Sekarang
ini saya lihat banyak sekali bermunculan komunitas-komunitas pecinta internet
yang menamakan diri mereka "hacker". Meski sebenarnya istilah itu
kurang tepat esensinya. Mereka rata-rata adalah anak muda yang masih labil dan
ingin menunjukkan eksistensinya di dunia internet, maka dari itu sebagian dari
mereka melakukan aksi hacking bahkan beramai-ramai unjuk gigi menunjukkan
kebolehan mereka.
Bagi saya hal itu merupakan kabar baik karena bisa berarti anak-anak muda sekarang makin cerdas dan kreatif, namun disisi lain juga tindakan mereka tidak terpuji, karena kemampuan mereka tersebut digunakan untuk tujuan yang merusak. Aksi hacking di internet sebenarnya sangat mudah dilakukan, namun tidak semua orang yang mampu dan mau melakukannya, lebih kepada alasan etika atau perasaan tidak ingin merusak "aset" orang lain.
Bagi saya hal itu merupakan kabar baik karena bisa berarti anak-anak muda sekarang makin cerdas dan kreatif, namun disisi lain juga tindakan mereka tidak terpuji, karena kemampuan mereka tersebut digunakan untuk tujuan yang merusak. Aksi hacking di internet sebenarnya sangat mudah dilakukan, namun tidak semua orang yang mampu dan mau melakukannya, lebih kepada alasan etika atau perasaan tidak ingin merusak "aset" orang lain.
Baru-baru
ini saya melihat pada beberapa forum diblog atau diwebsite yang menuliskan
tentang maraknya serangan hack pada website, dan katanya cukup banyak website
yang telah menjadi korbannya. rata-rata website yang dibangun dengan CMS
Balitbang, Atau CMS buatan lokal Indonesia yang cukup bagus tampilannya meski
masih banyak Bug dan celah keamanan di dalamnya itu, sangat mudah untuk dirusak
system keamananya.
terkait
dengan hal itu saya sengaja menuliskan artikel ini sebagai bentuk rasa
keprihatinan saya atas musibah itu, oleh sebab itu saya menuliskan beberapa
tips untuk mengamankan website dari serangan hacker/cracker yang sedang marak
akhir-akhir ini. Jangan khawatir dan jangan risau karena di blog ini, saya akan
menjelaskan cara mencegah dan mengatasi website dari serangan “hacker”.
Berkembangnya
Software untuk di gunakan hacker merusak keamanan website
Perlu
kita pahami bahwa sekarang ini terus berkembang berbagai tool atau software
yang mampu digunakan untuk menembus sebuah web server maupun website secara
umum. Hal itu harus menjadi kewaspadaan kita semua. Tool-tool atau
aplikasi-aplikasi tersebut jika dikombinasikan akan menghasilkan kekuatan yang
ampuh untuk menembus sistem keamanan, mulai dari trik menemukan siapa pemilik
sebuah domain bahkan sebuah domain yang menggunakan proteksi privacy, juga bisa
diakali untuk menemukan pemiliknya hingga ke serangan yang lebih berat.
Sangat mudah sekali kan, seorang hacker dapat merusak keamanan website kita.
Kemudian
juga semakin banyaknya orang yang mempelajari tentang:
- Trik menyadap password, dengan contoh kasus teknik menyadap
username dan PIN pada internet banking sebuah bank.
-
Trik untuk menguji error sehingga sebuah website bisa dilakukan SQL Injection.
Termasuk membuat error yang disengaja pada sebuah website.
-
Bagaimana melihat direktori sebuah website yang sebenarnya disembunyikan dari
umum.
-
Memeriksa reputasi dan prestasi sebuah website.
-
Memeriksa apakah sebuah website itu aman dikunjungi atau tidak.
-
Mengekstrak banyak hal terlarang dari sebuah website, mulai dari link, email,
script, nomor telepon, dan sebagainya.
