9 Ancaman Umum Keamanan Situs Web (Dan Cara Mengatasinya)
Diterbitkan: 2023-10-25Maaf membocorkannya kepada Anda, tetapi situs web Anda tidak aman. Hal ini belum tentu disebabkan oleh sesuatu yang Anda lakukan, namun hanya karena tidak ada sesuatu pun di Internet yang benar-benar aman. Setiap situs web menghadapi ancaman keamanan yang dapat melumpuhkan, merusak, atau lebih buruk lagi.
Itu berita buruknya. Hikmahnya adalah, ada banyak hal yang dapat Anda lakukan untuk mengatasi ancaman ini dan langkah pertama adalah menyadari keberadaannya. Bagaimanapun, Anda hanya dapat melindungi diri Anda dari sesuatu yang Anda tahu dapat menimbulkan risiko.
Untuk membantu Anda melakukan hal tersebut, artikel ini akan membahas ancaman keamanan situs web umum untuk WordPress dan seterusnya. Kami akan membahas apa saja ancamannya, cara kerjanya, dan apa yang dapat Anda lakukan untuk mencegahnya terjadi. Ketika Anda selesai membaca, kami ingin Anda merasa mampu menjaga situs WordPress Anda tetap aman dan terhindar dari bahaya, sehingga Anda dapat fokus pada hal yang benar-benar penting.
Mengapa Peduli Terhadap Ancaman Keamanan Situs Web?
Reaksi pertama yang mungkin Anda miliki adalah bertanya pada diri sendiri apakah ini relevan bagi Anda. Tentu Anda sering mendengar tentang pembobolan dan peretasan big data ini, namun bukankah hal seperti ini biasanya hanya terjadi pada perusahaan besar? Anda tahu, Facebook, Twitter, Equifax, dan Yahoo Anda – perusahaan yang memiliki informasi yang layak untuk dicuri.
Maaf telah memecahkan masalah Anda, tetapi hanya karena Anda bukan perusahaan bernilai jutaan dolar, masih banyak orang yang tertarik untuk menjatuhkan atau membobol situs web Anda.
Serangan siber global meningkat sebesar 38% pada tahun 2022 saja dan menurut laporan Verizon pada tahun 2019, usaha kecil adalah target nomor satu, mewakili 43% dari seluruh pelanggaran data. Ketika mereka menjadi korban serangan dunia maya, bisnis tersebut dirugikan rata-rata sebesar $25.000. Faktanya, pada tahun 2022, kerugian akibat kejahatan dunia maya mencapai $10,2 miliar di AS saja, menurut FBI.
Namun, ini bukan hanya tentang biaya langsung dalam menangani dan membersihkan serangan. Anda juga menanggung kehilangan pelanggan, waktu henti, gangguan kerja, hilangnya kepercayaan di antara pelanggan, diblokir oleh mesin pencari, dan banyak lagi.
Jadi, meski website kecil, Anda bisa menjadi targetnya. Hal ini terutama karena sebagian besar serangan diluncurkan secara otomatis oleh program yang memindai kerentanan web hingga mereka menemukan sesuatu. Jadi, jika Anda memberi mereka celah, seseorang akan mencoba memanfaatkannya.
Ingin tahu cara melindungi diri sendiri? Mari kita bahas beberapa ancaman keamanan paling umum yang ada.
Ancaman Keamanan Situs Web #1: Phishing
Sumber: Andrew Levine
Phishing adalah ketika peretas mencoba membuat Anda mengunjungi situs web jahat, mengeklik tautan berbahaya, mengunduh lampiran yang tercemar, atau memberikan informasi sensitif seperti login situs web Anda. Sebagian besar terjadi dalam bentuk email yang berpura-pura berasal dari sumber yang sah, namun Anda juga dapat menerima pesan phishing melalui teks, aplikasi messenger, atau halaman login sosial palsu.
Potensi Bahaya Phishing
Mendapatkan informasi login Anda melalui phishing menghemat banyak waktu bagi penyerang. Daripada harus bersusah payah mencoba menebak dan memaksa masuk ke situs Anda, mereka cukup menggunakan kredensial yang pasti berfungsi.
Dengan demikian, mereka memiliki kebebasan memerintah di situs web Anda, terutama jika kredensialnya memiliki hak pengguna yang tinggi. Mereka dapat membuat pengguna baru, menambahkan konten dan tautan, memanipulasi file, membuat pintu belakang, dan bahkan menjalankan kode. Selain itu, jika Anda memiliki informasi sensitif yang disimpan di situs Anda, seperti data pelanggan di toko online, peretas juga dapat mengaksesnya.
