7 Tips untuk Membantu Mengamankan Situs Web Anda Terhadap Serangan Peretasan

Artikel ditulis oleh:
  • Menampilkan Artikel
  • Diperbarui: Mei 06, 2019

Web bukan hanya tentang bisnis. Miliaran halaman dan entri blog ditulis setiap hari, setiap detik, oleh pemilik situs web kecil dan blogger yang ingin membagikan pandangan mereka dengan dunia. Itulah pesona dari Web: menyediakan ruang untuk semua orang, dan untuk segala jenis proyek.

Kemungkinan tanpa batas.

Tetapi Internet juga merupakan hutan liar: ia menyembunyikan bahaya di setiap sudut dan tidak ada yang Anda manfaatkan bahkan hanya dekat dengan sihir yang sangat mudah. Jika Anda menjalankan bisnis nirlaba atau solo-preneur online, khususnya, Anda menyadari bahwa memindahkan semua transaksi ke Web dapat diterjemahkan menjadi kehati-hatian tambahan terkait layanan Anda.

Keamanan adalah aspek yang sangat penting untuk dipertimbangkan ketika Anda merencanakan situs web Anda: bagaimana cara saya mengamankan konten dan kerja keras saya melawan penyerang? Bagaimana saya bisa memberikan pengalaman pengguna sebaik mungkin? Ini adalah pertanyaan yang harus Anda tanyakan pada diri sendiri setiap kali Anda memperbarui situs web Anda.

Mengapa Artikel Ini dan Mengapa 7 Tips?

Mengamankan situs Anda dengan cara n00b-ish yang mudah dapat menjadi utopia lebih dari kenyataan, tetapi itu tidak berarti seseorang yang bukan seorang programmer atau ilmuwan komputer tidak dapat menambahkan keamanan ke situs web mereka. Saya memilih tujuh tips yang mudah diterapkan dan cukup mendalam untuk menggelitik keingintahuan Anda tentang masalah keamanan, sehingga ANDA akan menjadi - perlahan tapi tanpa henti - pakar keamanan web Anda sendiri. Semua kiat khusus untuk peretasan web dan saya juga akan memperkenalkan teknik yang dapat Anda gunakan untuk menguji celah keamanan situs web Anda. Jangan khawatir: tidak ada yang terlalu sulit untuk dilakukan, tetapi penting bagi Anda untuk mengenal alat dan teknik sederhana yang dapat menangkal serangan, demi proyek Anda. :)

Have fun!

Tip #1 - Belanjakan Sedikit Lagi Pikiran untuk Mengaktifkan Kata Sandi Anda

Lubang keamanan web nomor satu adalah penggunaan kata sandi yang sama di lebih banyak situs web atau layanan web. Seorang peretas yang mencari tahu satu kata sandi akan menemukan semua kata sandi Anda dan akan memiliki akses mudah ke semua data Anda, apakah itu blog Anda atau akun PayPal Anda. Menyimpan daftar kata sandi Anda di atas kertas atau file juga bukan alternatif yang aman (kecuali jika Anda melindungi kata sandi file Anda) karena seseorang yang meretas komputer Anda akan mendapatkan akses mudah ke basis data Anda.

Tetapi bagaimana jika Anda tidak bisa mendapatkan kata sandi yang layak?

  1. penggunaan generator kata sandi yang kuat untuk menghasilkan kata sandi yang sulit, termasuk simbol alfanumerik dan alternatif. Semakin banyak string acak atau pseudo-acak simbol (yaitu simbol kata sandi tidak memiliki memori internal, mereka tidak terkait satu sama lain, sehingga setiap simbol memiliki peluang yang sama untuk mengejar satu sama lain), semakin aman itu.
  2. penggunaan Password Safe untuk menyimpan dan mengenkripsi semua kata sandi Anda, yang dapat Anda buka kuncinya dengan mengingat kata sandi. Program menggunakan Algoritma Twofish untuk mengenkripsi semua kata sandi Kata Sandi Aman adalah proyek sumber terbuka Windows yang dikembangkan oleh Bruce Schneier. Jika Anda tidak menggunakan Windows, Password Gorilla adalah alternatif open-source yang valid untuk Password Safe.

