Like & Share:
- Like & Share : Jika ini dapat bermanfaat bagi orang lain? Klik tombol bagikan dan beri tahu mereka!
- Comment : Berikan komentar, komentar spam dan tidak relevan tidak akan pernah dipublikasikan!
- Klik Iklan : Terima kasih atas partisipasi Anda yang berharga. Keterlibatan Anda sangat kami hargai!
TokoDaring.Com – Cara Mengamankan Situs Website Anda: Tips dari para pakar dan Keamanan Perusahaan. Bagaimanapun keamanan situs website harus menjadi prioritas utama bagi semua perusahaan, besar maupun kecil. Terutama perusahaan yang menangani data dan informasi sensitif dalam jumlah besar.
Table of Contents
Tips dari pakar keamanan bagaimana cara mengamankan situs website anda
Serangan siber atau pelanggaran data dapat menimbulkan bencana bagi bisnis Anda, jadi penting bagi Anda untuk memahami cara mengamankan situs website. Untungnya, tugas ini lebih mudah dikelola daripada yang Anda harapkan. Dengan menerapkan beberapa strategi efektif, Anda dapat melindungi perusahaan dan pelanggan Anda dari sebagian besar ancaman dunia maya.
Dalam postingan ini, kita akan melihat lebih dekat risiko memiliki situs web yang tidak aman. Kemudian kami akan memandu Anda melalui 27 cara mengamankan situs website Anda. Tapi sebelumnya kita loihat dulu apa saja resiko yang akan timbul dari sebuah implementasi website yang rentan keamanan.
Apa saja risiko yang terkait dengan situs website yang tidak aman?
Tidak ada situs website yang kebal terhadap serangan keamanan dan dampaknya. Namun lokasi perusahaan mempunyai risiko tertentu, dan konsekuensinya bisa sangat mengerikan. Berikut beberapa ancaman umum yang mungkin Anda hadapi akibat serangan siber:
Kebocoran data dan privasi
Situs web yang tidak aman membahayakan informasi sensitif tentang karyawan dan klien Anda. Ini mungkin termasuk rincian pribadi, catatan keuangan, kredensial login, dan data rahasia lainnya.
Misalnya, serangan injeksi SQL dapat memberikan akses tidak sah kepada pengguna jahat ke situs web Anda. Jika ini terjadi, penyerang dapat mencuri data apa pun yang mereka suka dan menggunakannya untuk tujuan jahat, seperti pemerasan atau pencurian identitas.
Kebocoran data dan privasi juga dapat menyebabkan hilangnya pendapatan dan kepercayaan. Anda dapat memitigasi risiko ini dengan menerapkan praktik keamanan yang ketat seperti mewajibkan kata sandi yang kuat dan aman dari semua pengguna.
Kontaminasi malware
Jika tidak aman, situs web perusahaan Anda mungkin juga rentan terhadap kontaminasi malware. Penjahat dunia maya sering kali mengeksploitasi kerentanan pada perangkat lunak yang sudah ketinggalan zaman, seperti plugin, tema, atau inti WordPress, untuk menyuntikkan malware ke situs web.
Kontaminasi malware dapat memengaruhi seluruh jaringan Anda, termasuk perangkat karyawan Anda. Tergantung pada sifat dan tingkat keparahan malware, diperlukan banyak biaya untuk menghilangkannya dan mengganti perangkat lunak yang terpengaruh.
Hilangnya reputasi dan kepercayaan
Pelanggaran keamanan dapat berdampak buruk dan buruk pada reputasi merek Anda. Jika akun atau data pribadi klien Anda disusupi, mereka mungkin kehilangan kepercayaan pada Anda dan beralih ke pesaing Anda.
Hal ini juga dapat menyebabkan ulasan buruk dan reaksi buruk di media sosial. Jika beritanya tersebar, Anda mungkin akan kesulitan menarik pelanggan baru dan mengembangkan bisnis Anda.
Gangguan bisnis dan konsekuensi keuangan
Dua ancaman online yang paling umum adalah serangan penolakan layanan (DoS) (dilakukan oleh satu sistem) dan serangan penolakan layanan terdistribusi (DDoS) (dilakukan melalui beberapa sistem terkoordinasi). Ini adalah saat penyerang mensimulasikan lalu lintas tingkat tinggi untuk membanjiri situs web. Akibatnya, website menjadi tidak dapat diakses oleh pelanggan.
