10+ Tips Meningkatkan Keamanan Website Anda dari Ancaman Digital

10+ Tips Meningkatkan Keamanan Website Anda dari Ancaman Digital

Membuat website bukan lah hal yang asing lagi bagi masyarakat modern di era digital. Mulai dari website gratisan seperti blogspot, hingga ‘mencicipi’ website hosting berbayar dengan dukungan CMS seperti WordPress, Joomla, Drupal, dan masih banyak lainnya, membuat pemilik bisnis semakin mudah untuk membangun website mereka dengan cepat dan efisien.

Sayangnya, kemudahan membangun website ini kerap tidak dibarengi dengan kesadaran pentingnya meningkatkan keamanan website (web security) di saat yang bersamaan. Banyak webmaster yang masih mengabaikan hal ini meskipun menyadari bahwa website adalah salah satu asset paling berharga mereka dalam bisnis.

Berbagai Ancaman Digital Siap Mengancam Keamanan Website Anda

Ternyata, tidak sedikit hal yang bisa mengancam keamanan website kita. Beberapa jenis ancaman yang kerap terjadi antara lain adalah :
1. Virus/ Malware
2. Spam
3. Bot
4. Hacker

ancaman digital

Dari keempat serangan ini, mana yang pernah Anda alami? Jangan menunggu sampai satu atau lebih dari mereka mempora- porandakan aset berharga Anda dalam bisnis.

11 Langkah Penting Meningkatkan Keamanan Website

Bayangkan jika Anda merasa sudah mempunyai website dengan domain yang sempurna dan website tersebut telah menjadi sangat vital untuk bisnis Anda. Dan suatu hari Anda kehilangan website tersebut karena serangan hacker yang selama ini tidak pernah Anda sangka- sangka. Apa akibat yang terjadi selanjutnya? Anda bukan hanya kehilangan sebuah asset berharga, tapi sekaligus bisnis Anda nyaris tumbang. Jangan sampai hal ini terjadi pada Anda!

Maka dari itu, penting sekali untuk meningkatkan keamanan website Anda dari ancaman digital yang bisa muncul sewaktu- waktu, baik itu dari serangan virus atau hacker. Sebagai pemilik website, berikut ini 10 langkah penting yang harus Anda lakukan :

1. Lakukan Update Website Secara Berkala

Banyak bot hacker yang bekerja secara otomatis dalam mengintai ‘mangsa’nya. Salah satu faktor yang membuat pekerjaan mereka menjadi semakin mudah adalah website yang perangkat lunaknya sudah usang dan tidak aman lagi untuk dijalankan. Maka dari itu, langkah awal yang harus Anda lakukan untuk mencegah peretasan adalah melakukan update situs Anda secara berkala sesegera mungkin saat plugin atau versi CMS baru tersedia.

Jika website Anda relatif jarang di-update dengan konten, misalnya situs bertipe Company Profile, Anda bisa menggunakan plugin WP Updates Notifier. Plugin ini akan membantu Anda mendapatkan notifikasi pembaruan plugin atau inti WordPress ke email Anda. Melakukan pengecekan website hanya sebulan sekali atau seminggu sekali bisa membahayakan website Anda jika bot hacker berhasil menemukan kerentanan dari website sebelum Anda berhasil menambalnya. Kecuali Anda menjalankan firewall situs web, melakukan pembaruan segera setelah update dirilis adalah hal yang sangat penting untuk keamanan website Anda.

2. Gunakan Kata Sandi yang Kuat

Menggunakan kata sandi yang kuat adalah point penting lainnya. Rekomendasi dari WP Engine, kata sandi yang digunakan webmaster seharusnya memenuhi tiga persyaratan utama yang harus diikuti, yaitu CLU (Complex, Long, Unique).

COMPLEX berarti kata sandi yang digunakan adalah acak atau rumit. Jangan gunakan kata sandi yang mudah ditebak orang lain, seperti tanggal lahir atau kata- kata yang nyata. Sebaliknya, Anda disarankan untuk memilih karakter acak yang merupakan perpaduan antara huruf besar, huruf kecil, angka, dan tanda baca.

LONG artinya kata sandi disarankan lebih dari 8 karakter. Kata sandi dengan 8 karakter akan lebih mudah menghentikan orang lain dari menebaknya hanya dalam beberapa kali percobaan. Maka dari itu, semakin panjang dan rumit kata sandi, maka ini akan semakin baik untuk keamanan website Anda.

Yang terakhir, kata sandi Anda harus memenuhi syarat UNIQUE atau unik. Kata sandi Anda sebaiknya tidak sama dengan kata sandi Anda di website atau akun lain yang Anda miliki di internet. Misalnya saja ada orang yang mengetahui kata sandi akun Facebook Anda, maka seharusnya mereka tidak bisa menggunakan password tersebut untuk mengakses website, email, atau akun internet banking Anda.

“Lalu bagaimana caranya mengingat 10 kata sandi berbeda sepanjang lebih dari 10 karakter?”
Anda tidak harus mengingat semuanya memang. Untuk membuatnya mudah, Anda bisa menggunakan pengelola kata sandi seperti “LastPass” (penggunaan secara online) atau “KeePass 2” (penggunaan secara offline). Anda bisa mempelajari lebih lanjut kelebihan dan kekurangan dua layanan ini dan mempertimbangkan salah satu dari keduanya untuk mengelola daftar kata sandi Anda.

3. Lakukan Backup Secara Berkala, Namun Tidak Menyimpannya di Server Situs Anda

Meski bukan hal yang kita inginkan, hal buruk bisa terjadi situs Anda kapan saja. Maka dari itu, penting untuk melakukan backup data situs Anda secara berkala. Namun, perlu diingat bahwa Anda sebaiknya Anda tidak menyimpan backup tersebut di server situs Anda. Backup ini selalu berisi versi CMS dan ekstensi yang tidak di- patch yang tersedia untuk umum sehinggai resiko keamanan menjadi semakin besar. Saat file backup Anda tersimpan di server, hal ini dapat memudahkan kerja peretas saat mengakses server Anda.