Berikut tampilan depan Kata Sandi Aman dengan basis data bernama 'Situs Web':

Program Kata Sandi Aman

Berikut detail file di dalam basis data 'Situs Web':

Tampilan File Aman Kata Sandi

Tip #2 - Merawat Skrip Anda dengan Baik

Sudah diketahui umum bahwa skrip situs web dan platform CMS adalah kendaraan utama serangan peretasan. Jika Anda meng-host skrip yang ditulis dalam PHP, ASP dan JavaScript, ketahuilah bahwa skrip tersebut mungkin memiliki celah keamanan dan bug yang mungkin diabaikan oleh pengembangnya. Selain menghubungi pengembang segera setelah menemukan salah satu masalah yang disebutkan di atas, ada metode non-teknis yang dapat Anda gunakan untuk memastikan skrip Anda tidak akan merusak Anda:

  • Baca dokumen versi skrip Anda dengan seksama: sering berisi detail tambalan dan perbaikan bug
  • Daftar ke penginstal perangkat lunak atau panel administrasi Anda atau bahkan peringatan Google (melalui Alat Webmaster): jika Anda perlu memperbarui atau mengedit / menghapus file, lakukan
  • Jangan pasang setiap plugin yang ada: periksa kompatibilitas dan catatan keamanan terlebih dahulu.

Juga - dan ini mungkin faktor yang paling penting - selalu, selalu perbarui skrip dan CMS Anda. Paket perangkat lunak terbaru biasanya berisi tambalan untuk bug versi sebelumnya dan masalah keamanan.

Contoh: Peringatan peningkatan versi WordPress dari Softaculous

Peringatan Upgrade Lunak

Tip #3 - Lakukan Pemeriksaan Folder Dan Administrasi Secara Biasa

Kadang-kadang peretas menyusup ke situs Anda dengan diam-diam, licik seperti kucing, tetapi mereka meninggalkan bencana: spoof situs, file media yang mengandung virus, executable, dan laman web yang direkam ulang. Periksa folder Anda secara teratur, setidaknya sekali setiap dua minggu, untuk memastikan tidak ada yang salah dengan file Anda. Jika Anda melihat file yang tidak Anda kenal, hapus segera. Jika itu tidak berhasil, hubungi host web Anda dan dapatkan bantuan (ini adalah saat Anda paling membutuhkan host web yang bagus). Dalam beberapa kasus:

  • Ubah kata sandi panel administrasi Anda (dan nama pengguna, jika mungkin)
  • Lakukan pemeriksaan semua file untuk melihat apakah mereka telah rusak
  • Jika Anda memiliki antivirus yang diinstal, jalankan.

Tip #4 - Otentikasi Aman

Pakar Keamanan Web menggunakan banyak metode untuk memberikan keamanan optimal pada sistem dan transaksi web yang mereka kerjakan: kriptografi kunci publik, rantai kepercayaan, tanda tangan, SSL dan TSL (Transport Layer Security). Meskipun Anda harus mempelajari sesuatu tentang kriptografi, Anda harus mulai dengan mempelajari cara menggunakan alat otentikasi multi-faktor sederhana yang disiapkan untuk Anda oleh para ahli:

Apa yang kamu butuhkan otentikasi multi-faktor? Karena itu akan diperlukan untuk mengetahui nama pengguna, kata sandi, dan token Anda yang dulu-lalu-buang untuk mendapatkan akses ke konten Anda; jika tidak, akses akan ditolak.

Jika Anda bisa, carilah ahli untuk membimbing Anda ketika Anda belajar tentang keamanan web, atau gunakan tutorial dan kursus online.

Tip #5 - Waspadai Serangan DDoS

Penolakan serangan layanan berkembang cepat dan berbahaya, bersama dengan pembajakan server dan penggantian layanan Anda dengan spoof.

Serangan DDoS memaksa server dalam keadaan di mana layanan normalnya tidak berfungsi, dan seluruh sistem tidak lagi tersedia untuk pengguna akhir.

Apa yang bisa menyebabkan serangan DDoS?

  • Konfigurasi jaringan terbuka
  • Aplikasi yang bengkok dan tidak ditingkatkan
  • Konfigurasi server tidak aman
  • Tidak ada pemeliharaan dan / atau pemantauan aktivitas jaringan

Informasikan ISP Anda tentang bentuk serangan ini dan dapatkan informasi juga. Apa yang dapat dilakukan oleh host situs web Anda adalah mengonfigurasi setiap server dengan daftar alamat DNS alternatif, sehingga ketika DNS default menjadi tidak tersedia, seluruh situs web akan tetap berfungsi. Seorang hacker hanya bisa sukses dalam tindakannya ketika dia memblokir SEMUA server dalam daftar - pekerjaan yang sulit, bukankah begitu? Tindakan balasan lain dapat berupa penyaringan semua paket yang masuk dengan timing yang tidak biasa dan / atau dari alamat IP berisiko tinggi. Tuan rumah Anda harus memiliki pengetahuan tentang serangan Denial of Service, jadi diskusikan dengan mereka tentang pencegahan DDoS.