Jika situs web Anda mengalami salah satu serangan ini, mungkin perlu beberapa saat sebelum situs tersebut aktif dan berjalan kembali. Hal ini kemungkinan besar akan mengganggu bisnis Anda, sehingga menimbulkan konsekuensi finansial yang signifikan.
Namun ada banyak ancaman lain yang dapat menyebabkan situs Anda menjadi offline sepenuhnya. Misalnya, serangan rekayasa sosial memungkinkan pelaku mengakses sistem yang pada akhirnya menyebabkan permintaan uang tebusan dan penghentian lusinan situs penting yang berhubungan dengan pelanggan raksasa MGM selama berminggu-minggu.
Ketidakpatuhan terhadap peraturan
Jika Anda gagal mengamankan situs web perusahaan, Anda mungkin tidak mematuhi peraturan utama. Hal ini dapat membuat organisasi Anda terkena konsekuensi hukum dan sanksi finansial.
Banyak negara dan wilayah memiliki peraturan perlindungan data khusus, seperti GDPR, HIPAA, dan CCPA, yang mengharuskan bisnis menerapkan langkah-langkah keamanan yang ketat untuk melindungi data pengguna. Tidak mematuhi peraturan ini dapat mengakibatkan penyelidikan dan denda.
Pencurian dan eksploitasi kekayaan intelektual
Situs web dengan praktik keamanan yang buruk adalah target pencurian kekayaan intelektual (IP). Peretas dapat mengeksploitasi kerentanannya untuk mendapatkan akses ke informasi kepemilikan, rahasia dagang, atau konten berhak cipta.
Serangan brute force dan serangan pemalsuan permintaan lintas situs (CSRF) adalah contoh umum dari jenis ancaman ini. Aktor jahat dapat mencoba ribuan kredensial login untuk membobol jaringan Anda dan mencuri konten Anda.
Dampaknya tidak hanya berupa kerugian finansial jangka pendek. Hal ini juga dapat merusak daya saing perusahaan Anda dan menghambat pertumbuhan jangka panjangnya.
Dampak hukum
Terakhir, membiarkan situs Anda tidak aman dapat menyebabkan Anda terkena masalah hukum, terutama jika pelanggan atau pemegang saham terkena dampak pelanggaran keamanan.
Pihak yang terkena dampak dapat mengajukan tuntutan hukum atas kelalaian dan kegagalan melindungi data sensitif mereka. Selain itu, organisasi Anda dapat menjadi sasaran pengawasan publik.
Seperti disebutkan sebelumnya, otoritas lokal dapat mengenakan denda jika tidak mematuhi undang-undang perlindungan data. Denda yang besar dan biaya pengadilan dapat membuat bisnis Anda merugi.
Langkah dasar cara mengamankan situs website
Ancaman kejahatan dunia maya yang terus berkembang dan tampaknya tak tergoyahkan dapat menjadi hal yang melelahkan untuk dilawan siang dan malam. Untungnya, ada banyak langkah yang dapat Anda ambil untuk melindungi aset perusahaan Anda dan mencegah sebagian besar serangan.
Sisa artikel ini akan membahas langkah-langkah paling efektif yang dapat Anda ambil untuk melindungi organisasi Anda. Untuk memulai, berikut adalah beberapa teknik dasar yang penting untuk segala jenis bisnis online.
Pilih penyedia hosting yang andal
Penyedia hosting Anda memainkan peran penting dalam keamanan situs web Anda. Jika servernya lemah atau tidak aman, hal ini dapat membuat situs web Anda rentan terhadap serangan, meskipun Anda sudah memiliki langkah keamanan sendiri.
Idealnya, Anda sebaiknya memilih paket hosting yang dibuat untuk bisnis besar. Misalnya, WordPress VIP adalah layanan hosting khusus perusahaan yang menawarkan solusi keamanan komprehensif.
Ini menggunakan perlindungan tepi, kontrol akses yang kuat, pemantauan keamanan berkelanjutan, dan fitur canggih lainnya untuk membantu menjaga situs Anda tetap aman. Ini juga dirancang untuk menjaga semua kode WordPress tetap aman dan terkini.
Gunakan HTTPS dengan memasang sertifikat SSL
Sertifikat lapisan soket aman (SSL) memastikan bahwa setiap data yang dipertukarkan antara server Anda dan browser pengunjung dienkripsi. Hal ini mempersulit pelaku jahat untuk mencegat koneksi dan mencuri informasi sensitif.
Saat Anda menggunakan sertifikat SSL, situs web Anda disajikan melalui HTTPS, yang merupakan versi aman dari protokol HTTP. Meskipun sertifikat SSL tersedia secara gratis, perusahaan Anda mungkin memerlukan solusi yang lebih canggih.
