Search

Twitter

RSS Posts

 

Jangan Remehkan Penjagaan Keamanan Website!

20 January 2010. Muhammad Ilman Akbar



Share
ilmanakbar.com yang di-deface

website saya yang pernah di-deface

Selama ini, kebanyakan kita, entah para blogger atau pemilik perusahaan baik kecil atau menengah, tidak terlalu memperhatikan website-nya setelah website-nya eksis di Internet. Setelah dibuat dan diupload ke server hostingan, website-nya ditinggal begitu saja. Jarang di-update, lebih jarang lagi dipromosikan, dan yang paling jarang adalah memperhatikan masalah keamanan website-nya. Padahal selesai membuat website itu kira-kira baru separuh saja dari upaya memanfaatkan potensi Internet untuk mendukung usaha kita.

Salah satu yang paling vital adalah masalah keamanan. Seringkali kita mengira setelah website diupload di server hosting, website kita bakal aman-aman saja. Mungkin kita mikir, “Ah, siapa sih yang pengen nge-crack website ga terkenal kaya punya saya? Ngapain coba dia repot-repot nge-crack website saya yang ga ada yang bisa diambil ini?“. Juga beberapa mitos-mitos lain seperti yang bisa dilihat di sini.

Tapi sayangnya pemikiran itu salah. Seringkali para peretas (hacker) dan cracker itu nggak punya tujuan apa-apa saat nge-hack suatu website (kecuali masalah politik kaya Indonesia vs Malaysia kemarin). Bahkan seringkali dia ga ngerti bahasa dari website yang diserang, karena mereka hacker dari negara asing. Mereka cuma pengen memanfaatkan lubang-lubang keamanan dalam website milik kita.

Saya punya pengalaman dua kali diserang seperti itu. anakUI.com, website komunitas mahasiswa UI, 2 tahun lalu di-hack, di-deface, dan isi databasenya hilang sebagian. Blog pribadi saya (www.ilmanakbar.com, sekarang sudah tidak aktif), diserang juga dengan efek yang sama, pada hari yang sama pula! Dan hari ini, website LSM salah satu kolega saya diserang juga. Itulah mengapa saya menulis postingan ini.

website LSM yang di-deface

Penjagaan keamanan termasuk hal yang penting dilakukan dalam web maintenance. Menjadi penting, jangan sampai kejadian dulu dan menyesal karena kehilangan banyak hal, baru sadar akan pentingnya hal itu. Beberapa hal dasar yang dapat kita lakukan untuk mencegah terjadinya hal-hal yang tidak diinginkan, serta untuk berjaga-jaga kalau kemungkinan terburuk menyerang, adalah sebagai berikut:

#1 Backup rutin! Ini yang paling wajib untuk dilakukan. Backup file-file dan database-nya secara berkala, sesuai dengan frekuensi pembaruan (update) isi website. Kalau websitenya diperbarui setiap hari, backup-lah setiap hari, begitu seterusnya. Backup ini penting, untuk mencegah kemungkinan terburuk yang bisa terjadi. Kalau website kita diserang dan hancur-hancuran, kita masih bisa mengembalikan website-nya dari backup ini. Kita bisa melakukan backup secara manual lewat server, namun beberapa Content Management System (CMS) punya plugin untuk melakukan backup secara otomatis.

#2 Update CMS dan addon/plugin yang digunakan (apabila menggunakan CMS). CMS seperti WordPress, Joomla, Drupal, dan beberapa yang lainnya, memiliki komunitas yang secara berkala melakukan update versi sistemnya, untuk menambah fitur atau menambal lubang-lubang keamanan yang ditemukan. Dedemit maya biasanya sudah mengetahui kelemahan dari versi lama sebuah sistem. Pastikan website kita selalu diperbarui versi CMSnya.

CMS juga memiliki addon/plugin yang dapat memperbanyak fungsi dari CMS tersebut. Kalau website kita juga menggunakan addon/plugin, pastikan versinya juga terus diperbarui, dengan alasan sama seperti sebelumnya. anakUI.com dan ilmanakbar.com dulu di-deface lewat salah satu plugin yang digunakan.

#3 Gunakan password yang kuat dan tidak pasaran. Yang paling kuat, sebaiknya gunakan password lebih dari 8 karakter, dan merupakan perpaduan dari huruf, angka, dan karakter (seperti ! @ # . , dsb). Hal ini untuk mencegah password kita dibongkar dengan praktek bruteforce (membongkar password dengan mencoba semua kemungkinan).