Tip #6 - Akses FTP Aman Dengan SFTP

Tidak ada perubahan untuk Anda, ia berfungsi seperti FTP biasa, tetapi SFTP, atau Secure FTP, hadir dengan banyak manfaat, dengan keamanan:

  • Ia menggunakan SSH untuk mengenkripsi data dan perintah selama transfer file
  • Ia menggunakan kunci publik server klien untuk memvalidasi server pada saat koneksi, untuk memastikan itu bukan perantara
  • Itu membuat mustahil bagi peretas untuk mendengarkan lalu lintas jaringan Anda

Masalah dengan perintah FTP 'biasa' adalah tidak terenkripsi: semua unggahan dan unduhan ke dan dari server ditransmisikan sebagai data yang jelas.

Untuk mengakses FTP melalui baris perintah (jika Anda pengguna Unix / Linux / Mac OS) yang dapat Anda gunakan

sftp [email protected]

atau cukup unduh program FTP gratis yang mendukung SFTP, seperti FileZilla (sumber terbuka).

Tip #7 - Pelajari Tentang Injeksi SQL Untuk Melindungi Situs Anda Terhadapnya

Waspadalah terhadap metode peretasan yang jahat ini, perbarui skrip Anda dan segera hubungi pengembang skrip jika Anda mengalami pelanggaran keamanan. Inilah cara menjalankan tes sederhana:

  • Masukkan kode SQL berikut ke dalam formulir web Anda (nama pengguna dan kata sandi):
    'ATAU' t '=' t '; -
    yang menjadi, pada level SQL:
    SELECT * FROM users WHERE userid = 'admin' DAN kata sandi = '' ATAU 't' = 't'; - '
  • Apakah itu mengembalikan konten database Anda?

Kode mungkin berfungsi (saya katakan 'mungkin' karena Anda mungkin beruntung telah menginstal skrip yang sangat aman) karena 't' = 't' adalah pernyataan yang benar secara matematis, sehingga permintaan SQL akan selalu dieksekusi. Seorang peretas yang berpengetahuan luas dapat membuat pernyataan SQL yang sangat rumit untuk mencapai tujuannya, jadi pastikan untuk menghubungi pengembang skrip dan mendapatkan bantuan jika skrip yang Anda gunakan mudah diserang. Atau ubah skrip.

BONUS Tip #1 - Secara Reguler Periksa Log Panel Administrasi Anda

Bagian Log cPanel

Panel administrasi Anda (cPanel, Plesk, dll.) Dilengkapi dengan alat bawaan untuk analisis lalu lintas, akses, dan log keamanan yang harus Anda awasi setidaknya seminggu sekali.

Jika Anda menggunakan cPanel, saya sarankan Anda memeriksa Statistik Analog alat setiap dua hari, karena alat ini menunjukkan laporan terperinci satu:

  • Permintaan HTTP
  • Laporan aktivitas lalu lintas bulanan / Harian / Jam
  • Perujuk, Peramban, dan OS berasal dari lalu lintas Anda

Alat log adalah yang pertama Anda harus melihat ketika Anda yakin situs web Anda telah diserang.

BONUS Tip #2 - Melakukan Backup Bi-Mingguan

Cadangkan setiap dua minggu, atau setiap minggu, jika Anda bisa. Dengan plugin seperti Supsystic & iThemes Security, Anda bahkan dapat mencadangkan setiap hari atau setiap tiga hari. Yang penting adalah Anda terus mengunduh salinan baru konten Anda, siap dipulihkan jika sesuatu yang buruk terjadi di sepanjang jalan. Artikel ini menunjukkan kepada Anda jenis serangan yang dapat dialami situs web Anda, dan cara melawan dan mencegahnya, tetapi senjata terkuat Anda adalah benar-benar ini: backup. Ini satu-satunya cara untuk mengembalikan situs web Anda ke keadaan semula, seolah-olah peretas tidak pernah bisa memainkan trik kotornya.