4. Gunakan Konsep Least Privileged

Jika Anda meng-hire beberapa penulis atau admin website, pastikan bahwa izin pengguna mereka sesuai dengan yang mereka perlukan untuk melakukan pekerjaan mereka. Jika suatu waktu mereka membutuhkan izin yang perlu ditingkatkan, Anda bisa memberikannya, lalu menguranginya kembali setelah pekerjaan tersebut selesai. Ini lah yang disebut dengan konsep Least Privileged.

Mengatur User Role di WordPress

Misalnya Anda mempunyai beberapa penulis untuk posting blog di situs Anda. Pastikan mereka tidak mempunyai hak administrator penuh atas situs Anda. Akun tersebut seharusnya hanya mempunyai otorisasi untuk membuat dan mengedit konten mereka sendiri, dan mereka tidak mempunyai akses untuk mengubah pengaturan situs website.

Pembatasan akses ini akan melindungi website Anda dari kerusakan yang tidak perlu serta mencegah website Anda dari penyalahgunaan dari pengguna ‘nakal’ secara langsung.

5. File Konfigurasi Server

Seorang admin web harus benar- benar mengenal file konfigruasi server situsnya. Server web Apache menggunakan file .htaccess, server Nginx menggunakan nginx.conf, sedangkan Microsoft IIS menggunakan web.config. File- file yang dapat ditemukan di root direktori situs ini mempunyai peranan yang sangat penting untuk situs Anda karena bekerja menjalankan aturan server. Hal ini termasuk arahan untuk meningkatkan keamanan situs Anda.

Beberapa rekomendasi aturan untuk Anda tambahkan ke server adalah sebagai berikut :

  • Mencegah penjelejahan direktori (Prevent directory browsing), yaitu melakukan pembatasan informasi untuk mencegah pengguna jahat untuk melihat isi setiap direktori situs website Anda.
  • Mencegah hotlinking gambar (Prevent image hotlinking), yaitu mencegah situs web lain menampilkan gambar dari server web Anda. Jika ada orang yang menautkan gambar dari server Anda, bandwith dari paket hosting Anda mungkin akan cepat habis untuk menampilkan gambar untuk situs orang lain.
  • Lindung file sensitif (Protect sensitive files), yaitu melindungi file dan folder tertentu seperti file konfigurasi CMS yang berisi detail info masuk basis data dalam teks biasa. Untuk meningkatkan keamanan, mungkin Anda dapat mengunci lokasi admin area atau membatasi eksekusi PHP dalam direktori yang menyimpan gambar atau mengizinkan unggahan.

Selain tiga hal ini, ada juga rules dan opsi lain yang dapat Anda atur di file konfigurasi server untuk meningkatkan keamanan situs Anda.

6. Mengatur File Permission

File permission akan menentukan siapa yang bisa melakukan apa ke sebuah file di situs web Anda. Setiap file di server web akan mempunyai tiga jenis izin yang masing- masing menggunakan kode angka seperti :

  • Read (4), yaitu untuk dapat melihat isi file
  • Write (2), yaitu untuk dapat mengubah isi file
  • Execute (1), yaitu untuk menjalankan file program

Untuk mengatur beberapa izin/ permission secara bersamaan, Anda hanya perlu menambahkan angka bersama- sama. Misalnya jika Anda mengatur file tersebut untuk bisa membaca (4) sekaligus menulis (2), makai zin pengguna yang Anda berikan adalah 6. Jika izin pengguna adalah membaca (4), menulis (2), dan menjalankan (2), maka izin pengguna yang diberikan adalah 7.

Selain itu, ada juga tiga jenis user yang harus Anda ketahui, yaitu :

  • Owner, yaitu pemilik file (hanya satu orang yang bisa menjadi pemilik file)
  • Group, yaitu grup file dimana setiap pengguna yang merupakan bagian dari grup tersebut akan mendapatkan izin tersebut
  • Public, yaitu semua orang

Saat menginstall CMS, permission di file/ folder Anda akan mendapatkan konfigurasi secara default. Dengan panduan ini, Anda dapat mengubah izin file tersebut sesuai kebutuhan dengan mengutamakan faktor keamanan untuk situs web Anda.

7. Ubah Pengaturan Standar CMS

Meskipun mudah digunakan, aplikasi CMS seringkali masih kurang optimal dari persepektif keamanan. Serangan hacker yang paling sering terjadi terhadap sebuah situs seringkali terjadi secara otomatis dan hal ini banyak dipengaruhi oleh pengaturan default yang digunakan. Maka dari itu, Anda perlu mengubah beberapa pengaturan default saat menginstall CMS yang Anda pilih, seperti melakukan perubahan pada point 5 & 6 di atas.

Misalnya saja, secara default beberapa aplikasi CMS memungkinkan pengguna untuk bisa menginstall ekstensi apa pun yang mereka inginkan. Ada juga pengaturan yang mungkin perlu Anda lebih perhatikan dalam mengontrol komentar, izin pengguna (pengaturan permission), dan visibilitas informasi pengguna.

8. Pemilihan Ekstensi, Add On, & Plugin

Salah satu hal menarik dari penggunaan CMS adalah fleksibilitasnya. Ada banyak plugin, add-on, dan ekstensi yang menyediakan hampir semua fungsi yang Anda butuhkan. Sayangnya, fleksibilitas ini juga kerap menjadi pedang bermata dua. Tidak jarang Anda menemukan beberapa ekstensi yang menawarkan fungsi serupa dan membuat Anda bingung, mana yang sebaiknya Anda pilih?

Jika ini terjadi, maka yang sebaiknya Anda pilih adalah yang terakhir mendapatkan pembaruan. Jika pembaruan terakhir lebih dari beberapa tahun terakhir, dikawatirkan ekstensi tersebut telah berhenti dikerjakan oleh pengembangnya dan ini bisa meningkatkan resiko keamanan situs Anda kapan saja.

Berbanding terbalik dengan ekstensi yang secara aktif terupdate atau pengembang secara aktif memantau ekstensi tersebut. Jika Anda mengalami masalah keamanan atau bug terhadap ekstensi tersebut, maka laporan Anda akan mendapatkan dukungan dari pengembang dengan mudah.