Sertifikat SSL premium akan menawarkan validasi yang diperluas dan lapisan keamanan tambahan. Hal ini sangat penting jika Anda menangani transaksi sensitif (seperti pembayaran) melalui situs web Anda.
Selalu perbarui perangkat lunak situs web dan server
Langkah sederhana lainnya untuk melindungi situs web Anda adalah selalu memperbaruinya. Ini melibatkan pembaruan perangkat lunak inti sistem manajemen konten Anda (seperti WordPress) serta alat pihak ketiga yang Anda gunakan di situs Anda.
Pengembang yang andal akan merilis pembaruan rutin untuk menambal kerentanan. Jika situs web Anda berjalan pada perangkat lunak yang sudah ketinggalan zaman, hal ini memberikan peluang bagi penyerang untuk mengeksploitasi kerentanan ini dan mengakses database Anda.
Plugin WPScan memberi organisasi perusahaan gambaran lengkap tentang kerentanan yang diketahui dalam perangkat lunak yang mereka gunakan di situs WordPress mereka. Pelanggan non-perusahaan dapat mengakses perlindungan serupa dengan plugin Jetpack Protect.
Jika situs Anda didukung oleh WordPress, Anda seharusnya dapat mengaktifkan pembaruan otomatis untuk plugin di dasbor.
Anda dapat memastikan pembaruan otomatis diterapkan untuk WordPress itu sendiri, dan memeriksa tema Anda untuk melihat apakah ia menawarkan opsi itu. Selain itu, jika situs web Anda dihosting pada paket terkelola, server web Anda mungkin melakukan pembaruan segera setelah tersedia.
Tinjau dan amankan integrasi pihak ketiga
Situs e-niaga Anda kemungkinan besar terintegrasi dengan beberapa layanan pihak ketiga, seperti perangkat lunak pemasaran dan gateway pembayaran. Meskipun alat-alat ini mungkin aman, masalah dapat timbul kapan saja. Selain itu, mereka mungkin tiba-tiba berhenti menerima pembaruan dari pengembang.
Oleh karena itu, Anda sebaiknya melakukan audit rutin terhadap alat pihak ketiga yang aktif di situs Anda. Ini mungkin melibatkan memeriksa kapan terakhir kali diperbarui dan membaca ulasan terbaru dari pengguna lain.
Anda juga harus rajin menginstal perangkat lunak baru di situs Anda. Jika suatu alat belum diperbarui dalam enam bulan terakhir, alat tersebut mungkin mengandung kerentanan yang dapat membahayakan bisnis Anda.
Selain itu, penting untuk mengamankan alat yang ada dengan memastikan hanya karyawan yang berwenang yang dapat mengaksesnya. Pengguna yang tidak berpengalaman dapat secara tidak sengaja mengonfigurasi pengaturan yang membuat situs Anda rentan terhadap serangan.
Cadangkan data Anda secara teratur
Tidak ada teknik keamanan (atau kombinasi) yang 100% efektif. Oleh karena itu, melakukan pencadangan secara rutin sangatlah penting.
Ini akan memudahkan pemulihan situs web Anda jika terjadi pelanggaran keamanan. Selain itu, Anda tidak perlu khawatir kehilangan informasi penting jika konten Anda terinfeksi malware.
Idealnya, Anda ingin menerapkan solusi pencadangan otomatis. Jika tidak, Anda mungkin tidak dapat mempertahankan jadwal pencadangan yang konsisten.
Jika Anda menggunakan paket hosting terkelola, host Anda mungkin menawarkan pencadangan harian. Namun cadangan yang disediakan host mungkin tidak cukup jika server Anda mengalami serangan atau kegagalan fungsi. Anda juga memerlukan salinan yang disimpan di lokasi eksternal agar yakin bahwa Anda dapat memulihkannya dalam waktu singkat.
Oleh karena itu, sebaiknya pertimbangkan untuk menggunakan plugin cadangan khusus seperti Jetpack VaultPress Backup. Solusi ini menyimpan salinan situs web Anda di server terpisah untuk keamanan tambahan.
Selain itu, ini mencadangkan situs Anda secara real time. Setiap kali Anda membuat perubahan pada situs web Anda, plugin akan menyimpannya ke server amannya. Hal ini memudahkan pemulihan situs Anda dengan cepat jika terjadi pelanggaran keamanan.
