Website sangat penting artinya bagi pemiliknya, entah itu perusahaan, organisasi, lembaga pemerintahan, sekolah maupun perorangan. Website memuat wajah perusahan di dunia maya, profil organisasi bagi organisasi, kinerja lembaga bagi lembaga pemerintahan, etalase produk bagi toko, atau sebagai catatan pencapaian kerja dan karya bagi perorangan.
Website itu aset, jadi harus dijaga.
Website memuat data-data yang disimpan di server website. Data-data tersebut berupa berita, artikel, foto-foto, produk, jasa, atau data pengguna. Ada juga data-data berupa website itu sendiri, seperti template website, jenis huruf yang digunakan, warna, dan ilustrasi yang digunakan.
Ada data-data yang tersimpan di database, seperti data tulisan (postingan), data pengguna (nama, nama pengguna, pasword, dll), data pengaturan website, data transaksi, data barang, data penjualan, dll.
Ada data-data yang tersimpan dalam folder, seperti foto-foto tulisan, foto produk, gambar, dokumen (file PDF, .doc, xls, dll), atau file theme/template website.
Data-data tersebut harus dijaga.
Website terhubung ke jaringan internet. Siapa saja yang mengetahui alamat suatu website bisa mengunjunginya. Dengan mengunjungi dia bisa membuka halaman-halaman yang ada, baik secara legal (karena memang disediakan), maupun ilegal (dengan memanipulasi sistem).
Dunia internet berisi banyak orang dengan beragam latar belakang dan kepentingan, juga pengunjung website. Ada yang datang karena tertarik dengan isinya, ada yang ingin mencoba sistem keamanannya, ada yang ingin merusaknya.
Sebagus apapun sistem yang anda punya, anda harus tetap berhati-hati. Selalu terapkan SOP keamanan internet, tidak mempercayai pengunjung, dan siapkan cadangan data.
Ingat, tak ada teknologi yang tidak ada kelemahannya, jadi tak ada teknologi yang kebal dari serangan hacker. Kutipan dari cybersophia.net ini bisa menjadi peringatan akan selalu ada kelemahan dari suatu sistem.
No technology that’s connected to the Internet is unhackable.
Abhijit Naskar
Apalagi kalau perusahaan anda mempunyai pesaing, serangan bisa saja dilakukan oleh orang dari perusahaan saingan anda.
Serangan apa yang sering dialami website?
1. Defacing/merusak tampilan
Defacing adalah kegiatan melakukan perubahan halaman website secara ilegal. Biasanya bertujuan merusak tampilan dengan mengubahnya. Defacing biasanya menyerang halaman muka sebuah website, tapi bisa juga halaman tertentu, tergantung celah keamanan yang terbuka dalam sebuah website. Website yang terkena aksi deface tampilan depannya akan berubah, diganti warna hitam, diganti tambahi tulisan, diganti logonya, dll.
Ilustrasi website di-hacked/defaced
Secara umum serangan defacing tidak berbahaya karena hanya mengganti tampilan, tidak menghilangkan data. Kemudian penangannya juga lebih mudah cukup dengan mengembalikan file yang dirusak maka website akan kembali seperti semula.
Defacing biasanya berhubungan dengan keamanan di bagian server. Bisa karena ada salah dalam melakukan setting/pengaturan dalam folder server yang mengijinkan “write” sehingga defacer bisa menyisipkan atau mengganti file tertentu, atau karena hosting tidak aman.
Efeknya defacing bisa luarbiasa. Website yang bisa diganti tampilan akan menurunkan image pemilik website, orang akan berpikir ada masalah dengan keamanan website tersebut. Website yang dianggap tidak aman akan menurunkan kepercayaan pengguna, bahkan bagi pengunjung website biasa.
Sebagai gambaran, website perbankan yang terkena defacing akan menyebabkan calon nasabah menjadi takut untuk membuka rekening atau membuka akun, pengguna lama yang takut uangnya hilang bisa melakukan penarikan uang atau berpindah layanan perbankan.
Website toko online yang terkena defacing akan menjadikan calon pembeli takut untuk berbelanja di toko tersebut. Website pemerintah yang terkena defacing akan menyebabkan image semua website pemerintah tidak aman, sehingga kredibilitas pemerintah turun.
Apalagi kalau yang terkena defacing adalah website lembaga yang sensitif yang seharusnya bebas gangguan seperti website milik kepolisian, website militer, website kepresidenan, BSSN, atau website intelijen.