Selain itu, Anda juga dapat mempertimbangkan usia ekstensi tersebut dan jumlah pengguna yang menginstallnya. Ekstensi yang dikembangkan oleh pengembang yang sudah ‘besar’ biasanya akan mempunyai lebih dari 100 pemasangan sejak pertama kali dirilis. Bagi pengembang tersebut, keamanan adalah hal yang sangat penting dalam mengembangkan ekstensi/ plugin sebelum akhirnya user gunakan.

9. Satu Situs = Satu Hosting

Paket hosting unlimited memang menggoda! Anda bisa membayangkan betapa hemat dan efisiennya mengatur situs- situs Anda dalam satu hosting saja. Namun sayangnya, hal ini sebenarnya adalah salah satu praktek keamanan terburuk dalam panduan web security. Mengapa? Karena menaruh beberapa situs dalam satu hosting berlokasi sama berpotensi menciptakan serangan hacker yang lebih besar. Serangan hacker yang dilancarkan terhadap instalasi CMS Anda dapat menyebar dengan sangat mudah saat banyak situs dihosting di lokasi yang sama.

Selain itu, proses pembersihan juga akan menjadi PR yang melelahkan saat hacker meretas semua situas Anda di saat yang bersamaan.  Selain memakan waktu, tingkat kesulitan juga lebih tinggi karena situs yang terinfeksi dapat terus menginfeksi satu sama lain dalam satu lingkaran tanpa akhir. Benar- benar melelahkan!

10. Menginstall SSL

SSL (Secure Sockets Layer) adalah protokol keamanan standar untuk membuat tautan ter-enkripsi antara server web dan browser dalam komunikasi online. SSL bekerja melakukan enkripsi komunikasi antara Titik A dan Titik B, yaitu antara server situs web dan browser.

SSL Certificate - Web Security

Salah satu peranan SSL dalam web security adalah melindungi informasi pribadi pengunjung, mengamankan transfer data, transaksi kartu kredit, dan data login. Untuk situs web e-Commerce atau web apapun yang menerima pengiriman formulir dengan data pengguna sensitif atau informasi identitas pribadi, mempunyai sertifikat SSL (SSL Certificate) sangat penting.

Saat sebuah website mempunyai SSL Certificate terpasang dengan benar di server, maka akan muncul ikon gembok hijau kecil yang tampil di sebelah kiri URL situs web di browser dan https akan muncul dengan warna hijau juga. Dengan SSL Certificate, pemilik situs web telah memberikan keamanan kepada pelanggan dan membuat mereka lebih betah untuk terus berada di situs web Anda dalam jangka waktu yang lebih lama.

Salah satu bukti nyata dari pentingnya SSL Certificate adalah update terbaru dari Google Chrome Juli 2018 yang akan memberikan peringatan situs tidak aman saat pengunjung menjelajah sebuah situs web yang belum terinstall dengan SSL Certificate.

11. Gunakan Layanan Hosting yang Terpercaya dan Berkualitas

Salah satu tolak ukur dalam menentukan hosting berkualitas dan terpercaya adalah kesadaran perusahaan hosting tersebut terhadap pentingnya web security. Pastikan layanan hosting Anda menyadari ancaman terhadap situs web itu nyata sehingga mereka mempunyai beberapa fitur andalan untuk meningkatan keamanan situs web Anda.

Sebelum memilih layanan hosting, baik lokal maupun luar negeri, coba lah untuk melakukan riset terhadap kualitas keamanannya. Pastikan provider hosting tersebut mendukung keamanan website dan handal di setiap kesempatan. Selain aman, pastikan juga kualitas server dan dukungan pelanggan hosting tersebut juga berkualitas.

Kesimpulan

Saat website adalah asset berharga dalam sebuah bisnis, membangun situs web dengan tingkat keamanan yang baik adalah sebuah keharusan. Jangan sampai kesadadaran Anda untuk meningkatkan web security ini baru bertumbuh saat Anda mengalami serangan hacker atau virus pada website Anda. Dengan meningkatkan keamanan situs web kita, mulai dari 11 langkah di atas, kita telah melindungi asset berharga kita dalam bisnis.

Apa itu Serangan DDoS dan Cara Ampuh Mencegahnya

Apa itu Serangan DDoS dan Cara Ampuh Mencegahnya

Serangan DDoS (Distributed Denial of Service) adalah salah satu bentuk cyber crime yang cukup terkenal. Dalam serangan ini, penyerang berusaha untuk membuat sebuah perangkat, jaringan atau server pengguna tidak bisa digunakan.

Penyerang akan membuat server atau perangkat pengguna banjir dengan trafik tinggi yang mencurigakan. Dan pada akhirnya, website menjadi sulit diakses dan membuat pemilik website merasa dirugikan.

Tingkat keberhasilan serangan ini bisa dipengaruhi oleh kemampuan server dalam menampung semua request yang mereka terima, dan juga kinerja firewall. Untuk lebih lengkapnya, Panda akan mengulas tentang pengertian serangan DDoS, cara kerjanya, dan cara ampuh mencegah serangan ini.

Apa itu Serangan DDoS?

DDoS kepanjangan dari Distributed Denial of Service. Atau dalam bahasa Indonesia mempunyai makna Penolakan Layanan Terdistribusi.

Pengertian dari serangan DDoS ini adalah sebuah penyerangan oleh sistem komputer agar target server mempunyai fake traffic atau lalu lintas palsu yang membludak, sehingga server tidak bisa lagi menampung permintaan akses.

Sumber serangan ini biasanya berasal dari beberapa sistem komputer dan menargetkan sebuah server. Selain dilancarkan menuju server, serangan ini juga bisa menyasar ke sistem maupun jaringan situs dan layanan online.

Tujuan dari serangan ini adalah agar situs atau aplikasi target tidak bisa diakses atau offline untuk sementara waktu atau waktu yang lebih lama. Motifnya bisa menyasar ke berbagai tujuan. Mulai dari kompetisi bisnis, atau bahkan kepentingan politik.

DDoS ini sendiri merupakan salah satu serangan favorit para hacker. Selain mempunyai banyak jenis, DDoS mempunyai konsep sederhana. Yaitu dengan membuat lalu lintas server berjalan dengan beban yang berat, sampai tidak bisa lagi menampung koneksi dari user lain (overload).