Terapkan kebijakan kata sandi yang kuat
Kata sandi yang lemah adalah salah satu cara utama peretasan situs. Idealnya, kata sandi harus berisi setidaknya delapan karakter dan menampilkan kombinasi huruf, angka, dan simbol.
Beberapa sistem manajemen konten seperti WordPress memudahkan pengguna membuat kata sandi yang kuat.
Namun hanya menyarankan penggunaan kata sandi yang kuat saja tidak cukup. Selain itu, orang sering kali menggunakan kata sandi yang sama untuk beberapa akun. Ini sangat berisiko, karena jika satu akun disusupi, peretas dapat menggunakan kredensial login yang sama untuk masuk ke situs web Anda.
Jika Anda serius ingin mengunci situs Anda, Anda harus menerapkan kebijakan kata sandi yang ketat. Misalnya, karyawan harus mengubah kata sandi mereka setiap beberapa bulan dan menggunakan kredensial login yang berbeda untuk semua akun kerja. Anda dapat menerapkan kata sandi yang kuat untuk pengguna dan pengunjung dengan menginstal plugin seperti Pengelola Kebijakan Kata Sandi.
Aktifkan autentikasi multifaktor (MFA)
Jika Anda menggunakan situs aman untuk aktivitas seperti perbankan atau layanan kesehatan dalam kehidupan pribadi Anda, Anda mungkin sudah familiar dengan autentikasi multifaktor (MFA) atau autentikasi dua faktor (2FA). Setelah pengguna memasukkan kredensial login, mereka menerima kode di ponsel atau melalui email, yang digunakan untuk memverifikasi identitas mereka.
Lapisan verifikasi tambahan ini secara signifikan menghambat kemampuan peretas untuk mendapatkan akses ke situs web Anda, meskipun mereka memiliki kredensial login yang valid. Untuk keamanan tambahan, Anda sebaiknya mengaktifkan fitur ini di semua akun pengguna.
Jika Anda menggunakan Jetpack di situs Anda, Anda dapat mengaktifkan autentikasi aman hanya dalam beberapa langkah.
Dengan alat ini, Anda dapat meminta pengguna masuk dengan akun WordPress.com mereka, dan juga mengharuskan mereka mengaktifkan autentikasi dua faktor.
Batasi akses pengguna melalui peran dan tanggung jawab
Semakin banyak orang yang memiliki akses ke bagian belakang situs Anda, semakin besar kemungkinan terjadinya kecelakaan dan kesalahan. Seseorang mungkin secara tidak sengaja menghapus alat atau mengubah pengaturan penting yang membuat situs Anda tidak aman.
Cara mudah untuk mencegah hal ini adalah dengan membatasi akses pengguna pada bagian tertentu di situs Anda. Jika Anda menggunakan WordPress, ini cukup mudah. Platform ini memungkinkan Anda untuk menetapkan peran berbeda kepada masing-masing pengguna.
Setiap peran menentukan hal-hal yang dapat mereka lakukan di situs web.
Administrator adalah satu-satunya peran pengguna dengan akses penuh ke situs. Dengan membatasi peran pada izin minimum yang diperlukan untuk menyelesaikan pekerjaan seseorang, Anda dapat mengurangi kemungkinan perubahan tidak sah pada konten Anda.
Hapus akun yang tidak aktif atau tidak diperlukan
Selain mengontrol akses pengguna, penting juga untuk menghapus akun yang tidak aktif di situs web Anda. Misalnya, jika seorang karyawan telah keluar dari perusahaan, akunnya mungkin masih ada tetapi tidak dipertahankan. Ini berarti kredensial login mereka sudah lama tidak diperbarui, sehingga dapat membahayakan situs web Anda.
Setidaknya setahun sekali, Anda sebaiknya meninjau semua akun pengguna di situs web Anda dan menghapus semua akun milik mantan karyawan atau kontraktor. Saat Anda melakukannya, ada baiknya juga untuk meninjau dan menghapus akun yang tidak perlu atau duplikat.
Gunakan metode transfer file yang aman
Protokol transfer file aman (SFTP) adalah cara terenkripsi untuk terhubung langsung dengan situs Anda dan mengakses file-filenya. Ini menggunakan protokol shell aman (SSH) untuk menyediakan koneksi aman untuk transfer file antara perangkat lokal Anda dan server situs web Anda.
Enkripsi ini membantu melindungi data Anda dari akses tidak sah. Selain itu, mempersulit peretas untuk mencegat transfer tersebut. Jadi sebaiknya gunakan SFTP setiap kali bekerja langsung dengan file situs Anda. FileZilla adalah salah satu klien SFTP terpopuler, dan tersedia secara gratis.