Apakah website kepolisian bisa dihack? Bisa. Prinsipnya, tidak ada sistem keamanan yang sempurna. Bedanya yang punya anggaran bisa membayar tim ahli keamanan sehingga websitenya lebih aman daripada website tanpa tim keamanan yang mumpuni. Website lembaga negara seharusnya lebih aman karena mereke mempunyai anggaran yang cukup untuk keamanan website.
2. Mengakses database website secara ilegal
Serangan ke database website adalah serangan yang berbahaya. Database adalah tempat menyimpan segala data postingan, pengaturan website, hak akses, user, dll. Dengan bisa mengakses database, penyerang bisa melihat data-data sensitif seperti nama pengguna dan informasi lain seperti tanggal lahir, no telp, nama ibu kandung, dll. Sering ada berita mengenai diretasnya database layanan besar di Indonesia, baik layanan milik swasta maupun milik pemerintah. Terakhir layanan suatu bank sempat down beberapa hari, langsung membuat panik nasabah.
Pernah ada juga berita jutaan data dari layanan tertentu milik pemerintah dijual di internet. Berita seperti ini membuat pengguna layanan menjadi takut datanya tersebar. Calon pengguna juga takut untuk mendaftarkan ke aplikasi/website layanan tersebut.
Serangan ke database lebih berbahaya dari serangan defacing. Apalagi kalau bisa mengganti atau bahkan menghapus data di database. Dengan bisa mengganti isi database, atau bahkan menghapusnya, maka website kehilangan datanya.
Serangan terhadap database perlu waktu lebih lama untuk memulihkannya. Selain data yang harus dikembalikan, serangan ke database juga membuktikan sistem tersbut tidak aman, jadi pemilik website juga harus mencari sumber ketidakamanan tersebut. Biasanya disebut “bug”. Jadi terlebih dahulu harus mengetahui kelemahan sistemnya dan menambal celah keamanan tersebut. Tanpa diperbaiki kelemahannya, website akan segera di-hack kembali begitu online.
3. Terkena malware
Serangan ke website bisa berupa malware yang menanamkan script ke halaman website sehingga website anda terdeteksi sebagai tidak aman. Ada juga hacker yang bisa menyisipkan script yang kalau dibuka kemudian menuju ke situs porno, judi, atau situs ilegal lainnya.
Ilustrasi website terkenal malware. azimat.id
Dengan adanya malware di website, kepercayaan pengguna akan turun. Website yang terdeteksi adanya script yang berbahaya akan mencegah pengunjung untuk membuka halaman. Otomatis jumlah pengunjung akan turun, dan ranking di Google juga akan turun.
4. Pengambilalihan website
Ini mirip dengan serangan ke database. Penyerang bisa melakukan aksi lebih jauh memanipulasi isi database. Kalau penyerang bisa mengganti data user administrator website maka yang bersangkutan bisa menguasai website, bisa masuk ke sistem sebagai administrator. Dengan menjadi administrator, penyerang bisa menambah isi, mengganti isi, mengganti tampilan, atau bahkan menghapus semua isi website.
Ini berbahaya sekali. Apalagi kalau admin punya kewenangan mengurusi otorisasi transaksi keuangan, atau kalau di pemerintahan kasi atau kabag yang mempunyai otorisasi persetujuan suatu kebijakan atau pengadaan barang, direktur atau manager di perusahaan yang punya wewenang menyetujui pembelian, dll.
Cara penyerang mendapatkan akses ke website
1. Memanipulasi kelemahan sistem website
Karena ada kelemahan sistem, maka penyerang yang ahli bisa masuk ke sistem website secara tidak sah dan mengambil alih website. Ini membutuhkan keahlian hacker tingkat tinggi apalagi untuk menembus pertahanan website perusahaan besar dengan tim IT sendiri. Atau menembus website perusahaan IT.
2. Dengan rekayasa sosial berupa phising
Phising dilakukan melalui email, WA, layanan inbox media sosial dengan pemberitahuan yang menjebak agar orang yang dikirimi memasukkan data-data sensitif tertentu, misalnya data pengguna dan sandi suatu layanan. Dengan metode phising, pengguna bisa tidak sadar merasa sedang mendapat email dari penyedia layanan resmi, biasanya dengan modus meminta update data, dan secara tidak sadar bisa memasukkan data sensitif yang bisa digunakan untuk mengambilalih akun.
Sebagus apapun keamanan sebuah sistem kalau penggunanya tidak sadar bisa menjadi pintu masuk serangan hacker ke sebuah sistem.
