Cyber Security: 10 Tips Ampuh Membuat Website Aman
Content management systems (CMS) seperti WordPress, Joomla, Drupal, dan yang lainnya dapat membantu pemilik bisnis untuk membangun kehadiran online mereka secara cepat dan efisien. Arsitektur yang sangat extensible dari CMS ini, seperti plugin, module, extension sangat memudahkan kita dalam membuat sebuah web tanpa harus beajar selama bertahun-tahun.
Namun, sayangnya masih banyak webmaster yang tidak tahu bagaimana untuk memastikan website mereka aman, atau bahkan memahami pentingnya mengamankan situs mereka. Pada artikel ini kami akan berbagi 10 tips bagaimana menjaga webiste agar tetap aman.
Contents
1. Update, update, update!
Hal pertama yang harus kita lakukan adalah memastikan bahwa versi CMS maupun plugin yang kita gunakan merupakan versi terbaru. Menjalankan software yang usang dan tidak pernah diupdate sangat rawan dan berisiko. Kebanyakan hacker saat ini bekerja menggunakan sistem otomatis, yaitu dengan bots yang melakukan scanning secara terus menerus pada situs yang ditargetkan untuk mencari celah untuk di eksploitasi.
Bagi pengguna WordPress, kita bisa menggunakan plugin “WP Update Notifier”, plugin ini akan secara otomatis mengirimkan email pemberitahuan jika ada update plugin atau WordPress terbaru.
2. Password
Password merupakan hal penting yang harus dijaga dan dilindungi tingkat kerahasiaannya. Namun, masih banyak orang kurang ‘aware’ terhadap password mereka sendiri. Jangan membiasakan menggunakan password yang mudah ditebak atau kata umum, seperti nama panggilan, tanggal lahir, dan lainnya. Maka jangan heran jika hacker dapat dengan mudah membobol akun username dan password kita.
Setidaknya ada 3 syarat utama untuk membuat password yang kuat, yaitu:
Kompleks. Syarat pertama password haruslah acak, jangan sampai seseorang meng-hack akun kita hanya karena tahu tanggal lahir atau tim olahraga favorit kita. Bagaimana membuat password acak? Kita bisa menggunakan kombinasi angka dan huruf (besar/kecil), atau mengganti beberapa huruf dengan angka. Misalnya IDwebhost menjadi IDw3bH0st.
Panjang. Syarat kedua adalah password harus panjang. Semakin panjang password maka akan semakin sulit untuk dipecahkan, baik menggunakan tools atau menggunakan beberapa kombinasi. Standarnya panjang password yang direkomendasikan adalah 6 – 12 karakter.
Unik. Syarat terakhir adalah password harus unik. Aturannya sederhana, jangan menggunakan password yang sama di berbagai layanan yang berbeda. Mengapa? Karena sekali hacker mendapatkan password kita, maka dia bisa mendapatkan semua akun kita dengan password yang sama.
3. Satu situs = satu server
Sebagian orang mungkin tertarik menyewa web hosting unlimited untuk menaruh banyak situs didalamnya dengan alasan lebih efisien. Sayangnya, ini adalah salah satu cara yang buruk dari sisi keamanan. Hosting banyak situs di lokasi yang sama dapat memicu serangan yang besar.
Sebagai contoh, satu server berisi satu situs yang terinstal WordPress dengan tema dan 10 plugins masih sangat berpotensi mendapatkan serangan dari attacker. Nah, bagaiamna jika kita meng-host 5 situs pada satu server? Jelas ini berisiko tinggi, setelah attacker menemukan eksplotasi salah satus situs, maka infeksi dapat menyebar dengan mudah ke semua situs.
Dampaknya, tidak hanya semua situs kita yang dihack, tapi juga proses recovery jauh lebih sulit dan memakan waktu. Situs yang terinfeksi dapat terus terinfeksi kembali satu sama lain dalam lingkaran yang tak berujung.
4. Membatasi akses pengguna
Aturan ini hanya berlaku untuk situs yang memiliki beberapa login. Sangat penting untuk membatasi akses setiap pengguna sesuai dengan perannya masing-masing.
Misalnya, kita memiliki teman yang ingin ikut berkontribusi di blog kita. Buat akun khusus untuk penulis/editor yang memiliki akses terbatas hanya untuk membuat posting baru atau mengedit tulisan.