Ringkasan

Jadi, apa yang perlu Anda lakukan, pada dasarnya?

  1. Belajar. Pengetahuan adalah kekuatan! Pelajari tentang kriptografi, DDoS dan SQL Injection, cross-site scripting (XSS) dan jenis serangan lainnya. Segala sesuatu dan apa pun yang dapat membantu Anda mengembangkan pandangan lengkap tentang apa yang terjadi ketika situs web Anda diretas. Semakin banyak Anda tahu, semakin banyak yang dapat Anda lakukan untuk melakukan serangan balik.
  2. Tetap up to date. Dengan penemuan, alat, dan peningkatan skrip. Artikel ini menekankan pentingnya meningkatkan dan memperbarui perangkat lunak situs Anda untuk memastikan perlindungan yang lebih kuat terhadap penyerang.
  3. Lakukan pemeriksaan dan pencadangan rutin. Jika Anda membuat cadangan, Anda dapat memulihkan!
  4. Laporan. Ketika hal-hal di luar kendali Anda, laporkan masalah kepada pengembang skrip, otoritas, dan host Anda. Mereka dapat melakukan apa yang Anda tidak bisa.

Trik Keamanan Dari Rekayasa Perangkat Lunak

Rekayasa Perangkat Lunak adalah bidang yang menarik yang harus dipelajari oleh setiap insinyur dan ilmuwan komputer yang baik ketika mereka mengembangkan perangkat lunak. Tapi apakah kamu tahu itu bekerja dengan cara sebaliknya juga? Anda - pengguna - dapat menggunakan konsep Rekayasa Perangkat Lunak untuk membuat pilihan cerdas di antara perangkat lunak situs yang ditawarkan kepada Anda dari pengembang. Kamu bisa:

  1. Pahami bahwa bug dapat menyebabkan peretasan sistem dan kehilangan data Anda
  2. Pelajari tentang dimensi ketergantungan 4 dan gunakan untuk keuntungan Anda: ketersediaan, keandalan, keamanan, dan keamanan
  3. Identifikasi semua kekhawatiran keamanan Anda: kehilangan data sensitif / penting, kegagalan layanan tertentu, biaya rekonstruksi tinggi (waktu, uang).

Apa yang Harus Anda Tanyakan pada Diri Anda Sebelum Menginstal dan Menggunakan Naskah?

Keteguhan. Bisakah saya mempercayai perangkat lunak ini?

  • Tersedianya Apakah naskahnya tersedia dengan mudah untuk saya? Apakah pengembangnya dapat dihubungi untuk mendapatkan bantuan?
  • Keandalan Apakah skrip berkinerja baik? Apakah ada bug atau memberi saya masalah ketika saya melakukan tindakan yang relevan dengan tujuan saya?
  • keselamatan Apakah malfungsi dan bug sangat memengaruhi keamanan dan kinerja?
  • keamanan Apakah perangkat lunak memiliki modul keamanan internal? Apakah itu sesuatu yang bisa saya atasi?
  • Perbaikan Jika ada yang salah, bisakah saya mengelolanya?
  • Maintainability Apakah saya dapat mempertahankan perangkat lunak ini sendiri?
  • Kelangsungan hidup Akankah perangkat lunak masih diserang? Bisakah saya pulih dengan baik dari serangan itu?

Tabel Kerentanan

  • perangkat lunak bug; transmisi data transparan; kesalahan; log publik
  • Manusia kata sandi kekuatan rendah; direktori yang tidak dilindungi; pengungkapan data sensitif; kurangnya pemeliharaan sistem dan pembaruan / peningkatan

Tentang Luana Spinetti

Luana Spinetti adalah seorang penulis dan seniman freelance yang tinggal di Italia, dan seorang mahasiswa Ilmu Komputer yang penuh gairah. Dia memiliki ijazah sekolah menengah di bidang Psikologi dan Pendidikan dan mengikuti kursus 3 selama setahun di Comic Book Art, di mana dia lulus di 2008. Sebagai seseorang yang memiliki banyak wajah, ia mengembangkan minat yang besar dalam SEO / SEM dan Pemasaran Web, dengan kecenderungan tertentu ke Media Sosial, dan ia sedang mengerjakan tiga novel dalam bahasa ibunya (bahasa Italia), yang ia harap dapat segera menerbitkan indie.