Amankan izin file di server Anda
Izin file memungkinkan Anda membatasi akses ke file dan direktori sensitif. Dengan mengatur izin yang sesuai, Anda dapat memastikan bahwa hanya pengguna yang berwenang yang dapat mengubah file penting.
Jika Anda menggunakan WordPress, Anda memiliki akses ke sistem file terstruktur dengan izin khusus. Izin ini diwakili oleh tiga angka, yang masing-masing mewakili salah satu, secara berurutan: Pemilik, Grup, atau Publik.
Setiap digit sesuai dengan izin file untuk masing-masing pengguna, dengan nilai berkisar antara 0 hingga 7. Izin ini adalah Baca, Tulis, dan Jalankan.
Berikut adalah izin file yang direkomendasikan untuk WordPress:
- Direktori: 755, yang memberi pemilik kendali penuh sementara pengguna lain hanya bisa membaca dan mengeksekusi
- File: 644, yang memberikan pemilik akses baca dan tulis sementara yang lain hanya memiliki akses baca
- wp‑config.php: 600, untuk memastikan bahwa hanya pemilik yang dapat membaca dan memodifikasi file konfigurasi penting ini
- Anda dapat mengakses izin file situs Anda dengan meluncurkan Manajer File di akun hosting Anda. Alternatifnya, Anda dapat menggunakan klien SFTP seperti FileZilla. Cukup klik kanan pada file atau folder dan pilih opsi Izin File.
Gunakan protokol DNSSEC
Ekstensi keamanan sistem nama domain (DNSSEC) adalah protokol yang dirancang untuk meningkatkan keamanan dan integritas sistem nama domain (DNS).
DNS bertanggung jawab untuk menerjemahkan nama domain (seperti WordPress.com) menjadi alamat IP (seperti “12.3456.78”), mengarahkan pengunjung ke server situs. DNSSEC mengatasi kerentanan dalam infrastruktur DNS, dengan menambahkan lapisan otentikasi tambahan melalui tanda tangan kriptografi.
Protokol ini membantu memastikan bahwa pengguna terhubung ke server yang sah, sehingga mengurangi risiko serangan man‑in‑the‑middle. Hal ini sangat penting terutama untuk situs web e-niaga yang menangani informasi sensitif.
Banyak pendaftar domain menawarkan DNSSEC sebagai fitur standar. Namun sebaiknya periksa akun domain Anda untuk mengonfirmasi apakah hal ini berlaku untuk situs Anda.
Gunakan CDN dengan perlindungan DDoS
Jaringan pengiriman konten (CDN) adalah jaringan server yang didistribusikan di berbagai lokasi. Saat pengunjung mencoba mengakses situs web Anda, konten dikirimkan dari server yang secara fisik paling dekat dengan mereka. Hal ini membantu mengurangi latensi dan menghasilkan waktu respons yang lebih cepat.
Seperti disebutkan sebelumnya, serangan DDoS bertujuan untuk membanjiri situs web dengan membanjiri lalu lintasnya. Dihasilkan dari botnet, lalu lintas ini dapat menyebabkan server kelebihan beban, menyebabkan situs web menjadi lambat atau tidak tersedia sama sekali.
Dengan memilih CDN dengan perlindungan DDoS, Anda dapat membantu mencegah gangguan apa pun pada operasi e-niaga Anda.
Langkah lanjutan cara mengamankan situs website
Sekarang setelah dasar-dasarnya dibahas, sekarang saatnya beralih ke beberapa solusi lebih lanjut. Sejumlah langkah ini rumit atau bersifat teknis, jadi Anda mungkin ingin pengembang web atau profesional keamanan menanganinya untuk Anda. Tugas lain dapat diimplementasikan menggunakan alat otomatis.
Lakukan pemindaian kerentanan secara teratur
Seperti yang dibahas sebelumnya, plugin dan kerentanan lainnya dapat membahayakan situs web Anda. Jika Anda menggunakan perangkat lunak dari beberapa vendor atau pengembang, mungkin sulit untuk mengatasi sendiri masalah keamanan terbaru.
Di sinilah alat seperti WPScan berguna. Pemindai CLI WPScan akan secara otomatis menganalisis situs Anda untuk mencari kerentanan yang mungkin dapat dilihat dan dieksploitasi oleh peretas luar.