Studi Kasus Serangan DDoS Terbesar 

Percobaan serangan DDoS selalu meningkat setiap tahunnya. Pelakunya bukan hanya mereka yang ingin mencari sensasi, namun juga untuk alasan politik, atau kejahatan siber yang ingin mengganggu stabilitas server, dan mencuri data di dalamnya.

Salah satu serangan DDoS yang paling sensasional pernah terjadi pada tahun 2013 ke Spamhaus. Serangan ini mencapai puncak tertinggi 400 Gbps dan membuat Github tidak bisa diakses selama beberapa menit.

Di tahun selanjutnya, terjadi serangan dengan kekuatan 33% lebih besar dari serangan tersebut, yang menyasar ke salah satu klien Cloudflare. Selain Spamhaus dan Cloudflare, BBC juga pernah menjadi korban serangan DDoS terbesar pada 2015.

Serangan ini mengakibatkan kelumpuhan di hampi semua layanan BBC. Seluruh domain tidak bisa diakses, hingga layanan On-Demanda dan radio juga mati.

Pada 2018, Github kembali menjadi korban serangan ini, dengan kekuatan 3 kali lebih besar dari serangan sebelumnya. Serangan ini mencapai puncak tertinggi transaksi data yang sangat fantastis, dengan kekuatan 1.35 Tbps.

Dari hasil penelusuran, serangan ini berasal dari ribuan Autonomous System (ASN) di puluhan ribu titik akhir yang unik. Serangan ini bekerja melalui penyalahgunaan instance memcached yang bisa diakses melalui internet dengan UDP publik.

Konsep dan Cara Kerja DDoS (Denial Distributed Denial of Service)

Seperti yang Panda jelaskan sebelumnya, serangan DDoS bekerja dengan cara mengirim banyak lalu lintas palsu ke sebuah website aplikasi. Akibatnya, real user atau pengunjung lain akan kesulitan untuk mengakses website atau aplikasi tersebut.

Konsep DDoS attack terbagi ke 3 tipe penggunaan, sebagai berikut :

  • Request Flooding, yaitu teknik membanjiri lalu lintas jaringan dengan mengirim banyak request. Dampaknya, pengguna lain yang terdaftar tidak bisa dilayani.
  • Traffic flooding, yaitu teknik membanjiri lalu lintas jaringan dengan banyak data. Sama seperti Request Flooding, hal ini mengakibatkan pengguna lain tidak bisa dilayani.
  • Mengubah sistem konfigurasi atau merusak komponen dan server juga merupakan tipe denial of service. Namun cara ini tidak banyak digunakan karena cukup sulit.

Sedangkan pengkategorian serangan ini berdasarkan layer OSI, kita mengenal adanya serangan pada layer aplikasi, protokol, dan volumetrik.

DDoS Layer Aplikasi

Infografis DDoS Layer Aplikasi

Layer aplikasi adalah salah satu target dalam melancarkan serangan DDoS. Pelaku akan memanfaatkan celah pada protokol yang berjalan pada layer aplikasi, dan melakukan serangan untuk meniadakan layanan server untuk user.

Serangan DDoS pada layer aplikasi ini cukup ringan jika hanya melayani sedikit request dan menyerupai request user pada umumnya. Namun bisa menjadi masalah saat melayani banyak request secara bersamaan, terutama saat sedang menjalankan query database.

DDoS Protokol

Infografis DDoS Protokol

Serangan DDoS protokol mengeksploitasi TCP dengan cara mengirim paket SYN dengan spoofing alamat IP dalam jumlah besar. Dalam serangan ini, koneksi yang masuk akan mendapat respon dari server yang menunggu proses koneksi berjalan, namun tidak pernah terjadi.

Akibatnya, proses yang terus berjalan ini akan membuat server menjadi overload.

Volumetric DDoS

Infografis Volumetric DDoS

Serangan DDoS volumetrik ini bertujuan untuk membebani kapasitas jaringan internal dan bahkan fasilitas scrubbing mitigasi DDoS terpusan, melalui volume lalu lintas berbahaya yang sangat tinggi.

Serangan ini akan menyedot bandwith, baik di dalam jaringan target, atau antar jaringan target dan seluruh internet.

Selain ketiga tipe di atas, ada juga berbagai tipe serangan DDoS yang tercatat selama ini. Seperti serangan Memcached DDoS, NTP Amplification, DNS Flood, UDP Flood, dan masih banyak lainnya.

Teknik DDoS Attack

Ada berbagai cara yang bisa hacker lakukan untuk menyerang situs target dalam DDoS attack. Berbagai teknik yang kerap dilancarkan, antara lain :

Botnet

DDoS bisa dilakukan dengan bantuan kumpulan bot yang bisa berjalan bersamaan. Bot ini kemudian akan disisipkan pada malware yang akan ditanamkan ke perangkat yang terhubung dengan jaringan internet.

Jumlah perangkat ini bisa berjumlah puluhan, hingga jutaan, tergantu dari berapa banyak perangkat yang terinfeksi malware. Semua perangkat yang sudah terinfeksi ini lah yang kita sebut dengan Botnet. Sedangkan perangkat terinfeksi ini disebut dengan zombie atau komputer zombie.

Melalui satu perintah saja, botnet langsung menjalankan perintah untuk melakukan serangan ke komputer target di waktu yang bersamaan.

Virus

Hacker yang berencana melakukan DDoS akan menebar virus melalui file yang dibagikan ke berbagai situs yang terhubung ke internet. Nantinya, virus ini akan menjalankan bot melalui script yang berjalan di sistem operasi.

Beberapa virus juga bisa menguasai akses dari perangkat yang sudah mengunduh script dan berjalan di sistem operasi. Komputer yang sudah terinfeksi virus DDoS ini, akan aktif melakukan serangan ke server atau ke alamat IP atau server tertarget.

Ciri- ciri Website yang Menjadi Korban Serangan DDoS

Jika Anda seorang webmaster atau pemilik website, penting untuk selalu melapisi keamanan website Anda. Pasalnya, serangan ini menyerang secara tiba- tiba dan menyasar ke siapa saja.