Social engineering bypasses all technologies, including firewalls.
Terjemahan: Rekayasa sosial bisa mem-bypass (membuat jalan pintas agar tidak melewati pemeriksaan) semua teknologi, termasuk firewall.
Kevin Mitnick
3. Bekerjasama dengan orang dalam
Website yang sudah sangat aman dari serangan hacker bisa ditembus kalau SDM-nya lemah, misalnya dibayar untuk masuk ke sistem dan merusak sistem. Ini juga salahsatu cara hacker melakukan aksinya. Dengan mempunyai orang dalam yang menguasai sistem, tidak perlu keahlian canggih untuk masuk ke sistem suatu website, hacker bisa masuk ke sistem dengan akses yang legal karena sudah dibuatkan jalan oleh orang dalam.
Bagaimana agar website anda aman?
Cara menyerang website bisa dari berbagai macam jalan. Ada yang masuk lewat kelemahan hosting, kelemahan sistem website, atau kelemahan manusia (pengguna/admin website).
1. Untuk serangan berupa defacing biasanya berhubungan dengan keamanan hosting/pengaturan akses file dan folder di hosting. Untuk menghindari hal ini pengaturan file di hosting harus sangat diperhatikan.
Kelemahan bisa saja dari pihak hosting, untuk hal ini perlu jeli memilih layanan hosting.
Untuk pencegahan sendiri, untuk file-file sensitif di hosting kalau memungkinan tidak usah diberi akses “write”, cukup “read” saja. Resikonya website yang menggunakan CMS seperti WordPress tidak bisa dilakukan update otomatis.
2. Untuk serangan terhadap database biasanya diakibatkan oleh kelemahan sistem sehingga akses yang ilegal bisa masuk. Untuk pencegahannya harus melakukan audit menyeluruh terhadap keamanan sistem. Itulah sebabnya sebuah sistem yang mau diluncurkan biasanya dilakukan pengujian terlebih dahulu di laboratorium oleh tim ahli keamanan website untuk menguji apakah ada celah keamanan. Begitupun, peluang terkena serangan selalu ada.
3. Serangan tehadap database juga bisa disebabkan karena kelalaian pengguna, terutama administrator website. Jadi perlu SDM yang profesional dan berpengalaman. Perlu juga selalu melakukan edukasi kepada pengguna layanan bagaimana mengamankan akunnya.
4. Sebagai langkah pencegahan, lakukan backup data secara rutin dan simpan hasil backup di komputer lokal. Dengan melakukan back up, apabila ada kerusakan sistem baik karena ada serangan dari hacker atau kerusakan teknis di pihak hosting, maka data-data bisa dikembalikan.
5. Semua data masukan dari pengguna harus melalui proses filtering untuk mencegah script atau kode berbahaysa bisa masuk ke sistem. Script ini bisa mengubah tampilan atau memanipulasi database.
Apa yang harus dilakukan kalau website mendapat serangan hacker?
Kalau website anda mendapat serangan hacker misalnya defacing atau kerusakan database, segera offline-kan dulu website anda. Lakukan analisis mengenai keamanan, segera tambal celah keamanan, dan lakukan update data melalui file back up.
Untuk defacing biasanya berhubungan dengan keamanan hosting. Periksa pengaturan “permission” file dan folder di server apakah ada yang salah pengaturannya. Untuk file-file sensitif bisa diberikan pengaturan “0” agar tidak bisa dilihat oleh user, atau maksimal “4” atau read.
Periksa log server (catatan aktivitas) untuk memantau aktivitas terakhir sebelum terjadi serangan. Di log server biasanya terekam aktivitas terakhir, halaman yang diakses, aktivitas yang dilakukan dan IP pengakses.
Setelah berhasil, website bisa di-online-kan kembali.
Atau gunakan jasa keamanan website untuk menangani serangan website dan bagaimana langkah-langkah pengamannya. Kami juga menerima jasa pemeliharaan website berupa back up rutin website, update software website, dan pengisian konten website.
Demikian tutorial mengenai pentingnya menjaga keamanan website. Website adalah aset pemiliknya. Jadi selalu jaga isi website anda agar data-datanya tetap aman. Bentuk tim khusus yang menangani pemeliharaan website untuk menjaga data-data pwebsite anda aman.
Atau serahkan pemeliharaan website anda ke[ada kami. Kami akan memelihara website anda agar data-data di website anda tetap aman, atau meminimalkan kehilangan data bila ada gangguan.
One thought on “Bagaimana cara menjaga keamanan website?”