Wednesday, 7 October 2020

7+ Cara Melindungi Website dari Serangan Hacker

Jika Anda pemilik website, adanya serangan hacker pasti bikin pusing, bukan? Terlebih lagi website Anda merupakan website toko online. Alhasil pendapatan Anda pun jadi berkurang karena pelanggan tak dapat mengakses toko online Anda. 

Masalahnya, toko online yang di-hack bukan cuma mengurangi pendapatan Anda. Bahayanya, hacker bisa mencuri data pribadi pelanggan, data nomor rekening, dan data penting lainnya. Pokoknya serangan hacker ini jelas akan mengganggu jalannya bisnis online dan tentunya merugikan Anda.

Apa itu hacker
Hacker adalah orang dengan skill pemrogramannya mampu menerobos sistem keamanan komputer atau jaringan komputer untuk tujuan tertentu. 

Tindakan hacker yang merugikan pihak tertentu merupakan tindakan kriminal. Misalnya, mencuri data pribadi pada website toko online untuk diperjual-belikan. Lebih ekstremnya lagi, hacker dapat mengancam dan meminta tebusan untuk mengembalikan website seperti semula. 
Sementara itu, ada pula hacker yang dimanfaatkan untuk tindakan legal. Misalnya seperti menguji sistem keamanan data perusahaan tertentu.

Nah, di artikel ini, serangan hacker yang akan dibahas adalah serangan hacker yang merugikan pemilik website. 
Memang biasanya hacker mengincar website-website milik pemerintahan, perbankan, lembaga keuangan, atau perusahaan besar lainnya. 

Namun, jangan salah! Riset tahun 2019, ternyata 43% cyber attack juga menyasar website bisnis kecil. Itu artinya, semua pemilik bisnis online perlu waspada terhadap serangan hacker. Motifnya, tentu saja mencari keuntungan sebanyak-banyaknya.

Jenis-jenis Serangan Hacker 
Untuk mengetahui lebih detail seperti apa serangan hacker, mari simak uraian di bawah ini. Berikut ini jenis-jenis serangan hacker yang kerap kali dilakukan oleh para hacker:
1. Denial of Service (DoS) 
Serangan Denial of Service (DoS) merupakan serangan terhadap server website Anda. Jika website Anda terkena serangan ini, pengunjung website Anda tidak akan bisa mengakses website Anda. Hal itu karena serangan ini akan membanjiri trafik pada server website Anda sehingga server overload.

Biasanya serangan ini merupakan serangan awalan. Setelah website Anda lumpuh, hacker akan meluncurkan serangan berbeda lainnya. Salah satu yang paling umum adalah serangan session hijacking. (akan dibahas di pembahasan berikutnya).

2. Man in the Middle (MitM)
Dari namanya, serangan jenis ini membuat hacker dapat berada di jalur komunikasi antara website Anda dengan server. Hacker jadi dapat mengetahui semua informasi dari transfer data yang terjadi antara website dan server. Salah satu jenis dari serangan ini adalah session hijacking. 

Session hijacking merupakan pembajakan terhadap website Anda, sehingga hacker dapat terhubung dengan server Anda. Ketika website Anda lumpuh, hacker bisa mengendalikannya dan mengubah alamat IP komputer Anda dengan IP komputer hacker. 
Alhasil hacker mendapatkan akses ke server Anda. Yang lebih berbahaya adalah, data-data Anda dapat dicuri oleh hacker tersebut. 

3. Malware 
Serangan Malware merupakan jenis serangan yang masuk ke sistem aplikasi maupun website melalui file, aplikasi, maupun website yang Anda buka. Misalnya Anda membuka link tertentu. Kemudian secara otomatis terdapat aplikasi yang terinstall secara otomatis. Di dalam aplikasi itulah hacker menyisipkan malware. 

Jika serangan malware ini berhasil masuk ke sistem, data penting Anda bisa diambil atau disalahgunakan. Beberapa jenis serangan malware yang populer adalah Ransomware, Trojan, Spyware, dan Macro Virus.

4. Drive-by Attack
Serangan Drive-by sebenarnya masih berkaitan dengan serangan malware. Serangan ini merupakan metode yang biasanya digunakan untuk melancarkan aksi serangan malware. 
Hacker akan mencari website yang tidak aman untuk menyisipkan skrip berbahaya ke dalam kode HTTP atau PHP salah satu halaman. Dalam skrip tersebut kemungkinan telah disisipi malware yang bisa terinstall di komputer pengguna. 