Untuk meningkatkan kewaspadaan, kenali ciri- ciri website yang menjadi korban serangan DDoS berikut ini :

  • Bandwidth mengalami lalu lintas yang padat secara drastis, baik itu download maupun upload. Hal ini terjadi secara tiba- tiba dan berlangsung secara terus menerus. Jika target adalah VPS, bisa terjadi konsumsi bandwidth yang mencapai batas penggunaan, sehingga VPS tidak bisa diakses.
  • Load CPU menjadi sangat tinggi, meski tidak ada proses yang bisa dieksekusi. Akibatnya, kinerja server menurun dan pengunjung tidak bisa mengakses website.
  • Kecepatan akses website menurun, meski trafik tidak mengalami peningkatkan.
  • Jika menggunakan layanan VPS, Anda bisa mendapatkan informasi yang menyatakan adanya kegiatan berbahaya di server.

Cara Melindungi Website dari Serangan DDoS

Apa itu serangan DDoS dan Cara Mencegahnya

Pemilik website bisa menanggulangi DDoS dengan memasang DDoS Protection. Sebelum menggunakan layanan ini, berikut adalah beberapa tips yang bisa Anda terapkan untuk melindungi website dari serangan DDoS :

1. Monitoring Trafik Website Secara Berkala

Penting untuk memantau trafik situs web secara berkala. Dengan melakukan ini, webmaster bisa mengetahui apakah lalu lintas tergolong normal, mengalami tren peningkatan atau tiba- tiba mengalami lonjakan tidak wajar.

Jika terjadi lonjakan yang tidak wajar, cobalah untuk melihat apakah ada aktivitas yang mencurigakan atau tidak.

2. Meningkatkan Kapasitas Server

Pastikan situs Anda mempunyai kapasitas bandwidth yang cukup. Dengan begitu, saat terjadi lonjakan trafik, bandwidth masih tersedia.

Untuk menyajikan bandwidth yang sesuai, Anda perlu melakukan pengecekan level trafik lebih dahulu. Setelah itu baru mempertimbangkan untuk upgrade bandwidth.

3. Proteksi Keamanan Berlapis

Langkah penting selanjutnya untuk mengamankan dari serangan DDoS adalah menggunakan proteksi keamanan berlapis. Misalnya saja dengan menggunakan anti-spam, VPN, firewall, content filtering, dan sistem keamanan lainnya.

4. Membatasi Akses

Batasi akses dari dan ke sistem. Cara ini membantu Anda menyaring trafik data yang masuk dan keluar pada komputer atau server yang Anda gunkaan.

5. Mematikan Broadcast

Saat serangan terjadi menggunakan Smurf, cobalah mengatasinya dengan cara mematikan sementara broadcast address di router. Anda juga bisa melakukan penyaringan atau membatasi permintaan ICMP di firewall.

6. Memperbarui Sistem Operasi

Pembaruan sistem operasi ke versi terbaru penting untuk mengoptimalkan perisai keamanan. Langkah ini membantu Anda menutupi bagian- bagian rentan yang bisa menjadi pintu masuk akses ilegal.

7. Menghubungi ISP

Dalam melakukan serangan, penyerang membutuhkan lokasi jaringan atau IP Address. Untuk itu, Anda bisa menghubungi pihak layanan hosting untuk memberi proteksi tambahan saat mendeteksi adanya serangan.

8. Memblokir Port

Langkah pemblokiran ini bisa Anda lakukan saat Anda merasa DDoS menyerang situs Anda.

Layanan Pelindung DDoS

Selain cara- cara di atas, Anda bisa memanfaatkan layanan web protection yang bisa melindungi website Anda dari serangan DDoS. Layanan ini antara lain :

1. Cloudflare

Cloudflare adalah salah satu penyedia layanan keamanan yang sangat populer. Selain berfungsi sebagai CDN (Content Delivery Network), Cloudflare juga membantu mencegah serangan DDoS, dan meningkatkan keamanan website.

Cloudflare bahkan bisa mengantisipasi serangan dengan kecepatan 10 Tbps dari serangan apapun.

2. Akamai DDoS Mitigation

Akamai adalah salah satu senior di bidang keamanan siber dan CDN. Layanan proteksi DDoS milik Kona DDoS Defender ini bisa menanggulangi serangan hingga 1.3 Tbps!

Akamai juga bisa mengantisipasi serangan sebelum serangan itu sampai ke aplikasi situs. Perlindungan yang mereka berikan tersebar di 100 negara di berbagai belahan dunia dan terdiri dari 1300 node.

Kesimpulan

Dari penjelasan Panda di atas, bisa kita simpulkan bahwa DDoS attack adalah jenis serangan siber yang yang menyerang website, dan layanan online lainnya. Serangan ini bisa menyerang siapa saja dan secara tiba- tiba, dengan motif yang beragam.

Ada beberapa cara dalam melancarkan DDoS ini. Mulai dari menggunakan request flooding atau traffic flooding. Tujuannya adalah membanjiri trafik jaringan website dengan banyak request atau data. Dengan begitu, pengguna lain akan kesulitan untuk mengakses website.

Agar terhindar dari serangan ini, ada beberapa langkah antisipasi yang bisa kita lakukan. Mulai dari memantau lalu lintas website, meningkatkan kapasitas bandwidth, pembaruan sistem operasi, dan berbagai cara lain di atas.

Semoga artikel ini bermanfaat untuk pembaca!

Jangan Salah Pilih, Kenali Jenis- Jenis SSL untuk Mengamankan Website Anda

Jangan Salah Pilih, Kenali Jenis- Jenis SSL untuk Mengamankan Website Anda

Setelah memahami apa itu SSL/ TLS dari artikel Panda, penting untuk mengenali apa saja jenis- jenis SSL. Jenis SSL/ TLS yang berbeda bisa menawarkan fitur keamanan yang berbeda untuk website Anda.

SSL sendiri merupakan bagian integral dari langkah keamanan website. Dengan mengaktifkan fitur ini, website terlindungi dan kepercayaan dari audiens akan meningkat. Penting sekali untuk menggunakan fitur ini di website Anda.