Plugin WPScan, hanya tersedia untuk perusahaan, mencari kerentanan pada perangkat lunak situs web Anda (seperti plugin), dan segera memberi tahu Anda jika ditemukan. Ini dapat melakukan ini dengan akurasi luar biasa karena menggunakan database terbesar dari kerentanan WordPress yang diketahui, yang terus diperbarui oleh profesional keamanan.
Menerapkan penggunaan WPScan harus menjadi salah satu langkah pertama yang Anda ambil saat memenuhi rencana keamanan lebih lanjut. Perusahaan seperti Sony dan Mercedes-Benz Group bekerja sama dengan WPScan karena mereka hanya akan menerima yang terbaik. Bicaralah dengan seseorang di WPScan untuk meningkatkan keamanan WordPress Anda sekarang.
Gunakan firewall aplikasi web (WAF)
Firewall aplikasi web (WAF) adalah alat keamanan yang memantau lalu lintas ke situs web Anda dan memblokir permintaan jahat apa pun. Ia menggunakan seperangkat aturan yang telah ditentukan sebelumnya untuk memfilter lalu lintas tersebut dan memberikan akses kepada pengunjung yang sah.
Artinya, firewall dapat mencegah sebagian besar jenis serangan siber, termasuk injeksi SQL dan upaya brute force. Bergantung pada alat yang Anda gunakan, Anda bahkan akan mendapatkan log dan laporan terperinci, termasuk informasi tentang permintaan yang diblokir dan potensi ancaman.
Misalnya, Jetpack Security adalah plugin komprehensif dengan fitur yang dirancang untuk melindungi situs Anda dari beberapa jenis ancaman.
Ini mencakup firewall situs web dengan pemantauan lalu lintas waktu nyata. Selain itu, tim Jetpack terus memperbarui aturan firewall untuk melindungi Anda dari ancaman terbaru di web.
Menerapkan kebijakan keamanan konten (CSP)
Kebijakan keamanan konten (CSP) adalah standar keamanan yang membantu melindungi aplikasi web dari berbagai jenis serangan injeksi kode, termasuk skrip lintas situs (XSS). XSS terjadi ketika penyerang memasukkan skrip yang merusak ke halaman situs Anda untuk mencuri informasi dari pengguna.
CSP bekerja dengan mendefinisikan dan menerapkan serangkaian aturan yang menentukan sumber konten mana (seperti skrip, stylesheet, dan gambar) yang dianggap sah. Dengan membatasi asal skrip yang dapat dieksekusi, Anda dapat mengurangi risiko eksekusi kode yang tidak sah.
Ini adalah tugas tingkat lanjut, jadi sebaiknya percayakan tugas ini kepada profesional keamanan atau pengembang dengan keahlian CSP.
Aktifkan header keamanan
Header keamanan seperti X-Content-Type-Options, X-Frame-Options, dan X-XSS-Protection menambahkan lapisan pertahanan lain terhadap berbagai ancaman cyber.
Misalnya, X-Content-Type-Options mencegah browser menafsirkan file sebagai tipe MIME yang berbeda, sehingga mengurangi risiko kerentanan pengendapan MIME. Sementara itu, X-Frame-Options memitigasi serangan clickjacking dengan membatasi bagaimana halaman web dapat disematkan ke dalam iframe.
Clickjacking adalah ketika penyerang mengelabui pengguna agar mengklik tautan berbahaya. Misalnya, pengunjung mungkin mengira mereka mengeklik tombol “dapatkan penawaran” di situs Anda, padahal sebenarnya mereka melakukan tindakan yang memberi peretas akses ke perangkat mereka.
Jika dikonfigurasi dengan benar, header ini dapat meningkatkan keamanan situs Anda, serta melindungi pelanggan dan klien Anda dari upaya peretasan. Ini adalah tugas keamanan lain yang sebaiknya diserahkan kepada para profesional.
Gunakan kueri berparameter
Kueri berparameter dapat membantu mencegah serangan injeksi SQL. Injeksi SQL terjadi ketika penyerang memanipulasi kolom input di situs Anda (seperti kolom di formulir kontak) untuk memasukkan kode berbahaya ke dalam database Anda.
Dengan menerapkan parameter pada kueri, Anda dapat memastikan bahwa setiap masukan pengguna diperlakukan sebagai data, bukan sebagai kode yang dapat dieksekusi. Ini akan membantu mencegah akses tidak sah ke database Anda, serta melindungi terhadap manipulasi dan pencurian data.
Menerapkan pembatasan tarif
Pembatasan tarif adalah saat Anda membatasi jumlah permintaan yang dapat dibuat pengguna dari alamat IP yang sama, dalam jangka waktu tertentu. Ini dirancang untuk mencegah serangan brute-force dan DDoS.
Seperti yang mungkin Anda ingat, pelaku kejahatan dapat mencoba merusak situs web dengan mengirimkan lalu lintas dalam jumlah besar ke halamannya. Sementara itu, peretas dapat memperoleh akses ke suatu situs dengan melakukan ribuan upaya login dengan kredensial berbeda.
Oleh karena itu, pembatasan tarif dapat membantu Anda mengontrol arus lalu lintas dan permintaan dari sumber yang sama. Dengan cara ini, penjahat dunia maya tidak dapat menguasai situs web atau meretasnya.
Perkuat server Anda
Server Anda menyimpan semua konten situs Anda, termasuk file, informasi pengguna, dan perangkat lunak pihak ketiga. Jika terjadi sesuatu, Anda berisiko kehilangan semua yang ada di situs web Anda. Bahkan jika Anda memiliki cadangan terbaru, memperbaiki server yang disusupi bisa memakan biaya yang besar.
Berikut beberapa hal yang dapat Anda lakukan untuk memperkuat server Anda:
- Nonaktifkan layanan yang tidak perlu. Setiap program yang disimpan di server mewakili potensi kerentanan. Menonaktifkan layanan yang tidak penting untuk fungsionalitas server membantu menghilangkan risiko yang tidak perlu.
- Hapus akun default. Penyerang sering kali menargetkan akun default, karena mereka cenderung memiliki nama pengguna dan kata sandi yang sama (seperti “admin” dan “pass1”). Menghapus akun default, terutama yang memiliki hak administratif, dapat mengurangi risiko akses tidak sah.
- Perbarui pengaturan keamanan. Penting juga untuk meninjau dan memperbarui pengaturan keamanan server Anda secara berkala. Ini termasuk mengonfigurasi firewall, kontrol akses, dan protokol enkripsi.
- Jika beberapa karyawan Anda memiliki akses ke server, Anda sebaiknya menerapkan mekanisme autentikasi yang kuat, seperti autentikasi multifaktor (dibahas sebelumnya). Ini akan membuat peretas hampir tidak mungkin masuk ke bagian belakang situs Anda.
Lindungi basis data Anda
Basis data WordPress Anda dapat menyimpan informasi rahasia, termasuk detail pengguna seperti kata sandi dan nomor kartu kredit. Hal ini menjadikannya target populer bagi peretas dan pencuri data.
Anda dapat mengamankan database dengan membatasi aksesnya menggunakan kata sandi yang kuat. Anda juga ingin menerapkan validasi input untuk mencegah serangan injeksi SQL.
Cara lain untuk melindungi database Anda adalah dengan terus memperbaruinya. Ini berarti melakukan pemeliharaan dan pembaruan yang diperlukan untuk mengatasi kerentanan dan masalah keamanan lainnya.
Menerapkan segmentasi jaringan
Segmentasi jaringan melibatkan pembagian jaringan menjadi segmen-segmen yang lebih kecil dan terisolasi. Hal ini memungkinkan Anda menahan dan membatasi potensi dampak insiden keamanan.
Misalnya, jika ada pelanggaran keamanan di satu bagian jaringan, hal itu tidak akan memengaruhi infrastruktur lainnya. Insiden ini terisolasi dan dapat dengan mudah dikendalikan.
Sistem ini juga mencegah penyerang mengakses konten sensitif setelah mereka melanggar perimeter. Anda mungkin memiliki segmen jaringan untuk departemen akun (yang berisi catatan keuangan), segmen lain untuk sumber daya manusia, dan seterusnya. Jika seorang peretas membobol satu jaringan, seperti departemen penjualan Anda, mereka seharusnya tidak dapat mengakses data sensitif di departemen akun Anda.
Catat dan pantau aktivitas situs web
Melacak aktivitas pengguna adalah bagian penting dalam menjaga keamanan situs web. Ini memungkinkan Anda memantau aktivitas mencurigakan di situs Anda, seperti perubahan tidak sah pada halaman dan file.
Log aktivitas akan menunjukkan perubahan apa yang dilakukan, oleh siapa, dan kapan. Jika pelanggaran keamanan terjadi pada waktu tertentu, Anda akan dapat menggunakan log aktivitas untuk melihat apa dan siapa penyebabnya.