Sama seperti saran password untuk semua hal, jangan gunakan password yang gampang ditebak seperti tanggal lahir, nomer telepon, nomor rumah, dsb. Kalau tetep mau pake itu, pastikan dikombinasikan juga dengan huruf, angka, dan karakter.

#4 Apabila kita punya akses pada server website kita, cek apakah software-software yang digunakan di server seperti sistem operasi, web server, PHP, MySQL, mail server, versi cPanel, dsb, selalu yang paling baru. Kalau tidak punya akses ke server, silakan tanya ke penyedia web hostingnya untuk mengetahuinya. Seperti poin nomer #2, penjahat Internet biasanya sudah mengetahui kelemahan-kelemahan software versi lama.

#5 Cek dan cegah adanya malware atau program jahat bercokol di website kita. Google punya alat untuk mendeteksi itu. Namanya Google Webmaster Tools (walaupun fungsinya tidak cuma untuk keamanan). Lihat menu Labs > Malware details untuk mengetahui apakah ada malware yang ditemukan oleh Google di website kita.

#6 Masing-masing CMS (WordPress, Joomla, Drupal, dsb) memiliki tips-tips spesifik untuk meningkatkan keamanan. Coba googling dengan kata kunci “WordPress/Joomla/Drupal/dsb security tips” atau sejenisnya untuk tahu detail cara mengamankannya. Yang saya temukan untuk: WordPress dan Joomla.

#7 Sebisa mungkin, jangan login ke website kita dari koneksi yang tidak aman atau komputer umum. Misalnya hotspot gratisan di kafe2 atau di warnet. Informasi login kita bisa “diintip” atau dibaca orang lain dari jaringan. Kalau make komputer umum, bisa jadi ada program keylogger yang mencatat informasi yang kita masukan. Terutama untuk website-website penting, biasakan untuk mengakses administrasi website atau server kita dari komputer kantor atau laptop sendiri.

Hal-hal di atas adalah hal-hal dasar dan minimal yang bisa dilakukan untuk mengamankan website. Masih ada beberapa hal lain yang lebih teknis dan detail untuk jauh lebih memperkuat keamanan website Anda. Semakin besar website Anda, semakin besar pula seharusnya upaya-upaya penjagaan keamanannya. Beberapa hal yang teknis dan detail, yang sepertinya lebih menarik untuk dibaca oleh para system administrator atau website admin ada di sini, sini, sini, dan sini.

Semua hal yang kita lakukan untuk mengamankan website kita memang tidak bisa menjamin 100% website kita aman. Setidaknya, hal-hal dasar ini akan mempersulit langkah-langkah dedemit dunia maya untuk merusak website kita. Kalau ada pendapat maupun tambahan usulan tentang bagaimana cara mengamankan website, silakan tulis di komentar ya.. Kami juga ingin tahu bagaimana Anda mengamankan website Anda :)

Web Maintenance, dilihat 750 kali


Muhammad Ilman Akbar, Vice President Director of Univind
A sanguine and enthusiastic person, love having new friends and learning new things. Also love sharing knowledge and inspiration he had even it's just a little. Very interested in marketing, blogging, online strategy, online community building, and entrepreneurship. A dreamer and dream achiever at the same time. Follow his twitter @ilmanakbar

«
»

5 Comments

Add your comment

  1. adam
    Feb 03 at 22:07

    maunya sih setiap update abis itu backup
    tapi sayang internet kita termasuk lemot kalo jam kerja (kecuali yang pake broadband ato koneksi kantor)
    mana donlot lewat cpanel nggak bisa diresume/pause :(
    kapan inet indo murah, cepet, n handal yach

  2. Galuh
    Feb 08 at 03:53

    Wah, info yang berguna..Thanks.. :) Saya akan coba terus maintenance website saya..

  3. ilmanakbar
    Feb 08 at 11:59

    #adam
    kalo downloadnya malem2 aja gimana mas? dari rumah misalnya.. saya biasanya gitu soalnya :)

    #Galuh
    sama2.. kalo ada cerita2 menarik saat maintenance, tolong share di sini ya ;)

  4. web hosting murah
    Mar 20 at 16:52

    kalo saya nambahin anti virus pada CMS….

    kalo HARUS menggunakan Free Hotspot, tips amannya gmana gan?

  5. aktivasidbs.net
    May 31 at 19:12

    Terimakasih, P Akbar,
    Jadi nambah Ilmuku, sangat bermanfaat ulasan anda.

Post a comment