Apa itu SSL/ TLS?

SSL atau Secure Socket Layer adalah protokol keamanan jaringan yang bekerja mengamankan keamanan website dalam proses transfer data antara pengunjung dan browser.

Layanan SSL ini penting untuk website karena memberikan jaminan keamanan untuk transaksi online. Mulai dari membership yang membutuhkan data- data pribadi, website dengan payment gateway dan internet banking.

Saat fitur ini terpasang di website, URL akan berubah menjadi HTTPS. Dan URL website akan mempunyai ikon gembok di samping alamat websitenya.

Lantas, bagaimana dengan TLS? Apa bedanya SSL dan TLS?

SSL sebenarnya sudah tidak digunakan sama sekali saat ini dan digantikan dengan TLS. Kendati begitu, istilah SSL sudah terlanjur populer. Orang- orang menggunakan istilah SSL untuk TLS yang kini digunakan.

TLS (Transport Layer Security) sendiri merupakan protokol kriptografi yang memberikan keamanan komunikasi yang lebih baik melalui jaringan server. TLS adalah teknologi keamanan dan terupgrade dari SSL. Dan TLS kini sudah menggantikan peran SSL dalam hal keamanan privasi data.

SSL vs Non SSL

Mengapa Website Perlu Menggunakan SSL/ TLS ?

Seperti yang Panda jelaskan sebelumnya, SSL/ TLS adalah fitur penting untuk mengamankan website dari ancaman keamanan. Berikut adalah alasan- alasan spesifik mengapa sebuah website penting untuk menggunakan SSL/ TLS :

1. Menghindari Pencurian Data

SSL/TLS melakukan enkripsi dalam transfer data sensitif. Dengan begitu, fitur ini akan melindungi pengguna dari adanya ancaman pencurian data. Tidak sembarang orang bisa membaca data dari proses transfer antara browser dan pengunjung.

2. Menghindari Salah Kirim Data

SSL/ TLS berperan penting untuk authentication atau otentikasi. Artinya, fitur ini akan memastikan informasi atau data yang Anda kirimkan akan sampai ke server sesuai tujuan. Bukan malah mengirim informasi ke pihak ketiga yang tidak bertanggung jawab atau hacker.

3. Meningkatkan Reputasi Website

Situs yang terinstall SSL/TLS, akan menampilkan bar gembok disertai dengan https. Ini adalah indikasi untuk pengunjung bahwa situs yang mereka kunjungi aman.

Notifikasi ini adalah salah satu cara meningkatkan reputasi website di mata pengunjung. Dan bahkan, tanpa SSL/TLS, calon pengunjung akan mendapatkan peringatan saat mereka akan masuk ke website Anda. Google akan memperingatkan bahwa mereka akan masuk ke situs tidak aman.

Notifikasi ini tentu akan membuat calon pengunjung ragu- ragu. Akhirnya mereka memilih untuk berkunjung ke situs lain.

Peringatan keamanan Google karena tidak menggunakan SSL/ TLS HTTPS

4. Mengoptimalkan Ranking Website

Google menyukai website yang mempunyai sertifikat SSL/ TLS. Karena website yang aman adalah jaminan pengalaman pengguna yang optimal. Bahkan secara halus, Google sebenarnya mencegah penggunanya untuk mengunjungi website yang tidak mempunyai sertifikat SSL/ TLS.

Dengan memperisai website Anda dengan SSL/ TLS, situs Anda akan lebih ramah mesin pencari.

Jenis- jenis SSL/ TLS

Nah, ini adalah bagian yang paling dinanti- nanti. Saat akan menggunakan SSL di website Anda, tentu penting untuk mengenali apa saja jenis- jenis SSL/ TLS. Nantinya, jika Anda memutuskan untuk membeli SSL, Anda sudah bisa mendapatkan pilihan yang sesuai :

1. Domain Validated SSL (DV SSL)

Jenis SSL/ TLS yang satu ini kerap digunakan oleh entry level, perorangan, atau mereka yang membutuhkan penerbitan sertifikat SSL yang murah dan mudah. Karena dalam verifikasinya hanya membutuhkan validasi domain dan email saja, jenis sertifikat ini adalah yang paling populer di kalangan blogger.

Beberapa persyaratan yang harus dimiliki jika ingin menerapkan sertifikat Domain Validate SSL antara lain harus mempunyai email yang sama dengan data domain di WHOIS.

Namun perlu kita ketahui juga, DV SSL hanya akan menampilkan informasi bahwa website adalah website yang aman dan terenkripsi saja. Jadi, SSL jenis ini tidak direkomendasikan untuk ecommerce.

DV SSL  lebih cocok untuk website testing atau situs internal bisnis. Menggunakan sertifikat ini berarti memberikan informasi bahwa domain telah aman dengan HTTPS dan gembok warna hijau.

2. Organization Validated SSL (OV SSL)

Jenis SSL/ TLS yang kedua adalah Organization Validated SSL. Seperti namanya, SSL ini ditujukan untuk validasi organisasi, atau badan usaha yang berada di belakang nama domain terdaftar.

Karena berkaitan dengan organisasi atau badan usaha, persyaratan dari SSL ini sedikit lebih rumit. Anda perlu mempersiapkan beberapa dokumen pendukung yang menyatakan legalitas usaha atau organisasi, sesuai dengan hukum negara, untuk proses verifikasi OV.

Dengan sertifikat ini, situs web organisasi menjadi lebih terpercaya untuk visitor.

3. Extended Validated SSL (EV SSL)

Contoh extended SSL dari Bank BRI

EV SSL merupakan standar validasi tertinggi terhadap sebuah organisasi atau perusahaan. SSL ini adalah yang paling premium dan mempunyai nilai prestise tersendiri untuk sebuah website.

