Untuk melindungi situs Anda dari serangan pada masa mendatang, penting untuk memahami cara situs Anda disusupi. Dokumen ini membahas beberapa kerentanan keamanan yang dapat menyebabkan situs Anda disusupi.
Video berikut menguraikan jenis peretasan dan cara peretas mengontrol situs Anda.
Sandi berhasil dibobol
Penyerang dapat mendapatkan sandi Anda dengan menebak berbagai sandi hingga mereka menebak dengan benar. Serangan tebakan sandi menggunakan metode, misalnya, mencoba sandi umum atau memindai kombinasi huruf dan angka acak. Untuk mencegah hal ini, buat sandi yang kuat dan sulit ditebak. Anda dapat menemukan tips untuk membuat sandi yang kuat di artikel pusat bantuan Google.
Ingat dua poin.
- Hindari penggunaan ulang sandi di berbagai layanan. Setelah penyerang mengidentifikasi kombinasi nama pengguna dan sandi yang berfungsi, mereka akan mencoba kredensial tersebut di sebanyak mungkin layanan. Gunakan sandi unik untuk mencegah akun lain disusupi.
- Gunakan autentikasi 2 langkah (2FA), seperti Verifikasi 2 Langkah Google. 2FA menambahkan lapisan kedua kredensial, melalui kode pesan teks atau PIN yang dibuat secara dinamis, untuk mencegah penyerang mengakses akun Anda. Beberapa penyedia CMS memiliki panduan tentang cara mengonfigurasi 2FA:
Update keamanan terlewat
Versi software yang lebih lama dapat memiliki kerentanan keamanan berisiko tinggi yang memungkinkan penyerang membahayakan seluruh situs. Penyerang secara aktif mencari software lama yang memiliki kerentanan. Mengabaikan kerentanan meningkatkan risiko serangan.
Contoh:
- Software server web (jika Anda menghosting server Anda sendiri).
- Sistem pengelolaan konten (CMS) Anda. Misalnya, rilis keamanan dari Wordpress, Drupal, dan Joomla!.
- Semua plugin dan add-on yang Anda gunakan di situs Anda.
Tema dan plugin yang tidak aman
Plugin dan tema CMS menambahkan fitur berharga. Namun, tema dan plugin yang sudah usang atau tidak di-patch adalah sumber utama kerentanan. Selalu perbarui tema dan plugin. Hapus tema atau plugin yang tidak lagi dipertahankan.
Berhati-hatilah dengan plugin atau tema gratis dari situs tak tepercaya. Ini adalah taktik umum bagi penyerang untuk menambahkan kode berbahaya ke plugin atau tema berbayar versi gratis. Saat menghapus plugin, pastikan untuk menghapus semua filenya dari server Anda, bukan hanya menonaktifkannya.
Manipulasi psikologis
Manipulasi psikologis memanfaatkan sifat manusia untuk melewati keamanan. Serangan ini menipu pengguna agar memberikan informasi rahasia, seperti sandi. Salah satu bentuk umum rekayasa sosial adalah phishing. Dalam upaya phishing, penyerang mengirim email yang berpura-pura menjadi organisasi yang sah untuk meminta informasi rahasia.
Jangan pernah membagikan informasi sensitif (misalnya, sandi, nomor kartu kredit, informasi perbankan, atau bahkan tanggal lahir Anda) kecuali jika Anda yakin dengan identitas peminta. Jika beberapa orang mengelola situs Anda, berikan pelatihan untuk meningkatkan kesadaran tentang rekayasa sosial. Untuk tips perlindungan phishing dasar, lihat Pusat Bantuan Gmail.
Lubang kebijakan keamanan
Jika Anda adalah administrator sistem atau menghosting situs Anda sendiri, kebijakan keamanan yang buruk dapat memungkinkan penyerang membahayakan situs Anda. Contohnya mencakup:
- Mengizinkan pengguna membuat sandi lemah.
- Memberikan akses administratif kepada pengguna yang tidak memerlukannya.
- Tidak mengaktifkan HTTPS dan mengizinkan pengguna login menggunakan HTTP.
- Mengizinkan upload file dari pengguna yang tidak diautentikasi tanpa pemeriksaan jenis.
Berikut beberapa tips untuk melindungi situs Anda:
- Konfigurasi situs Anda dengan kontrol keamanan tinggi dengan menonaktifkan layanan yang tidak diperlukan.
- Uji kontrol akses dan hak istimewa pengguna.
- Gunakan enkripsi untuk halaman yang menangani informasi sensitif, seperti halaman login.
- Periksa log Anda secara rutin untuk mendeteksi aktivitas mencurigakan.
Kebocoran data
Kebocoran data terjadi saat data rahasia diupload dan salah dikonfigurasi sehingga tersedia untuk publik. Misalnya, pesan error aplikasi web dapat membocorkan informasi konfigurasi. Dengan menggunakan metode yang dikenal sebagai "dorking", aktor berbahaya dapat mengeksploitasi fungsi mesin telusur untuk menemukan data ini.
Pastikan situs Anda tidak mengungkapkan informasi sensitif dengan melakukan pemeriksaan berkala dan membatasi data rahasia. Jika Anda menemukan informasi sensitif di situs Anda yang perlu segera dihapus dari Google Penelusuran, gunakan alat penghapusan URL.
