Memahami bagaimana situs Anda disusupi merupakan bagian penting untuk melindungi situs Anda dari serangan. Halaman ini membahas beberapa kerentanan keamanan yang dapat menyebabkan situs Anda disusupi.
Video berikut menguraikan berbagai jenis peretasan dan cara peretas dapat mengambil alih situs Anda.
Sandi berhasil dibobol
Penyerang dapat menggunakan teknik menebak sandi dengan mencoba berbagai sandi hingga mereka menebak sandi yang benar. Serangan menebak sandi dapat dilakukan melalui berbagai metode seperti mencoba sandi umum atau memindai kombinasi huruf dan angka acak hingga sandi ditemukan. Untuk mencegah hal ini, buatlah sandi yang kuat dan sulit ditebak. Anda dapat menemukan tips untuk membuat sandi yang kuat di artikel pusat bantuan Google.
Ada dua hal penting yang perlu diingat. Pertama, penting untuk menghindari penggunaan ulang sandi di berbagai layanan. Setelah penyerang dapat mengidentifikasi kombinasi nama pengguna dan sandi yang berfungsi, mereka akan mencoba menggunakan kombinasi nama pengguna dan sandi tersebut di sebanyak mungkin layanan. Oleh karena itu, menggunakan sandi yang berbeda di layanan yang berbeda dapat mencegah akun lain di layanan lain disusupi.
Kedua, manfaatkan autentikasi 2 faktor (2FA) seperti Verifikasi 2 Langkah Google jika opsi tersebut tersedia. 2FA memungkinkan kredensial login lapisan kedua, biasanya melalui kode pesan teks atau PIN yang dibuat secara dinamis lainnya, yang mengurangi kemampuan penyerang untuk mengakses akun Anda hanya dengan sandi yang dicuri. Beberapa penyedia CMS memiliki panduan tentang cara mengonfigurasi 2FA: lihat dokumentasi untuk Joomla!, WordPress, atau Drupal.
Update keamanan terlewat
Versi software yang lebih lama dapat terpengaruh oleh kerentanan keamanan berisiko tinggi yang memungkinkan penyerang membahayakan seluruh situs. Penyerang secara aktif mencari software lama yang memiliki kerentanan. Mengabaikan kerentanan di situs Anda akan meningkatkan peluang situs Anda diserang.
Beberapa contoh software yang harus Anda update meliputi:
- Software server web, jika Anda menjalankan server Anda sendiri.
- Sistem Pengelolaan Konten (CMS) Anda. Contoh: rilis keamanan dari Wordpress, Drupal, dan Joomla!.
- Semua plugin dan add-on yang Anda gunakan di situs Anda.
Tema dan plugin yang tidak aman
Plugin dan tema di CMS menambahkan fitur yang ditingkatkan dan berharga. Namun, tema dan plugin yang sudah usang atau belum di-patch merupakan sumber utama kerentanan di situs. Jika Anda menggunakan tema atau plugin di situs Anda, pastikan untuk selalu memperbaruinya. Hapus tema atau plugin yang tidak lagi dikelola oleh developernya.
Berhati-hatilah dengan plugin atau tema gratis dari situs tak tepercaya. Tindakan ini merupakan taktik umum bagi penyerang untuk menambahkan kode berbahaya ke plugin atau tema berbayar versi gratis. Saat menghapus plugin, pastikan untuk menghapus semua filenya dari server Anda, bukan hanya menonaktifkannya.
Manipulasi psikologis
Manipulasi psikologis adalah tentang mengeksploitasi sifat manusia untuk melewati infrastruktur keamanan yang canggih. Jenis serangan ini menipu pengguna yang berwenang agar memberikan informasi rahasia seperti sandi. Salah satu bentuk umum rekayasa sosial adalah phishing. Selama upaya phishing, penyerang akan mengirim email yang berpura-pura menjadi organisasi yang sah dan meminta informasi rahasia.
Ingatlah untuk tidak pernah memberikan informasi sensitif apa pun (misalnya, sandi, nomor kartu kredit, informasi perbankan, atau bahkan tanggal lahir Anda) kecuali Anda yakin dengan identitas peminta. Jika situs Anda dikelola oleh beberapa orang, pertimbangkan untuk memberikan pelatihan guna meningkatkan kesadaran keamanan terhadap serangan manipulasi psikologis. Untuk tips perlindungan phishing dasar, lihat Pusat Bantuan Gmail.
Lubang kebijakan keamanan
Jika Anda adalah administrator sistem atau menjalankan situs Anda sendiri, ingatlah bahwa kebijakan keamanan yang buruk dapat memungkinkan penyerang membahayakan situs Anda. Contohnya antara lain:
- Mengizinkan pengguna membuat sandi lemah.
- Memberikan akses administratif kepada pengguna yang tidak memerlukannya.
- Tidak mengaktifkan HTTPS di situs Anda dan mengizinkan pengguna login menggunakan HTTP.
- Mengizinkan upload file dari pengguna yang tidak diautentikasi, atau tanpa pemeriksaan jenis.
Beberapa tips dasar untuk melindungi situs:
- Pastikan situs Anda dikonfigurasi dengan kontrol keamanan tinggi dengan menonaktifkan layanan yang tidak diperlukan.
- Uji kontrol akses dan hak istimewa pengguna.
- Gunakan enkripsi untuk halaman yang menangani informasi sensitif, seperti halaman login.
- Periksa log Anda secara rutin untuk mendeteksi aktivitas mencurigakan.
Kebocoran data
Kebocoran data dapat terjadi saat data rahasia diupload dan kesalahan konfigurasi membuat informasi rahasia tersebut tersedia untuk publik. Misalnya, penanganan dan pesan error dalam aplikasi web berpotensi membocorkan informasi konfigurasi dalam pesan error yang tidak ditangani. Dengan menggunakan metode yang dikenal sebagai "dorking", aktor berbahaya dapat mengeksploitasi fungsi mesin telusur untuk menemukan data ini.
Pastikan situs Anda tidak mengungkapkan informasi sensitif kepada pengguna yang tidak sah dengan melakukan pemeriksaan berkala dan membatasi data rahasia untuk entitas tepercaya melalui kebijakan keamanan. Jika Anda menemukan informasi sensitif yang ditampilkan di situs Anda dan perlu segera dihapus dari hasil Google Penelusuran, Anda dapat menggunakan alat penghapusan URL untuk menghapus URL satu per satu dari Google Penelusuran.