Sertifikat EV juga mendukung semua jenis browser dan mempunyai standar keamanan paling tinggi saat ini. Tampilan di browser dengan sertifikat EV SSL antara lain :

  • Google Chrome, menampilkan icon gembok, HTTPS, nama bisnis, dan kode negara dalam font hijau.
  • Firefox menunjukkan icon gembok, nama bisnis, dan kode negara dalam font hijau dan HTTPS.
  • Microsoft Edge menampilkan icon gembok, nama bisnis, dan kode negara dalam font hijau dan HTTPS.
  • Safari menampilkan icon gembok hijau / green bar dan nama bisnis.
Contoh Extended Validation Certificates SSL

Karena bersifat premium, ada sejumlah persyaratan untuk bisa menggunakan sertifikat SSL jenis ini, antara lain :

  • Perusahaan sudah harus berjalan setidaknya 2 tahun,
  • Mempunyai dokumen perusahaan yang lengkap,
  • Alamat perusahaan jelas dan terverifikasi, serta kelengkapan data pendukung (misalnya tagihan listrik terakhir perusahaan),
  • KTP atau paspor pemilik perusahaan,
  • Informasi WHOIS yang sama dengan nama perusahaan,
  • Pendaftaran profil perusahaan di situs dirjen AHU (QR Code) di website https://ahu.go.id

Karena persyaratan yang cukup kompleks, biasanya pengguna dari SSL ini adalah mereka yang mempunyai badan usaha terpercaya, seperti CV, PT, dan Departemen Negara.

Berikut adalah gambaran perbedaan antara jenis SSL/ TLS Domain Validation, Organization Validation dan Extended Validation :

Contoh perbedaan tampilan jenis- jenis SSL/ TLS

4. Wildcard SSL Certificates

Wildcard SSL Certificates adalah jenis sertifikat SSL untuk mengamankan domain dasar dan subdomain tidak terbatas. Membeli jenis sertifikat ini lebih mudah daripada harus membeli beberapa sertifikat domain tunggal.

Wildcard SSL tersedia untuk pembelian sertifikat Wildcard IV atau sertifikat SSL DV. Sertifikat ini mempunyai tanda bintang * sebagai bagian dari nama utama. Tanda bintang ini sendiri merupakan representasi subdomain yang valid dengan domain basis yang sama.

Sebagai contoh, nama utama adalah *.pandagila.com. Maka sertifikat SSL ini bisa dipasang untuk membership.pandagila.com, list.pandagila.com, dan sebagainya.

Wildcare SSL

5. Multi-Domain SSL Certificates

Multi-Domain SSL Certificates adalah jenis sertifikat SSL yang bisa mengamankan hingga 100 nama domain dan subdomain yang berbeda menggunakan satu sertifikat. Dengan begitu, penggunaan sertifikat ini akan lebih hemat waktu dan uang.

Dengan sertifikat ini, Anda mempunyai kendali atas Subject Alternative Name (SAN) untuk menambah, mengubah, dan menghapus SAN yang diperlukan. Berikut adalah beberapa contoh nama domain yang bisa memperoleh keamanan hanya dengan satu sertifikat SSL Multi-Domain :

  • www.domain.com
  • www.domain.in
  • www.domain.org
  • domain.com
  • checkout.domain.com
  • mail.domain.com
  • secure.exampledomain.org
  • www.website.com
  • www.example.co.uk

Cara Memasang Sertifikat SSL/ TLS

Anda mungkin bisa membeli SSL/ TLS sendiri atau memperolehnya secara gratis melalui layanan hosting Anda. Untuk bisa terinstal di website Anda, ada beberapa langkah yang harus Anda lakukan.

Mulai dari membuat Private Key, membuat tanda tangan sertifikat, sampai menerbitkan sertifikat tersebut. Setelah sertifikat tersebut, langkah penting selanjutnya adalah memasangnya di website Anda, dan mengintegrasikan dengan HTTPS.

Untuk lebih lengkapnya, Anda bisa membaca artikel Panda tentang panduan cara memasang SSL/ TLS di website.

Menu SSL/ TLS di cPanel Hosting

Kesimpulan

SSL/ TLS adalah fitur penting yang harus ada di website saat ini. Dengan kehadiran sertifikat SSL di website, situs akan menjadi lebih ramah pengguna. Pengguna merasa aman telah mengunjungi website yang melindungi data privasi mereka.

Di mata Google, perlindungan terhadap akses pengunjung bernilai positif. Itulah mengapa SSL/ TLS merupakan salah satu poin penting dalam optimasi SEO On Page. Pasanglah SSL/ TLS, dan Google akan mengganjar situs web Anda dengan potensi peringkat yang lebih baik di hasil pencarian.

Jadi, sudah siap untuk menggunakan SSL/ TLS di website Anda? Jangan tunda lagi yaa…
Semoga artikel Panda ini bermanfaat untuk pembaca 🙂

Apa itu SSL/ TLS? Mengapa Menjadi Perisai Penting untuk Website?

Apa itu SSL/ TLS? Mengapa Menjadi Perisai Penting untuk Website?

Untuk Anda pemilik website, istilah SSL atau Secure Socket Layer tentu bukan hal yang asing lagi. Terlebih di era SEO masa kini, penggunaan SSL untuk website menjadi semakin penting.

SSL juga mempunyai banyak sekali manfaat tersembunyi. Selain menguatkan keamanan website, SSL juga berdampak positif untuk optimasi SEO.

Karena pentingnya, di artikel kali ini, Panda akan mengulas secara khusus tentang apa itu SSL/ TLS, cara kerjanya, manfaat dan mengapa penting untuk website menggunakan SSL.

Pengertian SSL dan SSL Certificate (Sertifikat SSL)

SSL Certificate - Web Security

SSL adalah salah satu komponen penting website yang menjembatani sambungan aman antara browser web dengan pengguna. Dengan fitur SSL, transfer data di website menjadi lebih aman dan terenkripsi.

SSL menjadi fitur yang penting untuk website. Karena tanpa menggunakan layanan ini, mulai Juli 2018 silam Google Chrome mulai melabeli akses website tanpa sertifikat SSL sebagai
Not Secure.

Di dunia teknologi, SSL adalah standar industri untuk komunikasi website yang aman dan melindungi jutaan transaksi online setiap harinya. SSL bekerja mengamankan data transaksi kartu kredit, transfer data, dan login.