Tak hanya mengincar website yang keamanannya lemah, serangan ini juga mengincar sistem operasi ataupun browser. Biasanya hacker akan memanfaatkan kelemahan sistem karena sistem keamanannya belum terupdate. 

5. Cross-site Scripting (XSS) 
Serangan ini memanfaatkan website yang tingkat keamanannya lemah sebagai sarana untuk mendapatkan data pengunjung..
Hacker lalu memasukkan skrip tertentu dengan menggunakan malicious Javascript ke website. Ketika pengunjung mengunjungi website tersebut, data seperti username, password, dan data lainnya akan ditransfer ke hacker.

Alhasil hacker bisa mendapatkan data pribadi pengunjung untuk disalahgunakan. Serangan ini tidak hanya merugikan pemilik website, tetapi juga pengunjung website. 

6. SQL Injection 
Serangan SQL Injection merupakan serangan yang juga banyak dilakukan oleh para hacker. Serangan jenis ini menyerang database server untuk mencuri informasi username dan password, mengubah database, dan memasukkan konten berbahaya. 

Cara kerja serangan ini, yaitu dengan memanfaatkan celah keamanan dan memasukkan perintah SQL ke dalam database server. SQL sendiri merupakan bahasa pemrograman yang digunakan untuk membuat dan mengolah database. Jika serangan ini berhasil, database website Anda dapat dirusak, diubah, dan disalahgunakan.

5 Langkah Mudah melindungi Website dari Serangan Hacker 
Setelah mengetahui jenis serangan hacker, Anda tentu ingin melindungi website dari serangan hacker, bukan? Mungkin di benak Anda cara melindungi website sangatlah rumit. Anda harus mengetahui coding dan hal-hal teknis lainnya. 

Padahal, ada beberapa cara melindungi website tanpa perlu skill di bidang teknis atau bantuan developer. Berikut ini langkah-langkah pengamanan yang bisa langsung Anda terapkan tanpa skil teknis. Sudah siap? Ayo kita mulai! 
Langkah #1: Install Security Plugin
Jika website Anda dibuat memakai CMS, menginstall plugin security merupakan cara termudah dalam melindungi website dari serangan hacker. Anda tidak perlu terlalu memahami istilah teknis atau coding untuk bisa melindungi website Anda dari serangan hacker.

Setiap CMS biasanya memiliki pilihan plugin security yang bisa Anda gunakan. Berikut ini beberapa pilihan plugin security untuk WordPress.
  • iThemes Security
  • Wordfence Security 
  • SecuPress Free
  • Shield Security 
  • Akismet 
Untuk mengetahui lebih detail tentang mengenai plugin security WordPress.

Kalau Anda menggunakan CMS Magento, Anda bisa menggunakan opsi plugin security untuk Magento berikut ini. 
  • Amasty 
  • Watching Pro 
  • MageFence
Sementara untuk Joomla, Anda bisa pilih plugin security berikut ini.
  • JhackGuard 
  • JomDefender 
  • RSFirewall
Dari daftar plugin di atas, setiap plugin memiliki keunggulan fiturnya masing-masing. Namun, setiap plugin memiliki fitur dasar untuk mengamankan website. Misalnya, login security, mendeteksi malware, mengecek kekuatan password, memblokir IP, dan firewall. 

Plugin-plugin yang tersedia dalam versi gratis dan berbayar. Jadi, Anda bisa memilih plugin mana yang sesuai dengan budget Anda. 

Langkah #2: Gunakan HTTPS 
Apa perbedaan HTTP dan HTTPS? Ternyata penambahan satu huruf ‘S’ itu ternyata sangat menentukan apakah sebuah website cukup aman untuk bertransaksi di dalamnya. 

Jika website Anda masih berupa HTTP, data Anda akan sangat rawan disalahgunakan. Transaksi yang terjadi di dalam website pun rawan disadap dan dicuri. Oleh sebab itu penting sekali mengupgrade website Anda menjadi HTTPS. 

Untuk mengubah website Anda menjadi HTTPS, Anda perlu memasang Sertifikat SSL (Secure Socket Layer). Sistem inilah yang akan mengamankan pertukaran data yang terjadi di website Anda. 

Selain berfungsi mengamankan data website, sertifikat SSL juga dapat meningkatkan peringkat website di mesin pencari Google. Google cenderung lebih menyukai website yang telah bersertifikat SSL. Google bahkan “melarang” pengunjung untuk mengunjungi website yang tak punya sertifikat SSL. 