Dengan membatasi akses setiap pengguna, itu dapat mengurangi dampak dari akun yang membahayakan dan melindungi terhadap dari kerusakan yang mungkin dilakukan oleh pengguna ‘nakal’.
5. Ubah pengaturan default CMS
Aplikasi CMS saat ini meskipun mudah digunakan, tetapi cukup mengerikan dari perspektif keamanan bagi pengguna akhir. Sejauh ini serangan paling umum terhadap website dilakukan secara otomatis, dan banyak dari serangan ini memanfaatkan pengaturan default yang digunakan. Itu berarti kita bisa menghindari sejumlah serangan hanya dengan mengubah pengaturan default saat menginstal CMS.
6. Pilih ekstensi yang terpercaya
Salah satu kelebihan dari aplikasi CMS adalah adanya banyak ekstensi yang tersedia. Plugin, add-ons, dan ekstensi menyediakan hampir semua fungsi yang dibutuhkan. Namun, banyak yang tidak menyadari bahwa ekstensi bisa menjadi pedang bermata dua, disatu sisi itu sangat membantu tapi disisi lain bisa juga memiliki celah yang berbahaya.
7. Backups
Data merupakan aset penting dalam sebuah website, sehingga diperlukan perlindungan ekstra untuk mengamankan data.
Salah satu solusinya adalah dengan membuat Backups. Melakukan backup website secara berkala merupakan hal yang harus dilakukan untuk mengantisipasi sesuatu yang tidak diinginkan. Akan tetapi, menyimpan backup di web server yang sama adalah sangat berisiko tinggi. Backup ini biasanya mengandung versi unpatched dari CMS dan ekstensi yang tersedia untuk umum, hal ini memudahkan hacker untuk mengakses server kita.
8. Konfigurasi server
Kita harus tahu apa saja jenis file konfigurasi yang digunakan pada web server. Misalnya, Apache web server menggunakan file .htaccess, Nginx menggunakan nginx.conf, dan Microsoft IIS server menggunakan web.config. Dari file-file konfigurasi ini kita dapat menerapkan aturan tertentu pada server, termasuk instruksi yang dapat meningkatkan keamanan website kita.
9. Install SSL
SSL digunakan untuk mengenkripsi komunikasi antara titik A dan titik B, yaitu antara server dan browser. Enkripsi ini sangat penting untuk alasan tertenu, mencegah siapa pun untuk dapat ‘menghadang’ traffic yang terjadi, atau yang lebih dikenal dengan Man in the Middle (MITM) attack.
SSL sangat penting terutama untuk keamanan website ecommerce dan setiap website yang menggunakan form pengisian dengan data pengguna sensitif atau Personally Identifiable Information (PII). Sertifikat SSL akan melindungi informasi pengunjung selama proses pengiriman data melalui internet.
10. File permissions
File permission adalah hak akses bagi user untuk membaca,menulis dan mengeksekusi sebuah file.
Setiap file memiliki 3 hak akses yang tersedia dan setiap permissions diwakili dengn nomor:
‘Read’ (4): Melihat isi file
‘Write’ (2): Mengubah isi file
‘Execute’ (1): Menjalankan file program atau script
Jika ingin mengizinkan beberapa permissions kita hanya perlu menambahkan angka bersama, misalnya untuk memungkinkan membaca isi file (4) dan mengubah isi file (2) kita dapat mengatur permissions menjadi 6. Jika ingin untuk memungkinkan pengguna untuk membaca isi file (4), mengubah isi file (2) dan menjalankan file program (1) maka kita dapat mengatur permission menjadi 7.
Ada juga 3 jenis pengguna:
Owner. Pembuat file, tetapi hal ini dapat berubah. Hanya satu pengguna yang dapat menjadi owner.
Group. Setiap file ditetapkan menjadi group, dan setiap penguna yang merupakan bagian dari group akan mendapatkan hak akses ini.
Public. Semua orang.
Jadi, jika kita ingin owner memiliki akses read & write, group hanya memiliki akses read, dan public tidak memiliki akses, pengaturan file permissions harus seperti dibawah ini:
Ketika kita melihat file permissions ini akan ditampilkan sebagai 640.
Jadi, itulah 10 tips ampuh membuat websie agar tetap aman dan terlindungi dari setiap ancaman.
