Tips Menjaga Keamanan Situs Web

LancangKuning.com - Memiliki situs web telah menjadi lebih mudah dari sebelumnya karena banyaknya alat dan layanan hebat di ruang pengembangan web. Sistem manajemen konten (CMS) seperti WordPress, Joomla, Drupal, Magento, dan lainnya memungkinkan pemilik bisnis untuk membangun kehadiran online dengan cepat. Arsitektur CMS yang sangat luas, plugin kaya, dan modul yang efektif telah mengurangi kebutuhan untuk menghabiskan waktu bertahun-tahun mempelajari pengembangan web sebelum mulai membangun situs web.

Kemudahan meluncurkan bisnis online atau situs web pribadi sangat bagus. Namun, ada beberapa efek samping negatif. Kami melihat banyak webmaster yang tidak mengerti cara memastikan situs web mereka aman. Ada kesalahpahaman dalam hal pentingnya mengamankan situs web mereka, dan siapa yang bertanggung jawab atas itu.

Hari ini, mari kita lihat apa saja 10 langkah teratas yang harus diambil semua pemilik situs web untuk menjaga keamanan situs web mereka.

1. Perbarui, Perbarui, Perbarui!

Ini adalah sesuatu yang kita tidak bisa cukup menekankan di sini di Sucurty. Banyak sekali situs web yang dikompromikan setiap hari karena perangkat lunak yang usang dan tidak aman. Sangat penting untuk memperbarui situs Anda segera setelah plugin baru atau versi CMS tersedia. Pembaruan tersebut mungkin hanya berisi peningkatan keamanan atau menambal kerentanan. Sebagian besar serangan situs web bersifat otomatis. Bot terus-menerus memindai setiap situs yang mereka bisa untuk setiap peluang eksploitasi. Tidak lagi cukup baik untuk memperbarui sebulan sekali atau bahkan seminggu sekali karena bot sangat mungkin menemukan kerentanan sebelum Anda menambalnya. Inilah sebabnya kami menyarankan untuk menggunakan firewall situs web, yang secara virtual akan menambal lubang keamanan segera setelah pembaruan dirilis. Jika Anda memiliki situs web WordPress, saya pribadi merekomendasikan plugin ‘WP Updates Notifier‘. Email Anda untuk memberi tahu Anda ketika plugin atau pembaruan inti WordPress tersedia.

2. Kata Sandi

Memiliki situs web yang aman sangat tergantung pada postur keamanan Anda. Pernahkah Anda memikirkan bagaimana kata sandi yang Anda gunakan dapat mengancam keamanan situs web Anda?

Untuk membersihkan situs web yang terinfeksi, kita sering harus masuk ke situs atau server klien menggunakan detail pengguna admin mereka. Sangat mengejutkan betapa tidak amannya kata sandi root. Dengan login seperti admin / admin Anda mungkin juga tidak memiliki kata sandi sama sekali. Ada banyak daftar kata sandi yang dilanggar secara online. Peretas akan menggabungkan ini dengan daftar kata kamus untuk menghasilkan daftar kata sandi potensial yang lebih besar. Jika kata sandi yang Anda gunakan ada di salah satu daftar itu, tinggal menunggu waktu sebelum situs Anda disusupi.

Kiat kami agar Anda memiliki kata sandi yang kuat adalah:

• Jangan menggunakan kembali kata sandi Anda. Setiap kata sandi yang Anda miliki harus unik. Pengelola kata sandi dapat mempermudah ini.
• Memiliki kata sandi yang panjang. Coba lebih lama dari 12 karakter. Semakin lama kata sandi, semakin lama program komputer perlu di-crack.
• Gunakan kata sandi acak. Program peretas kata sandi dapat menebak jutaan kata sandi dalam hitungan menit jika mengandung kata-kata yang ditemukan secara online atau dalam kamus. Jika Anda memiliki kata-kata nyata dalam kata sandi Anda, itu tidak acak. Jika Anda dapat dengan mudah mengucapkan kata sandi, itu berarti kata itu tidak cukup kuat. Bahkan menggunakan penggantian karakter (misalnya mengganti huruf O dengan angka 0) tidak cukup.

Ada beberapa pengelola kata sandi yang membantu di luar sana seperti, "LastPass" (online) dan "KeePass 2" (offline).

Alat-alat brilian ini menyimpan semua kata sandi Anda dalam format terenkripsi dan dapat dengan mudah menghasilkan kata sandi acak dengan mengklik tombol. Pengelola kata sandi memungkinkan untuk menggunakan kata sandi yang kuat dengan menghilangkan pekerjaan menghafal kata-kata yang lebih lemah atau mencatatnya.

3. Satu Situs = Satu Wadah

Kami memahami bahwa meng-hosting banyak situs web pada satu server bisa tampak ideal, terutama jika Anda memiliki paket hosting web 'tanpa batas' Sayangnya, ini adalah salah satu praktik keamanan terburuk yang biasa kita lihat. Hosting banyak situs di lokasi yang sama menciptakan permukaan serangan yang sangat besar.

Anda perlu menyadari bahwa kontaminasi lintas situs sangat umum terjadi. Ini terjadi ketika sebuah situs dipengaruhi secara negatif oleh situs tetangga dalam server yang sama karena isolasi yang buruk pada server atau konfigurasi akun. Misalnya, server yang berisi satu situs mungkin memiliki satu instalasi WordPress dengan tema dan 10 plugin yang dapat berpotensi ditargetkan oleh penyerang. Jika Anda meng-host 5 situs pada satu server sekarang, penyerang mungkin memiliki tiga instalasi WordPress, dua instalasi Joomla, lima tema, dan 50 plugin yang dapat menjadi target potensial. Lebih buruk lagi, setelah penyerang menemukan exploit di satu situs, infeksi dapat menyebar dengan mudah ke situs lain di server yang sama. Hal ini tidak hanya dapat mengakibatkan semua situs Anda diretas pada saat yang sama, tetapi juga membuat proses pembersihan lebih memakan waktu dan sulit. Situs yang terinfeksi dapat terus saling menginfeksi kembali, menyebabkan perulangan tanpa akhir. Setelah pembersihan berhasil, Anda sekarang memiliki tugas yang jauh lebih besar ketika mengatur ulang kata sandi Anda. Alih-alih hanya satu situs, Anda memiliki sejumlah situs. Setiap kata sandi tunggal terkait dengan setiap kata sandi situs web di server harus diubah setelah infeksi hilang. Ini mencakup semua basis data CMS dan pengguna File Transfer Protocol (FTP) Anda untuk setiap situs web tersebut. Jika Anda melewati langkah ini, semua situs web dapat di infeksi lagi dan Anda kembali ke titik awal.

4. Akses Pengguna yang Masuk akal

Aturan ini hanya berlaku untuk situs yang memiliki banyak pengguna atau login. Penting bahwa setiap pengguna memiliki izin yang sesuai yang mereka perlukan untuk melakukan pekerjaan mereka. Jika diperlukan izin yang meningkat untuk sementara, berikan saja. Kemudian kurangi setelah pekerjaan selesai. Ini adalah konsep yang dikenal sebagai Least Privileged. Misalnya, jika seseorang ingin menulis posting blog tamu untuk Anda, pastikan akun mereka tidak memiliki hak administrator penuh. Akun teman Anda hanya dapat membuat posting baru dan mengedit posting mereka sendiri karena tidak perlu bagi mereka untuk dapat mengubah pengaturan situs web. Memiliki peran pengguna yang ditetapkan dengan hati-hati dan aturan akses akan membatasi kesalahan yang dapat dibuat. Ini juga mengurangi kejatuhan akun yang disusupi dan dapat melindungi terhadap kerusakan yang dilakukan oleh pengguna 'nakal'. Ini adalah bagian yang sering diabaikan dari manajemen pengguna: akuntabilitas dan pemantauan. Jika beberapa orang berbagi satu akun pengguna dan perubahan yang tidak diinginkan dilakukan oleh pengguna itu, bagaimana Anda mengetahui orang mana di tim Anda yang bertanggung jawab?

Setelah Anda memiliki akun terpisah untuk setiap pengguna, Anda dapat mengawasi perilaku mereka dengan meninjau log dan mengetahui kecenderungan biasanya, seperti kapan dan di mana mereka biasanya mengakses situs web. Dengan cara ini, jika pengguna masuk pada jam ganjil, atau dari lokasi yang mencurigakan, Anda dapat menyelidiki. Menyimpan log audit sangat penting untuk menjaga perubahan yang mencurigakan ke situs web Anda. Log audit adalah dokumen yang mencatat peristiwa di situs web sehingga Anda dapat menemukan anomali dan mengonfirmasi dengan penanggung jawab bahwa akun tersebut tidak dikompromikan. Kami tahu bahwa mungkin sulit bagi sebagian pengguna untuk melakukan log audit secara manual. Jika Anda memiliki situs web WordPress, Anda dapat menggunakan Plugin Keamanan gratis kami yang dapat diunduh dari repositori WordPress resmi.

5. Ubah Pengaturan CMS Default!

Aplikasi CMS hari ini (meskipun mudah digunakan) bisa rumit dari sudut pandang keamanan untuk pengguna akhir. Sejauh ini, serangan paling umum terhadap situs web sepenuhnya otomatis. Banyak dari serangan ini bergantung pada pengguna yang hanya memiliki pengaturan default. Ini berarti Anda dapat menghindari sejumlah besar serangan hanya dengan mengubah pengaturan default saat memasang CMS pilihan Anda. Misalnya, beberapa aplikasi CMS dapat ditulisi oleh pengguna - memungkinkan pengguna untuk menginstal ekstensi apa pun yang mereka inginkan. Ada pengaturan yang Anda mungkin ingin sesuaikan untuk mengontrol komentar, pengguna, dan visibilitas informasi pengguna Anda. Izin file, (yang akan kita bahas nanti) adalah contoh lain dari pengaturan default yang dapat diperkeras. Anda dapat mengubah detail default ini saat menginstal CMS Anda atau yang lebih baru, tetapi jangan lupa untuk melakukannya.

6. Pilihan Ekstensi

Ekstensibilitas aplikasi CMS adalah sesuatu yang biasanya disukai oleh para webmaster, tetapi juga bisa menjadi salah satu kelemahan terbesar. Ada pengaya, pengaya, dan ekstensi yang menyediakan hampir semua fungsi yang dapat Anda bayangkan. Tapi bagaimana Anda tahu mana yang aman untuk dipasang?

Berikut adalah hal-hal yang selalu saya cari ketika memutuskan ekstensi mana yang akan digunakan:

• Ketika ekstensi terakhir diperbarui: Jika pembaruan terakhir lebih dari setahun yang lalu, saya khawatir bahwa penulis telah berhenti mengerjakannya. Saya lebih suka menggunakan ekstensi yang sedang dikembangkan secara aktif karena ini menunjukkan bahwa penulis setidaknya akan mau menerapkan perbaikan jika masalah keamanan ditemukan. Selain itu, jika ekstensi tidak didukung oleh penulis, maka ekstensi tersebut dapat berhenti berfungsi jika pembaruan inti menyebabkan konflik.
• Usia ekstensi dan jumlah pemasangan: Ekstensi yang dikembangkan oleh penulis mapan yang memiliki banyak pemasangan lebih dapat dipercaya daripada satu dengan beberapa pemasangan yang dirilis oleh pengembang pertama kali. Tidak hanya pengembang berpengalaman memiliki ide yang lebih baik tentang praktik keamanan terbaik, tetapi mereka juga jauh lebih kecil kemungkinannya merusak reputasi mereka dengan memasukkan kode berbahaya ke dalam ekstensi mereka.
• Sumber yang sah dan tepercaya: Unduh plugin, ekstensi, dan tema Anda dari sumber yang sah. Watch out for versi gratis bajakan dan terinfeksi malware. Ada beberapa ekstensi yang tujuannya hanya menginfeksi sebanyak mungkin situs web dengan malware.

7. Cadangan

Memiliki situs web yang diretas bukanlah sesuatu yang ingin Anda alami, tetapi Anda tidak ingin lengah jika hal terburuk terjadi.Memiliki cadangan situs web sangat penting untuk memulihkan situs web Anda dari insiden keamanan besar. Meskipun itu tidak dapat dianggap sebagai pengganti untuk memiliki solusi keamanan situs web, cadangan dapat membantu memulihkan file yang rusak.

Solusi cadangan yang baik harus memenuhi persyaratan berikut:

• Pertama, mereka harus berada di luar situs. Jika cadangan Anda disimpan di server situs web Anda, mereka sangat rentan terhadap serangan seperti apa pun di sana. Anda harus menyimpan cadangan di luar situs karena Anda ingin data yang tersimpan dilindungi dari peretas dan dari kegagalan perangkat keras. Menyimpan cadangan di server web Anda juga merupakan risiko keamanan utama. Cadangan ini selalu berisi versi CMS dan ekstensi yang belum ditonton, yang memberikan akses mudah bagi peretas ke server Anda.
• Kedua, cadangan Anda harus otomatis. Anda melakukan banyak hal setiap hari yang harus diingat untuk membuat cadangan situs web Anda mungkin tidak terpikirkan. Gunakan solusi cadangan yang dapat dijadwalkan untuk memenuhi kebutuhan situs web Anda.

Untuk menyelesaikannya, lakukan pemulihan yang andal. Ini berarti memiliki cadangan dari cadangan Anda dan mengujinya untuk memastikan mereka benar-benar berfungsi. Anda akan menginginkan beberapa cadangan untuk redundansi. Dengan melakukan ini, Anda dapat memulihkan file dari titik sebelum peretasan terjadi.

8. File Konfigurasi Server

Kenali file konfigurasi server web Anda:

• Server web Apache menggunakan file .htaccess,
• Server Nginx menggunakan nginx.conf,
• Server Microsoft IIS menggunakan web.config.

Paling sering ditemukan di direktori web root, file konfigurasi server sangat kuat. Mereka memungkinkan Anda untuk mengeksekusi aturan server, termasuk arahan yang meningkatkan keamanan situs web Anda. Jika Anda tidak yakin server web mana yang Anda gunakan, jalankan situs web Anda melalui Sitecheck dan klik tab Detail Situs Web.

Berikut adalah beberapa aturan yang saya sarankan Anda teliti dan tambahkan untuk server web khusus Anda:

• Mencegah penelusuran direktori: Ini mencegah pengguna jahat melihat konten setiap direktori di situs web. Membatasi informasi yang tersedia bagi penyerang selalu merupakan tindakan pencegahan keamanan yang berguna.
• Mencegah hotlinking gambar: Walaupun ini bukan semata-mata peningkatan keamanan, itu mencegah situs web lain menampilkan gambar yang dihosting di server web Anda. Jika orang-orang memulai hotlinking gambar dari server Anda, batas bandwidth dari paket hosting Anda mungkin cepat habis menampilkan gambar untuk situs orang lain.
• Lindungi file sensitif: Anda dapat menetapkan aturan untuk melindungi file dan folder tertentu. File konfigurasi CMS adalah salah satu file paling sensitif yang disimpan di server web karena berisi detail login basis data dalam teks biasa. Lokasi lain, seperti area admin, dapat dikunci. Anda juga dapat membatasi eksekusi PHP di direktori yang menyimpan gambar atau mengizinkan unggahan.

