisa terjadi pada website kita? Bisa! Jika bisa, bagaimana cara peretas atau orang yang tidak bertanggungjawab melakukan hal ini? Secara kita tidak atau bahkan jarang sekali mengeksekusi atau melakukan download file di server tempat website kita berada?

Hal umum dan kemungkinan yang terpikirkan pertama kali saat kita tahu ada backdoor pada website kita adalah bahwa, “virusnya ikut ke-upload ke server/hosting“. Meskipun demikian, kemungkinan terjadinya sangat kecil terlebih jika virus tersebut berbeda target environment (komputer window namun server menggunakan linux).

 

injected by virus
Gambar oleh: ngaret.com

Hal yang memungkinkan backdoor bisa masuk dan peretas bisa menerobos keamanan website kita adalah dengan cara upload virus –backdoor itu secara langsung, hah? Komponen website kita tentu saja bukan sekadar menampilkan data tau informasi dari database, bukan? Pada website kita mungkin akan ada interaksi antara pengunjung atau pengguna website dengan website itu sendiri. Misalnya saja saat pengguna melakukan registrasi, login, lalu melakukan upload.

Berhati-hatilah terhadap serangan yang memanfaatkan form upload sebagai sarana untuk melakukan upload file backdoor atau virus ke server secara langsung. Lakukan validasi dan sanitasi serta pastikan file yang di-upload merupakan file yang seharusnya. Misal pada form upload gambar maka format atau ekstensi file yang diperkenankan untuk di-upload adalah .png, .jpg, .jpeg dan seorang web administrator perlu memastikan bahwa file tersebut benar merupakan file gambar (stream content).

Kata sandi cerdas

Salah satu metode otentikasi pengguna untuk menunjukkan bahwa kita adalah pengguna yang sah yang sering digunakan adalah menggunakan email/username dan password.

set of flat design security
Gambar oleh: Reciprocity

Gunakanlah password yang unik dan tidak mudah ditebak apalagi di-brute force oleh pihak yang tidak bertanggungjawab. Terlebih, jangan gunakan kata sandi dengan pola mudah seperti 12345, admin, atau bahkan tanggal lahir.

Plugin berkualitas

Pada website CMS (content management system) seperti wordpress atau joomla kita dapat menggunakan plugin untuk pengembangan website. Pilih dan gunakanlah plugin yang berkualitas, ringan, dan tidak banyak celah keamanannya. Jangan terlalu banyak menggunakan plugin, terlebih plugin yang digunakan langsung dalam antarmuka dengan pengunjung website (mengurangi kecepatan akses website).

Gratis dan populer tidak selalu baik dan benar

Berhati-hatilah dalam menggunakan sebuah layanan yang gratis dan populer karena yang gratis dan populer tidak selalu baik dan benar. Sebut saja kasus kebocoran data yang dialami facebook misalnya atau misalnya layanan gratis dengan intrik atau iming-iming yang secara nalar tidak masuk akal, MLM misalnya? hehehe

data big search icon
Gambar oleh: kisspng

Sebenarnya hal apa yang bermasalah dalam kasus facebook? Data. Bagaimana rasanya jika orang lain mengetahui sedang apa kita, ada dimana kita, atau lebih detilnya apa makanan kesukaan kita, kapan tanggal lahir kita, menakutkan bukan?

Kenapa menakutkan? Dengan data yang didapatkan sebanyak itu kita bisa dengan mudah mengetahui apa yang perlu diberikan kepada orang ini, opini apa yang perlu dibentuk terhadap orang ini, dst.

Last but not least

Sudahkah website kita aman setelah melakukan 9 teknik pengamanan website di atas? There’s no system safe, tapi setidaknya kita sudah mengantisipasi dan meminimalisir celah-celah keamanan yang mungkin dimanfaatkan oleh mereka yang tidak bertanggungjawab.

Summary
Review Date
Reviewed Item
9 cara mengamankan website dari serangan hacker
Author Rating
51star1star1star1star1star
(Visited 400 times, 1 visits today)
News Reporter
Banyak orang menyebutku sebagai seorang petualang, dan itulah aku --hanya satu hal bedanya: seseorang yang mengorbankan kulit luarnya untuk membuktikan kebenaran di dalamnya. (1965) ~Ernesto "Che" Guevara

Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *