Tips Membangun Website Kebal Serangan Hacker

Gimana sih rasanya ketika sedang membangung sebuah website eh malah di hack sama orang? kesel banget pasti y. Sejak tahun 2010 saat saya mulai serius membuat website menggunakan wordpress hosted. Sudah lebih udah 10 kali website saya di hack. Banyak gak tuh? lumayan yah.hehe.

Jika situs web kamu diretas atau kena hack, itu berarti beberapa hal:

Ada orang yang memperoleh akses ke akun Kamu (biasanya melalui File Transfer Protocol alias FTP). Dengan mendapatkan akses FTP, peretas dapat memasukkan kode mereka sendiri pada situs Kamu.
Setelah mendapatkan akses ke situs Kamu, mereka memasukkan kode jahat di dalam situs. Apa yang dilakukan kode tersebut bergantung pada tujuan peretas.

Kira-kira kenapa sih web kita di hack? ya macam-macam, mungkin website kamu berharga dan harus di curi data-datanya. Paling sial kalau kita kena hack gara-gara si hacker sekedar latihan ngehack website orang.haha. Apesnya web kita yang kena. Cuma latihan loh, latihan. Kok bisa ke Hack sama orang latihan? berarti web security kita masih amburadul alias gampang ditembus.

Gak semua pengalaman kena hack saya inget. tapi ada beberapa yang lumayan ingat. Bagaimana cara saya menanggulanginya? Berikut kisahnya, simak baik-baik. O iya tips ini cocok untuk kamu yang membangun website atau blog menggunakan hosting sendiri atau wordpress hosted y.

Hack Para Pemula

Ini adalah Hack yang paling sering, ya levelnya masih rendah dan para pelakunya adalah para hacker-hacker pemula yang sedang latihan itu. Biasanya Home Page Website kita berubah jadi putih atau hitam terus ada tulisan-tulisanya gitu.

Website ini telah di hack oleh aku yang tersakiti, kamu jahat!

Panik gak pas ngelihat tampilan home page web kamu kayak gitu? Paniklah apa lagi kalo website kita udah aktif sejak lama. Hack model ini sudah beberapa kali saya alami dan Alhamdulillah cara ngatasinya mudah.

Caranya simpel banget, karena saya orang yang gak jago soal coding dan pemrograman akhirnya saya langsung menghubungi penyedia hosting dimana website saya berada. Bikin tiket bantuan terus bilang "Min, Website saya di Hack bantu betulin dong." Alhamdulillah akhirnya dibetulin deh sama pihak hosting. Gampang kan? Dikemudian hari baru saya paham gimana cara membetulkanya secara mandiri dan gak perlu jago coding. Mau tahu? baca terus y nannti saya share di poin tips & triknya.

Baru Buat Langsung di Hack

Pengalaman di hack kali ini mirip-mirip sama yang pertama tapi agak berbeda. Ceritanya saya lagi coba-coba beli hosting di salah satu penyedia karena harganya murah.

Setelah bikin website wordpress hosted melalui softaculous di cpanel. Kurang dari satu jam langsung kena hack. Saya coba hapus terus intall ulang, lagi-lagi ke hack, terus menerus sampe beberapa kali. terus gimana ngatasinya? tinggalin aja. hosting murah ini. Anggap aja ongkos belajar. hehe, Jadi solusinya? Tinggalin aja. :)

Hack Orang-Orang Mahir

Di Akhir tahun 2017 saya dapat musibah di hack sama hacker yang cukup mahir dari jepang. Hacker ini gak mengincar perubahan home, tetapi mengubah judul dan meta deskripsi saya di mesin pencari. Kira-kira tampilanya jadi begini

Gara-gara hacker ini indexing website saya hancur, SEO yang sudah susah payah dibangun rusak dan harus mengawali lagi dari nol. Pelajaran apa yang saya ambil? dan langkah apa saja yang saya lakukan untuk memperbaiki dan melakukan pencegahan berulang? baca sampai habis y.

GUNAKAN HOSTING TERBAIK

Pertama banget harus kamu lakukan untuk membangun keamanan website yang baik adalah memilih Hosting yang Tepat. Bukan cuma Hosting Murah tapi juga pelayananya harus berkualitas. Ada beberapa fitur yang harus kamu perhatikan dari si penyedia hosting untuk mendukung keamanan website kamu.

Layanan Costumer Service 24 Jam. Kenapa perlu pelayanan yang siap 24 jam? Hacker gak kenal waktu sob, dan didunia digital semua orang bisa mengakses website kita dari berbagai penjuru dunia yang tentunya memiliki waktu lokasi berbeda-beda. Jadi setiap saat akan selalu ada saja yang siap mengganggu keamanan website kamu.

Sepengalaman saya beberapa kali website kena hack itu jam 9 malam keatas. Kalau pelayanan hosting kita cuma memberikan pelayanan saat jam kerja saja 8 pagi sampai 5 sore, apa iya kita harus nunggu jam 8 pagi untuk bisa dibantu? Keburu babak belur tuh website.

Coba balik lagi ke kasus pertama saya, untuk beberapa kasus penyedia hosting bisa membantu kita memberikan solusi salah satunya adalah dengan melakukan restart hosting kita ke keadaan 24 jam yang lalu, seminggu yang lalu, dll intinya keadaan dimana website kita belum di hack. Keren kan.

Auto Backup Hosting. Fitur ini sudah saya bahas sedikit diatas, intinya Website kamu secara otomatis di-backup setiap hari, atau minggu. Ketika dibutuhkan, tinggal klik icon "backup" di cPanel/Plesk untuk pilihan restore. Ya semacam fitur save, jadi kalau kena hack kita tinggal load backup kita dan setelah itu buru-buru ganti seluruh password dan perbaiki fitur keamanan kita agar tidak di hack. Sangat membantu banget fitur ini untuk keamanan website kamu.

SSL Certificate (Secured Socket Layer) digunakan untuk mengamankan transmisi data melalui situs web. Transmisi data seperti informasi kartu kredit, nama pengguna dan password account, semua informasi sensitif lain harus diamankan untuk mencegah eavesdropping, pencurian data pada saat proses transaksi online, dan lain-lain.

Website yang sudah menggunakan SSL Certificate biasannya https di awal linknya, contohnya seperti ini https://www.penaaksi.com/. Selain itu kalau gak pake SSL Cerificate kamu akan rugi sendiri karena akan banyak banget trafik website kamu hilang.

Hampir semua browser saat ini menerapkan warning bagi para penggunanya ketika mengakses website tanpa SSL Ceritifcate. Kurang lebih tampilan warningnya akan seperti dibawah ini.

Kalau ketemu website yang kayak gini biasanya mayoritas orang akan balik kanan, alias keluar dari website tersebut. Karenanya penggunaan SSL Certificate itu penting untuk website kamu.

KEAMANAN SEDERHANA WEBSITE

Selain memilih hosting yang berkualitas kamu juga bisa membangun keamanan website secara mandiri. Setelah di hack berkali-kali saya mengambil beberapa pelajaran dan menerapkan beberapa hal untuk jadi standar saya dalam membangun keamanan website. Berikut beberapa hal yang biasa saya lakukan

Hide halaman Login. Halaman ini menjadi krusial karena salah satu pintu masuknya para hacker. Biasanya halaman login itu websitekamu.com/wp-admin atau websitekamu.com/login, gampang banget dong, semua orang bisa tahu halaman login website kamu dan memulai upaya hacking. Dengan mengganti halaman login kamu menjadi websitekamu.com/namayangkamupilih kamu telah menutup salah satu pintu peretasan para hacker.

Pengguna wordpress bisa memanfaatkan beberapa plugin salah satu yang sering saya pakai adalah WPS Hide Login. Plugin ini rutin di update oleh pengembanganya sehingga bisa menyesuaikan dengan platform wordpress yang terus berkembang.

Gunakan User & Password yang rumit. Sering banget terjadi akun utama sebuah website itu usernamenya adalah "admin"gampang banget y. Para hacker udah dikasih 2 pintu gratis dari kita yang satu halaman login websitekamu.com/wp-admin kemudian usernamenya admin, tinggal berpikir untuk mencari tahu apa password loginya.

Kamu wajib mengubah username kamu dari "admin" menjadi sesuatu yang rumit, kalau bisa gak ada hubunganya juga sama nama domain kamu. Sehingga para hacker akan kesulitas untuk meretas website yang kamu punya. Untuk Password kamu harus menggunakan angka, huruf kecil, huruf besar, dan juga simbol. Pokoknya serumit mungkin deh.

Pasang Recaptcha. Jangan lupa untuk pasang recapthca di website kamu. reCAPTCHA biasanya digunakan untuk menghindari serangan bot dan spam pada suatu website. reCAPTCHA harus kamu pasang di seluruh form dalam website kamu seperti form login, form komentar, dan form-form lainya.

Dalam kasus peretasan ketiga yang saya bagikan sebelumnya berkaitan erat salah satunya dengan reCAPTCHA. Jadi saya menggunakan sebuah plugin form yang digunakan untuk melakukan pendaftaran suatu acara dan ada bagian untuk mengupload gambar di formnya. Saya tidak menggunakan reCAPTCHA untuk verifikasi formnya, tapi cukup pake verfikasi yang sederhana semisal 4+4= ......

Ruang ini dimanfaatkan hacker untuk mengupload suatu script peretas melalui form yang saya buat tanpa reCAPTCHA, Akhirnya website saya meta deskripsinya jadi bahasa jepang semua dan indexingnya jadi error. Membetulkanya kembali tentu butuh energi ekstra dan waktu yang cukup lama (Alhamdulillah sekarang sudah betul lagi).

Rutin Update Wordpress & Plugin. Kenapa harus rutin kita update? yup karena wordpress terus berkembang dan memperbarui pemrogramanya. Kamu juga harus cari plugin yang juga pengembanganya rutin melakukan update penyesuaian dengan sistem wordpress.

cari plugin yang ada tulisan seperti pada kotak merah

Jika Pengembangnya jarang update biasanya akan tercipta ruang plugin error terhadap sistem wordpress kita dan akhirnya menjadi ruang untuk diretas para hacker. Jadi harus rajin-rajin update y.

Backup Manual Juga ya. Jika ternyata hosting kamu belum punya auto backup lakukan backup data website kamu secara berkala, sebulan sekali misalkan. Tapi jika penyedia hosting kamu sudah ada auto backup gak ada salahnya juga untuk melakukan backup manual untuk disimpan ke hardisk komputer kita.

File Backup ini bisa kamu upload ulang ketika website kamu diserang hacker atau yang paling berbahaya jika server penyedia hosting kita yang diserang dan semua data hilang. Kalau kita punya bakcup data di komputer sendiri kita gak perlu khawatir karena tetap punya datanya.

Pastikan setiap langkah diatas kamu kerjakan agar websitek kamu gak jadi korban para hacker yang tidak bertangung jawab. Salah satu penyedia hosting yang cukup terpercaya adalah Dewaweb, selain harga yang bersaing untuk beberapa paket hosting kamu sudah mendapatkan Domain Gratis. Kamu gak perlu bersusah payah lagi untuk mendapatkan Domain Murah. Semoga artikel kali ini bermanfaat dan membantu kamu dalam membangun keamanan website.