Tulisan ini didedikasikan kepada para pemilik website yang telah
maupun belum pernah mengalami kejadian pada websitenya yang terkena hack
oleh para hacker. Yang perlu diingat adalah agar jangan pernah menganggap bahwa website kita selamanya aman dari serangan hacker.
Tidak hanya website besar yang memiliki ramai pengunjung, bahkan
terkadang website kecil-kecilan yang dibuat dengan bentuk sederhana yang
mungkin kita sendiri mengganggapnya tak memiliki harga sekalipun kerap
menjadi santapan para hacker. Percayalah bahwa hal tersebut akan terjadi
pada siapa saja tanpa terduga.
Umumnya para hacker mengambil alih website melalui beberapa cara
seperti: Deface, SQL Injection, Malware, XSS, RFI, CRLF, CSRF, Base64
dsb. Berikut ini adalah beberapa trik pencegahan yang dapat anda upayakan untuk mengamankan website anda sebelum website kita menjadi korban hacker:
Password
Pastikan agar anda menggunakan password yang kuat dengan kombinasi
a-z, A-Z, 1-0, dan kode simbol seperti !@#$%^&*(). Ulasan mengenai
hal ini dapat anda baca tulisan pada
Tips Membuat Password Anti Hacker
Selain itu ada baiknya agar anda mengubah password anda secara berkala untuk memaksimalkan keamanan website anda.
Versi WordPress
Pastikan agar anda selalu meng-update versi wordpress anda ke versi
terbaru. Karena wordpress menyempurnakan fitur dan celah keamanan dari
versi ke versi selain itu juga dapat meminimalisir informasi kepada
hacker mengenai versi wordpress yang anda gunakan. Anda dapat melakukan
ini melalui dasbuard wordpress anda.
Pada umumnya, pada theme standar anda dapat menyembunyikan versi wordpress anda melalui Appeareance > Editor. Lalu editlah pada bagian function.php dan hapus berikut <?php remove_action(‘wp_head’, ‘wp_generator’); ?>
Umumnya tidak semua theme menyediakan informasi mengenai versi
wordpress, namun beberapa theme tetap meninggalkan informasi ini.
File Permission
File Permission adalah fitur yang disediakan pada halaman CPanel bagian File Manager
pada server hosting anda yang digunakan untuk merubah parameter standar
pada sebuah file satuan ataupun kumpulan untuk memungkinkan file
tersebut diakses, dibaca ataupun dirubah oleh pengguna. Umumnya hacker
yang dapat dikatakan berhasil apabila telah melakukan inject dan
berhasil mereset password admin anda. Untuk itu anda dapat membatasi
hal tersebut dengan mengunci file permission pada cpanel tersebut. Cara
merubah file permission adalah dengan klik kanan pada file yang
bersangkutan lalu akan terdapat 3 baris kotak yang dapat dicentang atau
dihilangkan centangnya. Anda tidak perlu mengubah semua file permision
pada file website anda namun ada baiknya anda mengubah permission pada
file-file berikut dan nilai yang direkomendasikan:
.htaccess – ubah menjadi 444 atau 404
wp-config.php – ubah menjadi 444 atau 400
index.php – 444 atau 400
wp-blog-header.php – 400 atau 444
wp-admin – 755 atau 705
wp-includes – 755 atau 705
wp-content – 755 atau 705
wp-content/bps-backup – 755
Sembunyikan Plugin Anda
Usahakan agar anda menyembunyikan semua plugin yang anda gunakan. Hal
ini untuk menutup kemungkinan dan memberi ide kepada hacker untuk
menemukan mana-mana saja plugin yang dapat dijadikan celah untuk
melakukan hack. Untuk menyembunyikan plugin yang terinstal pada
wordpress anda, dapat meng-upload file index kosong ke dalam folder /wp-content/plugins/
White list pada .htaccess
Untuk mencegah hacker mengotak-atik folder admin anda ada baiknya
anda memasukkan daftar IP Whitelist yang diperbolehkan untuk mengakses
folder-folder penting pada website anda sehingga tidak akan ada orang
yang dapat melihat folder admin kecuali anda dan daftar IP yang
diberikan izin akses. Untuk melakukan hal ini anda dapat menambahkan
beberapa baris script kode pada file .htaccess anda yang terletak pada
file Manager didalam Cpanel. (munculkan bila tersembunyi). Secara
default, letak file .htaccess adalah didalam /wp-admin/
Berikutnya tambahkan kode dibawah ini untuk melindungi halaman wp-login.php dan wp-config.php anda sehingga hanya IP tertentu yang dapat mengakses halaman tersebut:
<Files wp-login.php>
Order deny,allow
Deny from All
Allow from xxx.xxx.xxx.xxx
</Files>
Order deny,allow
Deny from All
Allow from xxx.xxx.xxx.xxx
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>
order allow,deny
deny from all
</files>
ganti xxx. dengan alamat IP anda. Trik diatas juga dapat melindungi
wp-config anda agar tidak dapat dilihat isinya karena informasi yang
tersimpan didalam wp-config sangat vital karena terdapat username dan
password website anda.