Tentu saja, jika hal ini terjadi dan diketahui publik, ini merupakan pukulan telak bagi reputasi Anda. Selain itu, bergantung pada undang-undang privasi tempat Anda beroperasi, hal ini dapat dikenakan denda tambahan.
Bagaimana Mengatasinya
Cara terbaik untuk mencegah serangan phishing adalah dengan mengembangkan kesadaran terhadap serangan tersebut. Jika Anda menerima pesan apa pun yang meminta informasi sensitif, Anda akan segera berhenti sejenak. Jangan mengirim apa pun kembali, jangan klik tautan apa pun, atau unduh dan jalankan lampirannya. Paling tidak, periksa alamat email pengirimnya apakah sah. Selain itu, didik diri Anda sendiri tentang taktik phishing dan lakukan hal yang sama dengan orang lain di perusahaan Anda.
Sumber: Techopedia
Ancaman Keamanan Situs Web #2: (D)Serangan DoS
DoS adalah singkatan dari “penolakan layanan”, yaitu ketika seseorang mencoba menghapus situs web Anda dengan membanjirinya dengan lalu lintas tidak sah. Tujuannya adalah untuk membanjiri server Anda dengan permintaan sehingga tidak dapat lagi mengatasinya dan berhenti bekerja.
Serangan DoS sering kali dilakukan melalui botnet, artinya komputer yang telah disusupi oleh virus atau trojan horse dan peretas dapat memerintahkannya dari jarak jauh. Dalam hal ini, Anda juga berbicara tentang “penolakan layanan terdistribusi” atau DDoS.
Sumber: Everaldo Coelho dan YellowIcon / LGPL
Serangan semacam ini dimaksudkan untuk merusak bisnis atau situs web atau memerasnya demi mendapatkan uang. Tindakan ini juga dilakukan karena alasan ideologis karena penyerang tidak setuju dengan tujuan situs web tersebut atau karena pernyataan publik yang dibuat oleh suatu bisnis. Namun, dalam kasus lain, serangan DDoS juga dapat digunakan sebagai pengalih perhatian untuk mengalihkan perhatian Anda saat peretas mencoba membobol situs Anda.
Apa Hasilnya?
Efek dari serangan DDoS adalah situs web yang dipermasalahkan menjadi tidak responsif dan tidak dapat diakses oleh pelanggan dan pengunjung sebenarnya. Server memiliki terlalu banyak pekerjaan yang harus dilakukan untuk memproses kunjungan dengan benar dan memuat dengan sangat lambat atau tidak memuat sama sekali untuk pengunjung yang sah.
Tentu saja, bagi sebagian besar bisnis, situs web adalah salah satu aset utama mereka. Ketika tidak dapat dijangkau, hal ini menyebabkan hilangnya bisnis dan pendapatan. Serangan DDoS juga dapat merusak reputasi Anda karena beberapa pengunjung akan menganggap kualitas situs web Anda tidak bagus.
Cara Mencegah Serangan DDoS
Salah satu cara terbaik untuk menangkal ancaman situs web semacam ini adalah dengan menambahkan lapisan keamanan lain dalam bentuk firewall atau firewall aplikasi web. Ini dirancang untuk menyaring lalu lintas berbahaya sebelum mencapai situs Anda. Dengan begitu, serangannya pun tidak sampai ke website Anda dan tidak bisa menimbulkan kerusakan. Ditambah lagi, jika serangan DDoS hanya sekedar gangguan untuk pembobolan, firewall juga menawarkan perlindungan untuk hal tersebut. Penyedia yang bagus di sini adalah Sucuri dan Cloudflare.
Sumber: Cloudflare
Investasi bagus lainnya untuk melindungi diri Anda dari ancaman keamanan situs web ini adalah jaringan pengiriman konten atau CDN. Ini menempatkan salinan situs Anda di server yang berbeda, sehingga lebih sulit untuk menghapusnya sepenuhnya dari web. Itu juga dapat menjauhkan serangan dari server utama Anda. Banyak CDN menyertakan perlindungan DDoS.
Jika Anda menghosting situs web Anda di WP Engine, Anda dapat memanfaatkan kedua metode ini sekaligus dengan menggunakan Global Edge Security. Ini adalah add-on keamanan dan kinerja tingkat perusahaan yang mencakup firewall aplikasi web terkelola, perlindungan DDoS tingkat lanjut, dan CDN global. Singkatnya, semua yang Anda perlukan untuk mencegah ancaman keamanan eksternal.