Jadi penting sekali memiliki sertifikat SSL untuk website Anda. Perlu diketahui juga bahwa terdapat SSL berbayar dan SSL Gratis. Bagi Anda yang baru mengenal SSL, tak perlu khawatir.
Di sana Anda akan mengetahui manfaat, cara kerja SSL, jenis-jenis SSL, panduan memilih SSL, hingga cara memasang SSL. 

Langkah #3: Selalu Perbaharui Platform dan Software Anda
Menggunakan CMS dengan berbagai plugin memang memberi banyak keuntungan. Namun, jika Anda malas memperbarui platform dan plugin, website Anda bisa rentan terhadap serangan-serangan hacker. 

Kenapa? Hal itu karena ada banyak platform dan plugin yang open source sehingga para hacker dapat mudah mengakses source code-nya. Sehingga mereka dapat mencari kelemahan website Anda dengan mudah. 

Oleh sebab itu, pastikan CMS, plugin, ataupun skrip yang Anda install selalu diupdate ke versi terbaru. Jika Anda menggunakan WordPress, Anda bisa memeriksa apakah ada plugin yang perlu diupdate. Caranya, cukup klik menu Updates di dashboard Anda.

Langkah #4: Buat Password yang Kuat 
Langkah ini mungkin kelihatannya sederhana, tapi langkah ini sangatlah penting. Jika Anda membuat password yang mudah ditebak, sama saja artinya Anda mengizinkan hacker meretas website Anda. 

Oleh sebab itu, hindari penggunaan password yang mainstream seperti ‘123456’. Hindari jua membuat password yang mudah ditebak seperti tanggal lahir atau nama diri. Jika gunakanlah campuran huruf, angka dan karakter yang tidak beraturan. 

Jika Anda menggunakan WordPress, Anda bisa mengganti password dengan cara klik menu Users > Your Profile. Kemudian cari dan klik tombol Generate Password. Anda akan secara otomatis mendapatkan password baru. Anda juga bisa menggantinya jika tidak menyukainya. Namun pastikan Anda membuat password yang lebih kuat dengan kombinasi huruf, angka, dan karakter.

Langkah #5: Backup Otomatis Website Anda
Kalau pada akhirnya website Anda terkena serangan hacker, langkah ini bisa jadi penyelamatnya. Dengan memiliki backup, setidaknya Anda bisa memulihkan website Anda dengan lebih mudah. 

Jadi, mulailah membiasakan diri melakukan backup data Anda baik secara manual maupun otomatis. WordPress juga telah menyediakan plugin backup yang akan membantu Anda membackup data.

3+ Langkah Lanjutan Melindungi Website dari Serangan Hacker
Jika sebelumnya telah dibahas langkah melindungi website dengan mudah. Kami juga menyediakan langkah pengamanan lanjutan yang lebih membutuhkan pengalaman teknis supaya keamanan website Anda lebih optimal.

Langkah #6: Perlindungan Saat Menerima File Upload di Website
Ada beberapa website menyediakan opsi upload file dari pengunjung website. Misalnya upload file bukti pembayaran, upload foto identitas dan foto diri. Namun, tahukah Anda bahwa opsi tersebut bisa jadi celah para hacker untuk melakukan aksinya? 

Berikut ini beberapa risiko keamanan yang terjadi jika website Anda menyediakan opsi upload file:
File disisipi malware, exploit, atau pun script yang berbahaya bagi website dan server Anda.
Menimpa file di server – file yang diupload dapat menimpa file di server jika keduanya mempunyai nama file dan extensi yang sama. Hal ini bisa menyebabkan website Anda tak berfungsi dan pengaturan keamanan berubah.
File yang diupload terlalu besar dapat mengganggu server. 
Berpeluang terjadi serangan DoS melalui upload file. 

Nah, untuk mengurangi risiko serangan hacker pada upload file, kami merekomendasikan beberapa cara berikut ini. 
Hanya izinkan jenis file tertentu – batasi jenis file yang boleh diupload sehingga meminimalisir file bervirus yang hendak diupload.
Scan file – Anda bisa download anti virus untuk memindai setiap file yang diupload di website Anda.
Tetapkan ukuran maksimal file – hal ini untuk menghindari serangan DoS melalui file yang diupload, 
Ubah nama file yang telah diupload – hal ini dilakukan untuk mencegah hacker dapat mengakses kembali file yang diupload. Sekaligus tidak menyebabkan tumpang tindih dengan file penting di server. 
Simpan file di luar folder root web – pastikan direktori tempat file yang diupload berada di luar root web, sehingga hacker tidak dapat mengakses situs web Anda melalui file tersebut. 