Anda dapat mengedit file .htaccess ini langsung melalui cpanel atau
melalui komputer anda namun sebaiknya file ini anda backup terlebih
dahulu.
Plugins Security
Beberapa plugins dibawah ini dapat berfungsi maksimal untuk
melindungi file-file penting yang rentan menjadi sasaran utama para
hacker untuk diserang. Anda dapat menginstal plugin-plugin berikut:
Bulletproof Security (untuk melindungi file .htaccess dan fitur-fitur security lainnya.
Login LockDown (untuk melindungi halaman login anda dari ‘brute force attack’ ,mencatat IP yang berusaha untuk login ke website anda juga memblok IP yang mencurigakan.)
WordPress Firewall (dapat memblokir script-script dan parameter yang mencurigakan)
Timthumb Vulnerability Scanner (untuk mendeteksi script-script mencurigakan yang ditanam oleh hacker yang ingin memanfaatkan situs anda)
Themes
Upayakan agar anda tidak mendownload theme yang tidak jelas sumbernya
ataupun versi yang Nulled. Karena memungkinkan bagi hacker untuk
menambahkan script-script yang dapat dimanfaatkan untuk menyusup kedalam
website anda.
Plugin Update
Banyak hacker memanfaatkan celah pada beberapa plugin yang menurut
mereka dapat diserang. Oleh karena itulah para pembuat plugin terus
menyempurnakan plugin-plugin mereka selain untuk memperkaya fitur juga
meningkatkan keamanan yang sebelumnya dapat dimanfaatkan oleh hacker.
Backup Database
Untuk mencegah kemungkinan terburuk sangat disarankan agar anda melakukan update database pada wordpress anda dengan bantuan wp-db-backup atau wp-time-machine.
wp-time-machine mempunyai fitur melakukan full backup situs wordpress
anda, mulai dari image, comment, postingan, theme hingga semua plugin
anda.
Demikianlah informasi mengenai 9 Cara Mengamankan Website Anda Dari Serangan Hacker. Apabila anda adalah seorang awam dimana website anda sudah terlajur terkena hack, anda mempunyai 3 opsi untuk memperbaikinya:
- Anda dapat melakukan restore data backup yang anda simpan dikomputer anda. Setelah itu segeralah mengganti password anda.
- Mintalah bantuan kepada pihak hosting untuk memperbaiki website anda. Umumnya pihak hosting mempunyai tenaga ahli untuk menangani hal ini.
- Cara terakhir, anda dapat mengkontak sang hacker tersebut serta membicarakannya dengan baik-baik. Umumnya para hacker meninggalkan alamat email yang dapat dihubungi meskipun beberapa lainnya tidak meninggalkan jejak apa-apa. Namun biasanya bagi hacker yang meninggalkan jejak email masih memungkinkan untuk dimintai bantuan agar mengembalikan website anda. Meskipun kemungkinannya 50-50. Namun pada umumnya komunitas hacker di Indonesia banyak diantaranya yang melakukan hack dengan tujuan untuk mengingatkan pengguna agar dapat meningkatkan sekuriti pada website korban agar dapat melakukan perbaikan selanjutnya. Ya, terkadang hacker golongan ini memberi masukan berharga kepada kita semua. ^_^
referensi: http://devlinparker.wordpress.com/2013/02/22/9-cara-mengamankan-website-anda-dari-serangan-hacker/
Komentar
Posting Komentar