Memahami bagaimana situs disusupi adalah bagian penting dalam melindungi situs dari serangan. Halaman ini membahas beberapa kerentanan keamanan yang dapat menyebabkan situs Anda disusupi.
Video berikut menjelaskan berbagai jenis peretasan dan cara peretas dapat mengontrol situs Anda.
Sandi berhasil dibobol
Penyerang dapat menggunakan teknik menebak sandi dengan mencoba sandi yang berbeda sampai mereka berhasil menebak sandi yang benar. Serangan menebak sandi dapat dilakukan melalui berbagai metode, seperti mencoba sandi yang umum atau memindai kombinasi huruf dan angka secara acak hingga sandi ditemukan. Untuk mencegah hal ini, buatlah sandi yang kuat dan sulit ditebak. Anda dapat menemukan tips untuk membuat sandi yang kuat di artikel pusat bantuan Google.
Ada dua hal penting yang perlu diingat. Pertama, hindari penggunaan ulang sandi di berbagai layanan. Setelah berhasil mengidentifikasi kombinasi nama pengguna dan sandi yang berfungsi, mereka akan mencoba menggunakan kombinasi nama pengguna dan sandi tersebut di sebanyak mungkin layanan. Oleh karena itu, menggunakan sandi yang berbeda pada layanan yang berbeda dapat mencegah disusupinya akun lain di layanan lain.
Kedua, manfaatkan autentikasi 2 langkah (2FA) seperti Verifikasi 2 Langkah Google jika opsi ini tersedia. 2FA memungkinkan lapisan kedua kredensial login, biasanya melalui kode pesan teks atau PIN lain yang dibuat secara dinamis, yang mengurangi kemampuan penyerang untuk mengakses akun Anda hanya dengan sandi yang dicuri. Beberapa penyedia CMS memiliki panduan cara mengonfigurasi 2FA: lihat dokumentasi untuk Joomla!, WordPress, atau Drupal.
Update keamanan yang terlewat
Versi software yang lama dapat dipengaruhi oleh kerentanan keamanan berisiko tinggi yang memungkinkan penyerang menyusupi seluruh situs. Penyerang aktif mencari perangkat lunak lawas yang memiliki kerentanan. Mengabaikan kerentanan di situs akan meningkatkan kemungkinan diserang oleh situs Anda.
Beberapa contoh perangkat lunak yang perlu Anda perbarui meliputi:
- Perangkat lunak server web, jika Anda menjalankan server Anda sendiri.
- Sistem Pengelolaan Konten (CMS) Anda. Contoh: rilis keamanan dari Wordpress, Drupal, dan Joomla!.
- Semua plugin dan add-on yang Anda gunakan di situs Anda.
Tema dan plugin yang tidak aman
Plugin dan tema di CMS menambahkan fitur berharga yang ditingkatkan. Namun, tema dan plugin yang usang atau belum di-patch merupakan sumber utama kerentanan di situs. Jika Anda menggunakan tema atau plugin di situs, pastikan untuk terus memperbaruinya. Hapus tema atau plugin yang tidak lagi dikelola oleh developernya.
Berhati-hatilah dengan plugin atau tema gratis dari situs tak tepercaya. Ini adalah taktik umum bagi penyerang untuk menambahkan kode berbahaya ke versi gratis dari plugin atau tema berbayar. Saat menghapus plugin, pastikan untuk menghapus semua filenya dari server Anda, bukan hanya menonaktifkannya.
Manipulasi psikologis
Manipulasi psikologis adalah upaya mengeksploitasi sifat manusia untuk mengelak dari infrastruktur keamanan yang canggih. Jenis serangan ini mengelabui pengguna yang berwenang agar memberikan informasi rahasia seperti sandi. Salah satu bentuk rekayasa sosial yang umum adalah {i>phishing<i}. Selama upaya phishing, penyerang akan mengirim email dengan berpura-pura menjadi organisasi yang sah dan meminta informasi rahasia.
Ingatlah untuk tidak pernah memberikan informasi sensitif apa pun (misalnya, sandi, nomor kartu kredit, informasi perbankan, atau bahkan tanggal lahir Anda), kecuali jika Anda yakin dengan identitas pemohon. Jika situs Anda dikelola oleh beberapa orang, pertimbangkan untuk memberikan pelatihan guna meningkatkan kesadaran terhadap serangan manipulasi psikologis. Untuk mengetahui tips perlindungan dasar dari phishing, lihat Pusat Bantuan Gmail.
Lubang kebijakan keamanan
Jika Anda adalah administrator sistem atau menjalankan situs sendiri, ingatlah bahwa kebijakan keamanan yang buruk dapat memungkinkan penyerang menyusupi situs Anda. Contohnya antara lain:
- Mengizinkan pengguna membuat sandi yang lemah.
- Memberikan akses administratif kepada pengguna yang tidak memerlukannya.
- Tidak mengaktifkan HTTPS di situs Anda dan mengizinkan pengguna login menggunakan HTTP.
- Mengizinkan upload file dari pengguna yang tidak diautentikasi, atau tanpa pemeriksaan jenis.
Beberapa tips dasar untuk melindungi situs:
- Pastikan situs Anda dikonfigurasi dengan kontrol keamanan tinggi dengan menonaktifkan layanan yang tidak diperlukan.
- Menguji kontrol akses dan hak istimewa pengguna.
- Gunakan enkripsi untuk halaman yang menangani informasi sensitif, seperti halaman login.
- Periksa log Anda secara rutin untuk melihat aktivitas yang mencurigakan.
Kebocoran data
Kebocoran data dapat terjadi ketika data rahasia diupload dan kesalahan konfigurasi membuat informasi rahasia tersebut tersedia untuk publik. Misalnya, penanganan dan pengiriman pesan error di aplikasi web berpotensi membocorkan informasi konfigurasi dalam pesan error yang tidak tertangani. Dengan metode yang dikenal sebagai "dorking", pelaku berbahaya dapat memanfaatkan fungsi mesin telusur untuk menemukan data ini.
Pastikan situs Anda tidak mengungkapkan informasi sensitif kepada pengguna yang tidak sah dengan melakukan pemeriksaan berkala dan membatasi data rahasia hanya untuk entitas tepercaya melalui kebijakan keamanan. Jika kebetulan menemukan informasi sensitif apa pun yang ditampilkan di situs Anda yang harus segera dihapus dari hasil Google Penelusuran, Anda dapat menggunakan alat penghapusan URL untuk menghapus URL satu per satu dari Google Penelusuran.