Mengapa Saya Yakin Website Saya Tidak akan Dibobol Hacker

Mengapa Saya Yakin Website Saya Tidak akan Dibobol Hacker

In short : Artikel ini membahas bagaimana saya mengamankan website sehingga sulit ditembus hacker

Yakin aman ?

Setelah melakukan beberapa peningkatan keamanan (sebenarnya saya sudah lama melakukan ini) saya ingin membuat artikel yang mengatakan bahwa website saya aman dari serangan hacker.

Apakah saya yakin 100% bahwa website saya benar – benar aman dari ancaman hacker ? Tentu tidak. Saya yakin 99,8% aman. Sisanya, bisa jadi karena kesalahan pribadi atau kesalahan lain yang tidak saya mengerti.

Sombong berarti ya ? Oh, tidak sama sekali. Saya berani bilang bahwa saya tidak sombong karena cara yang saya lakukan adalah cara standard dan bisa dilakukan oleh siapa saja.

Bagaimana kalau website ini sampai terbobol hacker ? Jawabannya jelas sangat sulit ditembus. Dibawah saya akan jabarkan bagaimana saya melindungi website ini.

Mungkin kamu hacker, dan kamu tertantang untuk melakukan penetrasi terhadap website ini. Kalau kamu mau ya silahkan saja, karena sebetulnya saya tidak benar – benar mengamankan 100%. Kamu masih bisa melakukan fingerprint terhadap WordPress yang saya gunakan dan kalau kamu mau ya gunakan informasi tersebut.

Tapi, jangan dilakukan karena itu tidak penting.

Eits, tapi bukan berarti saya menantang hacker. Tidak ada niatan sama sekali.

Tapi pada intinya, saya hanya ingin menjabarkan bagaimana saya mengamankan website ini.

Jadi, Bagaimana Caranya ?

Ada beberapa hal yang saya lakukan, yaitu :

1. Selalu mengupdate website

Saya tidak pernah membiarkan website saya tidak terupdate. Saya selalu melakukan update secara berkala baik itu tema, plugin atau core WordPress.

Mengupdate mesin website akan menutup semua celah pada versi sebelumnya sehingga akan menyulitkan hacker untuk menembus website yang terupdate.

2. Menggunakan CloudFlare

Menggunakan CloudFlare ini sebetulnya pro kontra. Nah, dibalik semua kontra, saya tetap menggunakan CloudFlare. Meskipun gratis, tetapi hacker tidak akan bisa melakukan scanning pada website ini melalui penetration tools seperti Acunetix atau Vega Scanner.

3. Menggunakan WAF

Bagian ini adalah bagian yang saya sukai. Saya menggunakan plugin web application firewall yaitu Ninja Firewall yang akan memblok setiap serangan sebelum serangan itu dieksekusi diwebsite ini.

Seandainya website ini memiliki celah, sehingga bisa di bobol menggunakan teknik SQL Injection (misalnya) tetap saja serangan tersebut tidak akan berhasil.

WAF akan melindungi setiap request yang diarahkan ke website target. Jika WAF mendapati bahwa request itu mencurigakan, WAF akan melakukan blocking.

Seandainya website ini berhasil diupload shell, shell tersebut tidak berfungsi karena akan diblok terlebih dahulu oleh WAF yang saya gunakan.

Jadi, serangan apapun akan sulit menembus website.

4. Klik and Restore

Kalau seandainya website ini dihack, saya tinggal buka menu backup kemudian melakukan restore.

Saran : rajinlah membuat backup minimal seminggu sekali.

5. Saya melakukan penetrasi sebelum dipenetrasi

Terkadang, saya melakukan penetrasi terhadap website saya sendiri. Kalau saya melihat laporan penetrasi bahwa website ini memiliki celah, sebisa mungkin saya serang website ini sendiri.

Tapi saya belum pernah menyerang website ini karena belum ada laporan celah.

6. Bukan website mewah berisi informasi sensitif

Alasan lain yang membuat saya betul – betul yakin bahwa website ini aman adalah karena website ini merupakan website biasa meskipun seringkali saya menganggap website ini lebih dari biasa.

Maksudnya, hanya hacker kurang kerjaan yang mau membobol website seperti ini. Kalau tidak ada hacker yang ingin membobol, maka dipastikan website ini 100% aman (meskipun vunerable).

Situs Lain kok Bisa di Hack ?

Ada banyak faktor yang menyebabkan situs bisa dihack. Tapi faktor utama ialah kelalaian programmer atau siapapun yang bertanggung jawab terhadap keamanan website tersebut.

Salah satu bentuk kelalaian itu adalah tidak pernah melakukan penetrasi. Saya menemui ada programmer yang membuat sistem informasi skala besar tapi lupa melakukan penetrasi sehingga sistem itu bisa dimasuki oleh orang yang tidak terlalu paham soal komputer.

Programmer seperti ini ada dua jenis yaitu memang lupa atau mengabaikan. Kalau lupa, bisa diantisipasi diproyek kedepannya, kalau mengabaikan, maka ini yang salah.

Bagi teman – teman programmer, jangan pernah mengganggap kode yang kamu buat 100% aman. Setelah selesai membuat aplikasi, lakukan penetrasi terhadap sistem sebelum orang lain melakukannya.

Saran ini berlaku untuk semua programmer terutama untuk programmer yang membangun website  dengan native PHP. Situs yang dibagun dengan framework seperti Code Igniter memiliki keamanan yang lebih baik ketimbang situs yang dibangun dengan native.

Meski demikian, semua kembali ke programmernya. Kalau tidak cermat, bisa saja sebuah sistem itu diretas.

Hal kedua adalah tidak memasang WAF.

Saya tidak tahu persis mengapa banyak programmer yang saya temui tidak memasang web aplication firewall (WAF). WAF ini padahal sangat penting. Seperti yang sudah saya jelaskan diatas, meskipun sebuah website berlubang tetapi jika WAF dipasang, website tetap tidak akan bisa ditembus. Hebat kan ?

Salah satu WAF (yang menurut saya bagus) adalah Ninja Firewall. WAF ini gratis, mudah digunakan tapi powerfull.

Kalau kamu menyukai bermain dalam bidang server, kamu bisa pakai beberapa WAF tambahan seperti WAF-Fle atau Shadow Daemon.

Kalau mau tau free and opensource WAF kamu hanya perlu Googling saja.

Kesimpulan

Ada dua kesimpulan yaitu penetrasi website dan gunakan WAF. Kalau kamu menginginkan keamanan tambahan silahkan membeli Cloud WAF seperti Cloud Flare, Sucuri atau Incapsula.

Pencengahan lain kamu bisa melakukan update secara berkala diserver terpisah.

2 thoughts on “Mengapa Saya Yakin Website Saya Tidak akan Dibobol Hacker”

  1. Wah keren klaim-nya tidak akan dibobol Hacker. Seumur-umur saya baca blog dari yang paling pro sampai yang paling amatir seperti ini baru anda yang berani mengatakan ini. Salut deh saya walaupun hanya di hosting di webhost sekelas Hawkhost. 🙂

    1. Hallo,
      Terima kasih atas komentarnya. Mohon maaf, saya tidak host di Hawk Host dan lokasi hosting saya tidak berada di Canada. Saya menggunakan Internet Service Provider Softlayer.

      Tidak masalah. Ini perkara subjektivitas saja. Saya sudah sebutkan bahwa cara ini adalah cara standard yang bisa dilakukan oleh semua orang. Sebetulnya banyak juga yang merasa websitenya aman tetapi tidak dipublikasi. Dan, saya ingin mempublikasikan langkah – langkah yang saya tempuh untuk mengamankan website saya.

      Oh ya. Mas bisa juga komen soal konten saya, poin mana yang weak bisa dijabarkan. Karena saya tidak mungkin mengklaim tanpa dasar yang jelas. Nah, kalau mas punya dasar yang lebih kuat dari saya mohon untuk menyebutkan poin – poinnya.

      Jangan lupa perhatian poin saya yang terakhir pada nomor 6 “Maksudnya, hanya hacker kurang kerjaan yang mau membobol website seperti ini. Kalau tidak ada hacker yang ingin membobol, maka dipastikan website ini 100% aman (meskipun vunerable).”

      Untuk membuktikan apakah langkah yang saya lakukan sudah tepat, mas bisa melakukan pentest dan silahkan berikan laporan apakah ada vulnerable. Kalau ada bisa juga dipublikasi lewat komen disini.

      Satu hal yang penting keamanan website tidak ditentukan dimana pemilik website host websitenya. Meskipun pakai dedicated server, tapi kalau server tidak dipelihara dengan baik, website juga akan bermasalah. Meskipun website pakai hosting biasa tetapi dilakukan pengamanan tambahan maka website tetap aman.

      Terima kasih kunjungannya

Leave a Reply

Your email address will not be published. Required fields are marked *