Ditambah lagi, ini cukup mudah. Anda cukup menambahkannya ke paket Anda, mengarahkan data DNS Anda ke server yang tepat, dan sisanya akan ditangani untuk Anda. Mudah sekali. Terakhir, merupakan ide bagus untuk menyiapkan pemantauan uptime, misalnya dengan UptimeRobot. Dengan begitu, Anda akan diberi tahu dengan cepat ketika situs Anda tidak lagi dapat dijangkau sehingga Anda dapat segera mengambil tindakan.
Ancaman Keamanan Situs Web #3: Serangan Brute Force dan Penjejalan Kredensial
Serangan brute force agak mirip dengan serangan DDoS karena menyerang bagian situs Anda secara otomatis. Namun, alih-alih memblokir lalu lintas, mereka menargetkan halaman login Anda dan mencoba mendapatkan akses ke situs web dengan menebak informasi login Anda. Program semacam ini mencoba banyak kombinasi kata sandi dan nama pengguna umum yang berbeda per detik hingga program tersebut berhasil masuk.
Variasi yang sedikit lebih canggih disebut isian kredensial. Di sini, alih-alih informasi login acak, penyerang menggunakan kombinasi email/kata sandi yang sudah diketahui dari pelanggaran data lainnya. Serangan ini mengandalkan fakta bahwa banyak orang menggunakan kembali informasi login mereka.
Jika penyerang berhasil menebak kredensial login Anda, hasilnya hampir sama seperti yang dibahas di bagian “phishing”.
Mencegah Serangan Login
Ada beberapa cara untuk melindungi diri Anda dari serangan pada halaman login Anda:
- Batasi upaya login dan kunci pengguna yang terlalu sering gagal, misalnya melalui Limit Login Attempts Reloaded
- Jangan gunakan kembali kredensial Anda, miliki kata sandi individual untuk setiap akun yang Anda miliki
- Batasi jumlah pengguna di situs WordPress Anda dan berikan kemampuan sebanyak yang mereka perlukan untuk pekerjaan mereka
- Paksa kata sandi yang kuat, misalnya melalui Pengelola Kebijakan Kata Sandi
- Lebih baik lagi, gunakan autentikasi multifaktor
- Matikan editor tema dan plugin sehingga penyerang tidak dapat memanipulasi file Anda dari dalam dashboard WordPress
Ancaman Keamanan Situs Web #4: Skrip Lintas Situs (XSS)
Dalam pembuatan skrip lintas situs, peretas menipu situs web agar mengirimkan skrip berbahaya ke browser korban. Karena sumbernya, browser mempercayai dan mengeksekusi skrip. Hal ini sering terjadi melalui kolom input, seperti pada formulir kontak. Namun, serangan juga bisa berasal dari database situs web yang disusupi.
Kemungkinan Hasil
Jika berhasil, penyerang dapat menggunakan skrip lintas situs untuk mencuri data login, menginstal malware, mengarahkan pengguna ke situs lain, dan bahkan memanipulasi halaman yang mereka lihat. Mereka juga dapat mengakses situs web tersebut sebagai pengguna lain dan membaca data mereka. Ditambah lagi, mereka mungkin bisa menginstal perangkat lunak di komputer korban.
Kredit: Michel Bakni
Secara keseluruhan, pembuatan skrip lintas situs lebih berbahaya bagi pengunjung Anda dibandingkan situs itu sendiri. Namun, jika itu berasal dari keberadaan web Anda, tentu saja, ini tidak akan memberi kesan baik bagi Anda. Oleh karena itu, Anda berhutang pada diri sendiri dan pengunjung Anda untuk membuat situs Anda aman.
Cara Mencegah Serangan XSS
Pada tingkat teknis, langkah paling penting untuk mencegah pembuatan skrip lintas situs adalah dengan membersihkan dan memvalidasi masukan data Anda. Itu berarti menolak karakter dan simbol khusus untuk menghindari injeksi kode, misalnya pastikan bahwa masukan tidak boleh berisi hal-hal seperti skrip, objek, atau tautan. Bahasa pemrograman seperti PHP dan JavaScript menawarkan fungsi standar untuk ini dan WordPress juga memiliki markup sendiri untuk tujuan ini.