Dengan menerapkan langkah-langkah di atas, Anda bisa meminimalisir serangan hacker yang mungkin dilakukan melalui upload file ke website Anda.

Langkah #7: Gunakan Parameter Query 
Menggunakan parameter query merupakan salah satu cara untuk melindungi website dari serangan SQL injection. Seperti telah dijelaskan sebelumnya, serangan SQL Injection ini menyerang database website Anda. Serangan jenis ini juga merupakan serangan yang sering dilakukan oleh para hacker.

Query sendiri adalah bahasa SQL yang ditampilkan dalam bentuk visual. Sementara itu, parameter query adalah query yang telah diberikan nilai parameternya. Mudahnya, prinsip langkah ini adalah membuat kode yang cukup kuat dengan query yang telah diberikan nilai parameter. Selengkapnya mengenai SQL bisa Anda baca di artikel Apa itu Query SQL?

Sehingga pengguna yang tidak mengetahui nilai parameternya tidak dapat mengakses database tersebut. Dengan parameter yang cukup spesifik juga akan mempersempit celah bagi hacker untuk menyerang database website Anda. 

Langkah #8: Gunakan Content Security Policy (CSP) 
Content Security Policy (CSP) adalah pengaturan tambahan yang diterapkan melalui respons HTTP Header. Pengaturan ini dapat membantu Anda melindungi website dari serangan XSS maupun serangan melalui kode injeksi lainnya. 

Dengan CSP, Anda bisa mengatur domain mana saja yang diizinkan untuk dimuat di server Anda. Sehingga, jika hacker mencoba menyisipkan kode berbahaya di domain tersebut, browser akan langsung memblokirnya. 
CSP juga telah didukung oleh semua browser yang biasa umum digunakan oleh oleh para pengguna, seperti Chrome, FireFox, Safari, Edge, dan Internet Explorer. 

Langkah #9: Atur File Permission dan Kunci Direktori di cPanel
Semua website memiliki file dan folder yang disimpan di akun web hosting pemiliknya. Dalam file tersebut berisi script dan data-data yang membuat website Anda dapat berjalan sesuai fungsinya. 
Nah, masing-masing file dan folder memiliki izin yang dapat membatasi akses seseorang. Artinya, setiap file telah diatur siapa yang dapat membaca, menulis, dan mengeksekusinya. 

Izin akses file dapat dilihat melalui tiga kode digit angka 0-7. Digit pertama merupakan izin pemilik file. Digit kedua merupakan pihak atau orang tertentu yang diberi izin oleh pemilik file. Sementara digit ketiga adalah semua orang. 

Kemudian cara membaca kode angka tersebut adalah sebagai berikut.
4 berarti dapat dibaca
2 berarti dapat ditulis 
1 berarti dapat dieksekusi
0 berarti tidak dapat dibaca, ditulis, dan dieksekusi 

Sebagai contoh, kode salah satu file adalah “744”. Dalam hal ini digit pertama atau pemilik file memiliki izin berupa “7” (4+2+1), artinya pemilik file dapat membaca, menulis, dan mengeksekusi file tersebut. Sementara itu, pihak tertentu dan orang lain pada umumnya hanya diberi izin untuk membaca. 

Sebenarnya, ketika suatu file pertama kali dibuat, pengaturan izin sudah secara otomatis diatur ke mode default. Pengguna tak perlu lagi melakukan pengaturan izin pada setiap file. Namun, ada kalanya Anda membutuhkan perubahan file permission, seperti ketika ada update terbaru atau instalasi. 

Perlu diingat pula, jika Anda salah mengatur file permission, website Anda bisa rentan terhadap serangan hacker. Jadi, pastikan file penting Anda tidak diatur dengan kode “777”. Nah, Berikut ini cara untuk mengubah pengaturan file permission: 
Login ke cPanel atau program FTP 
Pilih menu File Manager > pilih file yang Anda ingin atur file permissionnya
Klik kanan pada file lalu pilih Change Permission
Centang pilihan permission file tersebut 
Setelah mengatur file permission, klik tombol Change Permission

Setelah mengatur file permission setiap file, Anda juga bisa menambahkan password pada folder atau direktori akun web hosting Anda.

Segera Lindungi Website Anda dari Serangan Hacker!
Anda sudah belajar bahwa hacker mengancam website dengan sistem keamanan yang lemah kapan saja.
Serangan hacker pun banyak jenisnya. Untuk itu, lakukan perlindungan website seoptimal mungkin, mulai dari cara perlindungan umum hingga perlindungan lanjutan. 

Sumber: