Ilmu
Komputer
Tulisan
ini didedikasikan kepada para pemilik website yang telah maupun belum pernah
mengalami kejadian pada websitenya yang terkena hack oleh para hacker. Yang
perlu diingat adalah agar jangan pernah
menganggap bahwa website kita selamanya aman dari serangan hacker.
Tidak hanya website besar yang memiliki ramai pengunjung, bahkan terkadang
website kecil-kecilan yang dibuat dengan bentuk sederhana yang mungkin kita
sendiri mengganggapnya tak memiliki harga sekalipun kerap menjadi santapan para
hacker. Percayalah bahwa hal tersebut akan terjadi pada siapa saja tanpa
terduga. 
Umumnya
para hacker mengambil alih website melalui beberapa cara seperti: Deface, SQL
Injection, Malware, XSS, RFI, CRLF, CSRF, Base64 dsb. Berikut ini adalah
beberapa trik
pencegahan yang dapat anda upayakan untuk mengamankan website anda sebelum
website kita menjadi korban hacker:
Password
Pastikan
agar anda menggunakan password yang kuat dengan kombinasi a-z, A-Z, 1-0, dan
kode simbol seperti !@#$%^&*(). Ulasan mengenai hal ini dapat anda baca
tulisan pada Tips Membuat Password Anti Hacker
Selain
itu ada baiknya agar anda mengubah password anda secara berkala untuk
memaksimalkan keamanan website anda.
Versi WordPress
Pastikan
agar anda selalu meng-update versi wordpress anda ke versi terbaru. Karena
wordpress menyempurnakan fitur dan celah keamanan dari versi ke versi selain
itu juga dapat meminimalisir informasi kepada hacker mengenai versi wordpress
yang anda gunakan. Anda dapat melakukan ini melalui dasbuard wordpress anda.
Pada
umumnya, pada theme standar anda dapat menyembunyikan versi wordpress anda
melalui Appeareance > Editor. Lalu editlah pada bagian
function.php dan hapus berikut <?php remove_action(‘wp_head’,
‘wp_generator’); ?> Umumnya tidak semua theme menyediakan informasi
mengenai versi wordpress, namun beberapa theme tetap meninggalkan informasi
ini.
File Permission
File
Permission adalah fitur yang disediakan pada halaman CPanel bagian File
Manager pada server hosting anda yang digunakan untuk merubah parameter
standar pada sebuah file satuan ataupun kumpulan untuk memungkinkan file
tersebut diakses, dibaca ataupun dirubah oleh pengguna. Umumnya hacker yang
dapat dikatakan berhasil apabila telah melakukan inject dan berhasil
mereset password admin anda. Untuk itu anda dapat membatasi hal tersebut dengan
mengunci file permission pada cpanel tersebut. Cara merubah file permission
adalah dengan klik kanan pada file yang bersangkutan lalu akan terdapat 3 baris
kotak yang dapat dicentang atau dihilangkan centangnya. Anda tidak perlu
mengubah semua file permision pada file website anda namun ada baiknya anda
mengubah permission pada file-file berikut dan nilai yang direkomendasikan:
.htaccess – ubah menjadi 444 atau 404
wp-config.php – ubah menjadi 444 atau 400
index.php – 444 atau 400
wp-blog-header.php – 400 atau 444
wp-admin – 755 atau 705
wp-includes – 755 atau 705
wp-content – 755 atau 705
wp-content/bps-backup – 755
wp-config.php – ubah menjadi 444 atau 400
index.php – 444 atau 400
wp-blog-header.php – 400 atau 444
wp-admin – 755 atau 705
wp-includes – 755 atau 705
wp-content – 755 atau 705
wp-content/bps-backup – 755
Sembunyikan Plugin Anda
Usahakan
agar anda menyembunyikan semua plugin yang anda gunakan. Hal ini untuk menutup
kemungkinan dan memberi ide kepada hacker untuk menemukan mana-mana saja plugin
yang dapat dijadikan celah untuk melakukan hack. Untuk menyembunyikan plugin
yang terinstal pada wordpress anda, dapat meng-upload file index kosong ke dalam
folder /wp-content/plugins/
White list pada .htaccess
Untuk
mencegah hacker mengotak-atik folder admin anda ada baiknya anda memasukkan
daftar IP Whitelist yang diperbolehkan untuk mengakses folder-folder penting
pada website anda sehingga tidak akan ada orang yang dapat melihat folder admin
kecuali anda dan daftar IP yang diberikan izin akses. Untuk melakukan hal ini
anda dapat menambahkan beberapa baris script kode pada file .htaccess anda yang
terletak pada file Manager didalam Cpanel. (munculkan bila tersembunyi). Secara
default, letak file .htaccess adalah didalam /wp-admin/
Anda dapat mengedit file .htaccess
ini langsung melalui cpanel atau melalui komputer anda namun sebaiknya file ini
anda backup terlebih dahulu.
Plugins
Security
Beberapa
plugins dibawah ini dapat berfungsi maksimal untuk melindungi file-file penting
yang rentan menjadi sasaran utama para hacker untuk diserang. Anda dapat
menginstal plugin-plugin berikut:
Bulletproof Security (untuk melindungi file
.htaccess dan fitur-fitur security lainnya.
Login LockDown (untuk melindungi halaman login
anda dari ‘brute force attack’ ,mencatat IP yang berusaha untuk login ke
website anda juga memblok IP yang mencurigakan.)
WordPress Firewall (dapat memblokir script-script
dan parameter yang mencurigakan)
Timthumb Vulnerability Scanner
(untuk mendeteksi script-script mencurigakan yang ditanam oleh hacker yang
ingin memanfaatkan situs anda)
Themes
Upayakan
agar anda tidak mendownload theme yang tidak jelas sumbernya ataupun versi yang
Nulled. Karena memungkinkan bagi hacker untuk menambahkan script-script yang
dapat dimanfaatkan untuk menyusup kedalam website anda.
Plugin Update
Banyak
hacker memanfaatkan celah pada beberapa plugin yang menurut mereka dapat
diserang. Oleh karena itulah para pembuat plugin terus menyempurnakan
plugin-plugin mereka selain untuk memperkaya fitur juga meningkatkan keamanan
yang sebelumnya dapat dimanfaatkan oleh hacker.
Backup Database
Untuk
mencegah kemungkinan terburuk sangat disarankan agar anda melakukan update
database pada wordpress anda dengan bantuan wp-db-backup atau
wp-time-machine. wp-time-machine mempunyai fitur melakukan full backup
situs wordpress anda, mulai dari image, comment, postingan, theme hingga semua
plugin anda.
Demikianlah
informasi mengenai 9 Cara Mengamankan Website Anda Dari Serangan Hacker.
Apabila anda adalah seorang awam dimana website anda sudah terlajur terkena
hack, anda mempunyai 3 opsi untuk memperbaikinya:
- Anda dapat melakukan restore data backup yang anda simpan dikomputer anda. Setelah itu segeralah mengganti password anda.
- Mintalah bantuan kepada pihak hosting untuk memperbaiki website anda. Umumnya pihak hosting mempunyai tenaga ahli untuk menangani hal ini.
- Cara terakhir, anda dapat
mengkontak sang hacker tersebut serta membicarakannya dengan baik-baik.
Umumnya para hacker meninggalkan alamat email yang dapat dihubungi
meskipun beberapa lainnya tidak meninggalkan jejak apa-apa. Namun biasanya
bagi hacker yang meninggalkan jejak email masih memungkinkan untuk
dimintai bantuan agar mengembalikan website anda. Meskipun kemungkinannya
50-50. Namun pada umumnya
komunitas hacker di Indonesia banyak diantaranya yang melakukan hack
dengan tujuan untuk mengingatkan pengguna agar dapat meningkatkan sekuriti
pada website korban agar dapat melakukan perbaikan selanjutnya. Ya,
terkadang hacker golongan ini memberi masukan berharga kepada kita semua.
^_^