Jika Anda bukan seorang pengembang, peran Anda adalah menggunakan penilaian yang baik untuk menjauhkan kode dari situs Anda yang tidak mematuhi aturan ini. Artinya, dapatkan tema dan plugin dari sumber yang memiliki reputasi baik dan pastikan semuanya didukung dan dipelihara dengan baik. Selain itu, jangan memasang cuplikan kode di situs Anda yang tidak Anda pahami.
Ancaman Keamanan Situs Web #5: Suntikan SQL
Suntikan SQL mirip dengan skrip lintas situs. Mereka juga bekerja dengan menggunakan kolom input untuk menjalankan kode SQL berbahaya di situs web Anda dan mendapatkan akses ke database.
Jika situs web Anda rentan terhadap injeksi SQL, penyerang dapat menggunakan teknik ini untuk merusaknya dengan beberapa cara:
- Buat identitas baru dengan hak administrator dan dapatkan akses ke situs Anda
- Akses langsung semua data di server
- Hancurkan/modifikasi database agar tidak dapat digunakan
Tentu saja, semua itu bukanlah kabar baik.
Menggagalkan Suntikan SQL
Ancaman keamanan situs web ini memerlukan kewaspadaan serupa seperti pembuatan skrip lintas situs. Sanitasi, filter, escape, dan validasi input data dan pastikan Anda mengenkripsi informasi rahasia. Banyak kerangka web melakukan ini secara otomatis.
Sebagai non-pengembang, selalu perbarui WordPress dan komponennya dan gunakan plugin keamanan WordPress. Banyak dari mereka datang dengan fungsi untuk mencegah injeksi SQL. Anda dapat menemukan informasi lebih rinci tentang topik ini di artikel khusus WP Engine.
Ancaman Keamanan Situs Web #6: Ransomware/Perusakan
Ransomware adalah jenis perangkat lunak yang memblokir akses ke situs web Anda atau aset bisnis lainnya dan hanya membukanya kembali jika Anda membayar uang kepada penyerang—dan terkadang bahkan tidak.
Defacement juga serupa karena merusak desain atau konten situs web Anda atau meninggalkan pesan bahwa situs tersebut berhasil diretas.
Dalam setiap kasus, seseorang entah bagaimana mendapatkan akses ke situs Anda, yang dapat menimbulkan sejumlah dampak negatif:
- Biaya tebusan (kalau bayar bisa mahal)
- Biaya pembersihan
- Kehilangan penjualan dan kehilangan reputasi
- Hilangnya produktivitas staf karena tidak mampu melakukan pekerjaan mereka
- Mengurangi peringkat mesin pencari karena masuk daftar blokir
Bagaimana Melindungi Diri Anda
Cara mencegah serangan ransomware dan perusakan wajah adalah dengan mengikuti praktik terbaik lainnya yang disebutkan dalam panduan ini untuk mengunci akses ke situs web dan server Anda. Jaga keamanan informasi login Anda, perbarui situs Anda, dan siapkan solusi cadangan sehingga Anda dapat kembali ke versi situs Anda sebelumnya.
Ancaman Keamanan Situs Web #7: Malware dan Spyware
Bahaya ini tidak terlalu besar bagi situs web itu sendiri, melainkan sesuatu yang dapat terjadi pada situs Anda. Ketika penyerang mendapatkan akses ke sana, mereka mungkin memasang malware dan spyware yang menginfeksi komputer pengunjung Anda. Situs web Anda yang disusupi akhirnya bertindak sebagai sarana untuk memajukan agenda peretas.
Apa yang Bisa Terjadi?
Malware adalah bahaya besar bagi reputasi Anda. Ketika browser atau program antivirus mendeteksinya, mereka akan mencegah pengunjung mengakses situs Anda.
Terlebih lagi, mesin pencari dapat memasukkan Anda ke dalam daftar blokir dan menghapus Anda dari indeks mereka karena mereka tidak ingin mengarahkan penggunanya ke situs web yang merugikan mereka.
Tentu saja, keduanya dapat mengakibatkan hilangnya lalu lintas secara besar-besaran, dan terkadang sulit untuk keluar dari daftar blokir meskipun Anda telah memperbaiki masalahnya. Tanpa lalu lintas, tidak ada pendapatan, tidak ada prospek, tidak ada pelanggan, tidak ada bisnis.
Mencegah Infeksi Malware
Sekali lagi, ikuti praktik yang disebutkan dalam panduan ini untuk mencegah ancaman keamanan situs web lain masuk ke situs Anda. Khususnya, gunakan kredensial yang kuat dan autentikasi multifaktor, selalu perbarui komponen situs web, dan waspada terhadap apa yang Anda instal di situs Anda.