Untuk bisa menggunakan koneksi SSL, web server harus sudah mempunyai sertifikat SSL. Saat seseorang mengaktifkan protokol SSL di server web mereka, mereka akan diminta untuk menjawab pertanyaan yang akan membangun identitas mereka.

Setelah sertifikat SSL berhasil t
erbit, server web akan membuat dua kunci kriptografi. Kunci tersebut adalah Private Key dan Public Key. Selanjutnya, akan ada rumus enkripsi yang menciptakan hubungan aman antara web server dan browser pengguna.

Apa Bedanya SSL dan TLS?

Pertanyaan yang sering muncul, apa sih bedanya SSL dan TSL? Apakah keduanya sama?

TLS kepanjangan dari Transport Layer Security. TLS adalah protokol kriptografi pengganti dari SSL yang dirancang untuk memberikan keamanan komunikasi melalui jaringan server.

Pada dasarnya teknologi SSL sudah sepenuhnya digantikan oleh TLS untuk mengamankan privasi data. Meski begitu, banyak orang sudah terlalu familiar dengan SSL, sehingga perusahaan masih banyak menggunakan istilah ini.

Padahal, fitur enkripsi yang saat ini disediakan adalah TLS. Keduanya memang bekerja mengamankan transfer data di dalam website. Namun teknologi TLS adalah teknologi yang paling terbaru dan upgrade dari SSL.

Cara Kerja SSL/ TLS

SSL vs Non SSL

SSL Certificate bekerja menggunakan Public Key Cryptography. Kriptografi ini bekerja memanfaatkan kekuatan dua kunci yang merupakan rangkaian panjang angka- angka yang dihasilkan secara acak, berupa Public Key dan Private Key.

Public Key dapat mengidentifikasi server dan akan berada di domain public. Key ini akan berfungsi untuk mengenkripsi file apa pun yang akan Anda kirim.

Berbeda dengan Public Key, Private Key akan mengunci dan mengenkripsi data atau file apa pun yang akan pe
ngguna terima.

Selain itu, SSL/ TLS juga mempunyai session key untuk setiap secure session unik. Saat visitor mengetikkan alamat URL yang telah diamankan SSL ke laman web yang sudah terlindungi, browser dan web server akan membuat koneksi.

Pengguna bisa mengenali website yang sudah menggunakan SSL/ TLS dari adanya ikon gembok atau bar hijau yang muncul dari atas browser. Saat diklik, ikon ini akan menginformasikan bahwa koneksi pengguna aman dan browser mempunyai sertifikat keamanan.

Dengan sistem keamanan ini, data- rata penting pengguna akan terenkripsi sehingga tidak ada oknum yang tidak bertanggungjawab yang berusaha menggunakan data- data tersebut secara ilegal.

Manfaat SSL/ TLS untuk Sebuah Website

Ada banyak manfaat yang bisa kita peroleh saat website menggunakan SSL/ TLS. Berikut ini adalah beberapa manfaat penggunaan SSL/ TLS untuk website :

1. Mengamankan Proses Transfer Data di Website

Salah satu manfaat utama menggunakan SSL/ TLS adalah enkripsi yang membuat data menjadi lebih aman. Pertukaran data ini terjadi antara komputer Anda dengan visitor yang berusaha mengunjungi website yang terlindungi dengan public key dan private key.

Ikon gembok dan HTTPS juga membantu pengunjung merasa lebih aman saat berkunjung ke website Anda.

2. Meningkatkan Reputasi Website

Saat website Anda masih menggunakan protokol HTTP saja, Google akan memberi peringatan Not Secure setiap kali pengunjung mencoba mengakses web Anda.

Peringatan ini juga muncul saat pengunjung mengisi data atau memasukkan informasi sensitif, seperti data login, password, form, dan yang lainnya. Suka atau tidak, Google ‘memaksa’ pemilik website untuk mengenkripsi data yang berada di dalam jaringan internet demi keamanan.

3. Optimasi SEO On Page

Seperti yang sempat Panda singgung di atas, SSL di website akan berpengaruh positif terhadap kualitas SEO. Terlebih, sejak 2014, algoritma Google secara tidak langsung memprioritaskan website yang menggunakan SSL, daripada yang tanpa SSL.

Google juga menyatakan jika situs dengan SSL/ TLS mempunyai peringkat yang lebih baik daripada yang tidak mengaktifkan SSL, meskipun
sudah memperhitungkan semua faktor yang sama. Selain itu tentu saja, SSL bisa Anda gunakan secara gratis. Jadi, mengapa tidak?

Cara Memasang SSL/ TLS di Website WordPress

Plugin Really Simple SSL

Untuk Anda pengguna WordPress, memasang SSL/ TLS bisa Anda lakukan dengan mudah. Caranya adalah dengan menggunakan plugin Really Simple SSL.

Namun tentu saja, sebelumnya Anda sudah mengaktifkan SSL di provider hosting lebih dulu. Setelah membeli dan menginstalnya, ubah pengaturan SSL melalui dashboard WordPress.

Di bagian dashboard WordPress Anda, buka Setting > General. Scroll ke bawah dan temukan kolom WordPress Address (URL) dan Site Address (URL) dan ubah HTTP ke HTTPS, Simpan.


Setelah proses ini, jangan lupa untuk menyimpan perubahan apakah SSL dan HTTPS berfungsi dengan baik atau belum.

Kesimpulan

Sampai di tahap ini, Panda yakin kita sudah memahami apa itu SSL (Secure Sockets Layer) dan TLS (Transport Layer Security) dengan baik. 

SSL membantu mengenkripsi semua data yang ditransfer dengan aman, sehingga tidak disalahgunakan oleh pihak ketiga. Menggunakan SSL/ TLS juga membantu mengoptimalkan website kita, dari sisi reputasi kepada pengguna dan
SEO On Page di mesin pencari.

Banyak hosting terbaik yang kini sudah mendukung free SSL/ TLS untuk penggunanya. Dengan ini, tidak alasan untuk tidak menggunakan layanan ini lagi. Untuk panduan berikutnya, Anda juga bisa membaca artikel Panda tentang bagaimana Cara Mudah Memasang SSL/TLS HTTPS di Website.

Semoga artikel ini bermanfaat!