Jetpack menawarkan log aktivitas sebagai bagian dari solusi keamanannya. Log ini menunjukkan daftar lengkap peristiwa pengelolaan yang terjadi di situs Anda, yang meliputi:
- Posting dan halaman yang diterbitkan atau diperbarui
- Instalasi, pembaruan, dan penghapusan tema dan plugin
- Modifikasi pada pengaturan dan opsi situs
- Upaya login oleh pengguna terdaftar
- Pengiriman komentar
- Sebaiknya gunakan alat ini bersama dengan log host Anda (jika tersedia). Beberapa penyedia hosting menyediakan log perubahan yang dilakukan pada file dan database situs Anda.
Dengan menerapkan parameter pada kueri, Anda dapat memastikan bahwa setiap masukan pengguna diperlakukan sebagai data, bukan sebagai kode yang dapat dieksekusi. Ini akan membantu mencegah akses tidak sah ke database Anda, serta melindungi terhadap manipulasi dan pencurian data.
Menerapkan pemantauan integritas file
Pemantauan integritas file (FIM) adalah proses pemeriksaan dan validasi file dan konfigurasi sistem. Saat Anda menerapkan solusi FIM, administrator diperingatkan tentang perubahan, penambahan, atau penghapusan file situs web yang tidak sah.
Misalnya, pengguna jahat mungkin mencoba membuat perubahan pada file wp‑config.php Anda, yang menyimpan informasi tentang database (seperti nama, nama pengguna, dan kata sandinya).
Seperti yang mungkin Anda ingat, hanya pengguna dengan izin dan peran tertentu yang dapat membuat perubahan tertentu pada situs web. Oleh karena itu, tindakan ini memungkinkan perusahaan Anda mendeteksi dan merespons potensi pelanggaran keamanan pada file penting situs Anda.
Lindungi akun email Anda dari phishing
Anda mungkin sudah familiar dengan serangan phishing. Jika Anda memiliki akun email pribadi, Anda mungkin menerima email dari pengguna yang mencoba menipu Anda agar mengungkapkan informasi sensitif, seperti detail perbankan.
Karyawan Anda kemungkinan besar akan menerima email serupa di akun mereka. Beberapa orang mungkin mencium serangan phishing dari jarak berkilo-kilometer jauhnya, namun yang lain mungkin mudah tertipu oleh penipuan semacam itu.
Oleh karena itu, Anda mungkin ingin menerapkan langkah-langkah keamanan seperti pemfilteran email dan autentikasi multifaktor untuk melindungi akun email Anda dari phishing. Ada baiknya juga untuk mengedukasi karyawan Anda tentang cara mengenali dan menghindari upaya phishing.
Lakukan audit keamanan rutin
Sebagian besar tindakan keamanan dalam panduan ini bukanlah tugas yang dilakukan satu kali saja. Anda harus terus memeriksa situs web Anda untuk mencari potensi masalah, dan memastikan bahwa tindakan apa pun yang Anda terapkan di masa lalu masih efektif.
Tentu saja, melakukan audit keamanan dapat memakan waktu, namun Anda dapat menggunakan daftar periksa audit keamanan situs web untuk menyederhanakan prosesnya. Bergantung pada ukuran organisasi dan situs web Anda, Anda sebaiknya melakukan audit penuh setidaknya dua kali setahun.
Penting juga untuk melaporkan semua temuan Anda, termasuk kekurangan dari pengguna dan karyawan. Informasi ini akan membantu Anda mengidentifikasi cara untuk meningkatkan keamanan dan mendidik staf Anda dengan lebih baik.
Latih tim Anda tentang praktik terbaik keamanan
Anda mungkin sudah menerapkan praktik keamanan terkuat, namun kelalaian sekecil apa pun dapat membahayakan perusahaan Anda. Ditambah lagi, tidak semua karyawan mengetahui berapa banyak ancaman dunia maya yang ada.
Oleh karena itu, salah satu langkah terpenting untuk mengamankan situs web Anda adalah dengan melatih staf Anda. Ini tidak berarti hanya mengirimkan petunjuk keamanan melalui email atau menyematkannya ke papan. Ini harus melibatkan sesi langsung tentang cara menjaga situs web dan seluruh jaringan Anda tetap aman.
Dengan cara ini, Anda dapat memastikan bahwa semua orang di perusahaan mengetahui risiko dan tindakan pencegahan yang diperlukan. Anda juga dapat mencatat kehadiran di sesi pelatihan ini, dan memberi pengarahan kepada karyawan baru mengenai langkah-langkah keamanan Anda.
Artikel terkait dengan :