Selain itu, jaga kebersihan komputer Anda dengan menggunakan perangkat lunak antivirus dan pindai situs web Anda secara rutin untuk mencari Malware, misalnya melalui Sucuri Sitecheck.
Ancaman Keamanan Situs Web #8: Serangan Man-in-the-middle
Serangan semacam ini biasa terjadi pada situs web yang tidak menggunakan enkripsi untuk lalu lintasnya. Di sini, penyerang menyadap data yang tidak dilindungi dan dengan demikian dapat memperoleh akses ke login, pembayaran, atau informasi sensitif lainnya. Serangan man-in-the-middle juga terjadi pada jaringan wifi yang tidak aman.
Bagaimana Melindungi Diri Anda
Di situs web, metode nomor satu untuk melawan ancaman ini adalah dengan menggunakan enkripsi. Instal protokol TLS/SSL di situs Anda dan alihkan ke HTTPS. Ini secara otomatis mengenkripsi semua informasi yang dikirim antara situs Anda dan browser pengunjung, mencegah keberhasilan serangan man-in-the-middle.
Selain itu, lindungi wifi kantor dan rumah Anda dengan kata sandi yang kuat dan dengan mengubah kredensial default. Selain itu, berhati-hatilah saat menggunakan wifi publik. Gunakan VPN untuk melindungi lalu lintas Anda dan hanya masuk ke situs Anda dari wifi publik jika benar-benar diperlukan.
Ancaman Keamanan Situs Web #9: Serangan Rantai Pasokan
Serangan rantai pasokan adalah ketika penyerang menyusup ke situs web melalui perangkat lunak pihak ketiga. Misalnya, ketika seseorang meretas produk SaaS yang terintegrasi dengan banyak situs web dan kemudian mendapatkan akses ke situs tersebut dalam prosesnya.
Kami telah melihat serangan rantai pasokan di WordPress dalam beberapa tahun terakhir. Dalam satu kasus, penyerang dengan sengaja menambahkan kode berbahaya ke plugin. Di lain waktu, mereka membobol server distribusi ekstensi WordPress untuk melakukan hal yang sama.
Dalam kebanyakan kasus, serangan ini ditemukan dengan cepat dan plugin yang dipermasalahkan telah dilarang atau ditambal. Tapi itu masih sesuatu yang harus diwaspadai.
Bagaimana Mencegahnya
Resep terbaik untuk mencegah serangan rantai pasokan adalah dengan mengikuti praktik terbaik penggunaan plugin dan kode pihak ketiga di situs web Anda:
- Hanya gunakan sumber terpercaya untuk ekstensi seperti plugin dan tema
- Minimalkan integrasi Anda, hanya instal yang benar-benar Anda perlukan
- Audit situs Anda secara rutin jika semua hal pihak ketiga masih relevan
- Gunakan log aktivitas untuk mengenali perilaku mencurigakan yang terjadi di situs Anda
Jauhkan Ancaman Situs Web
Ancaman keamanan adalah sesuatu yang harus dihadapi setiap pemilik website. Ini adalah kenyataan yang disayangkan dalam beroperasi di Internet. Untungnya, banyak dari masalah tersebut dapat dicegah dengan menerapkan beberapa praktik terbaik yang masuk akal:
- Waspadalah terhadap pesan yang Anda terima, tautan yang Anda klik, dan lampiran yang Anda unduh
- Investasikan pada firewall, CDN, dan pemantauan uptime
- Gunakan kata sandi yang kuat, batasi kemampuan pengguna dan upaya masuk, serta atur autentikasi multifaktor
- Minimalkan jumlah plugin dan tema di situs Anda dan pastikan mendapatkannya dari sumber yang sah
- Sebagai pengembang, sanitasi dan validasi data Anda
- Selalu perbarui situs web Anda dan semua yang ada di dalamnya
- Gunakan HTTPS untuk mengenkripsi lalu lintas situs web Anda
- Siapkan solusi cadangan jika terjadi kesalahan
- Jangan memasukkan informasi sensitif di jaringan yang tidak aman
Mengikuti langkah-langkah ini seharusnya cukup untuk melindungi diri Anda dari sebagian besar ancaman keamanan situs web yang umum. Tetap waspada!
Apa cara lain untuk melindungi situs web Anda dari ancaman keamanan yang Anda rekomendasikan? Bagikan pemikiran Anda di komentar di bawah!