9. Instal SSL

SSL adalah singkatan dari Secure Sockets Layer. Ini adalah teknologi keamanan standar untuk membuat tautan terenkripsi antara server web dan browser.

Saya ragu-ragu untuk memasukkan SSL sebagai tip untuk meningkatkan keamanan situs web Anda karena ada banyak informasi yang menyesatkan yang menyarankan bahwa menginstal SSL akan menyelesaikan semua masalah keamanan Anda.

Mari kita perjelas: SSL tidak melakukan apa pun untuk melindungi situs Anda dari serangan jahat dan tidak menghentikannya mendistribusikan malware.

SSL mengenkripsi komunikasi antara Point A dan Point B - alias server situs web dan browser pengunjung. Enkripsi ini penting karena satu alasan spesifik. Ini mencegah siapa pun untuk dapat mencegat lalu lintas itu, yang dikenal sebagai serangan Man in the Middle (MITM). SSL adalah cara yang bagus untuk melindungi kata sandi dan info kartu kredit (serta data sensitif lainnya) dan inisiatif seperti Let's Encrypt membuatnya dapat diakses secara bebas.

Dengan dorongan dari Google untuk memberi label pada situs web HTTP sebagai “Tidak Aman”, SSL sangat penting untuk semua situs web. Memaksa HTTPS tidak dapat dihindari untuk situs web e-commerce dan untuk situs web apa pun yang menerima pengiriman formulir dengan data pengguna yang sensitif atau Informasi Identifikasi Pribadi (PII).

Sertifikat SSL melindungi informasi pengunjung Anda dalam perjalanan, yang pada gilirannya melindungi Anda dari denda dan masalah hukum yang muncul karena tidak patuh dengan PCI DSS.

Jika Anda berpikir untuk menginstal SSL di situs Anda, Anda dapat mengikuti panduan kami untuk mempelajari lebih lanjut.

10. Izin File

Izin file menentukan siapa yang dapat melakukan apa terhadap file.

Setiap file memiliki 3 izin yang tersedia dan setiap izin diwakili oleh nomor:

• ‘Baca‘ (4): Lihat konten file.
• ‘Tulis‘ (2): Ubah isi file.
• ‘Jalankan‘ (1): Jalankan file atau skrip program.

Jika Anda ingin mengizinkan beberapa izin, cukup tambahkan angka bersama, mis. untuk mengizinkan baca (4) dan tulis (2) Anda menetapkan izin pengguna ke 6. Jika Anda ingin mengizinkan pengguna membaca (4), tulis (2) dan jalankan (1) maka Anda menetapkan izin pengguna ke 7.

Ada juga 3 tipe pengguna:

• Pemilik - Biasanya pembuat file, tetapi ini dapat diubah. Hanya satu pengguna yang bisa menjadi pemiliknya.
• Grup - Setiap file diberikan grup, dan setiap pengguna yang merupakan bagian dari grup itu akan mendapatkan izin ini.
• Umum - Semua orang.

Jadi, jika Anda ingin pemilik memiliki akses baca & tulis, grup hanya memiliki akses-baca, dan publik tidak memiliki akses, pengaturan izin file harus:

Tulis, Baca, Jalankan

Saat Anda melihat izin file ini akan ditampilkan sebagai 640.

Folder juga memiliki struktur izin yang sama. Satu-satunya perbedaan adalah bahwa bendera 'eksekusi' memungkinkan Anda untuk membuat direktori sebagai direktori kerja Anda. Anda biasanya ingin ini aktif.

Sebagian besar pemasangan CMS memiliki semua izin yang di konfigurasi dengan benar secara default. Jadi mengapa saya hanya menghabiskan banyak waktu untuk menjelaskan cara kerja izin? Saat mencari solusi untuk kesalahan izin, di seluruh web Anda akan menemukan orang yang salah informasi menyarankan Anda untuk mengubah izin file menjadi 666 atau izin folder ke 777. (Indri)