-
Menemukan halaman login admin yang tidak terlihat untuk umum.
-
Mencari tahu apakah sebuah website menggunakan shared hosting atau private
hosting.
-
Melihat kelemahan keamanan pada direktori CGI-BIN.
Dan
masih banyak lagi tool atau software yang bertebaran di internet dengan
berbagai kemampuan untuk menembus sistem keamanan suatu situs, maka saya sarankan
anda tetap harus waspada menjaga keamanan situs anda sendiri, jangan sampai
situs yang anda kelola dapat dirusak oleh seorang hacker yang tidak bertanggung
jawab.
Bagaimana Cara
Mencegah dan Mengamankan Website/Situs dari Hack
Untuk
mengamankan sebuah website, perhatian besar perlu kita berikan pada banyak hal,
mulai dari komputer tempat kita membangun website, tingkat keamanan web server
tempat hosting situs, teknologi yang digunakan untuk membangun dan melindungi
sebuah website, hingga kemampuan "tim security" dari penyedia
webhosting untuk menjaga file-file situs yang dihostingkan di perusahaannya.
Berikut
ini beberapa tips yang dapat anda gunakan untuk mengamankan website dari
serangan hacker:
1.
Mengamankan Server
Pada
umumnya, hosting websites dilakukan pada ISP (Internet Service Provider) dengan
space tertentu, lalu kita melakukan upload website via FTP atau via CPANEL
(Control Panel). Webhosting inilah yang sangat rawan dan sangat mudah sekali
dibobol oleh Hacker di antaranya mengunakan teknik SQL Injection.
jika
memang anda atau lembaga anda berkenan, saya akan memberikan solusinya,
sebaiknya anda gunakan Server sendiri dan mengunakan VPS (Virtual Private
Server). Dengan Server sendiri atau Virtual Private Server bisa mengunakan
berbagai proteksi terhadap kita secara Customized dan optimal. Berbeda dengan
Web Hosting, proteksi security dilakukan terserah oleh ISP. Dan kelemahan
proteksi inilah yang dimanfaatkan oleh Hacker dengan melakukan Port Scanning
untuk menemukan celah security yang bisa ditembus untuk bisa masuk dan
mengambil alih websites tersebut.
2.
Gunakan sistem yang sudah terpercaya
Mengunakan
system yang Stable yang sudah perfect systemnya (termasuk dalam memilih CMS
untuk membangun sebuah website) merupakan suatu keharusan. Dan jangan
mengandalkan paket CMS atau Web Builder dan langsung percaya dengan
keamanannya, pelajari sistemnya termasuk bagaimana mengcustomisasi seputar
keamanannya. Dengan begitu kemungkinan besar adanya celah keamanan
juga dapat diminimalkan.
Banyaknya
software seperti CMS atau tool web builder dengan berbagai versi terutama versi
gratis/ free License/ Freeware yang dipublikasikan bebas di Internet, sehingga
semua orang (termasuk hacker) bisa ikut mempelajarinya dan menemukan celah
keamanan yang dapat mereka manfaatkan.
Solusi
saya sebaiknya para pemakai memilih web builder atau CMS dengan versi yang
sudah dinyatakan Stable atau minimal yang terus dikembangkan dan disempurnakan
setiap waktu, sehingga jika ditemukan celah keamanan anda dapat langsung
meminta patch untuk menutup celah tersebut, termasuk mendownload versi
terbaru jika dirilis.
3.
Audit Server
Web
Administrator/ System Administrator harus melakukan Review, Testing, Simulasi
secara bertahap atau berkala terhadap keamanan pada Server yang dikelolanya.
Bahkan bisa bekerja sama dengan Hacker (White Hacker yang dapat dipercaya
reputasinya) untuk melakukan Audit terhadap implementasi Security. Solusi
saya, sebelum menentukan dimana website anda akan dibangun, sebaiknya carilah
banyak referensi tentang perusahaan webhosting yang ampuh dan terkenal aman
dalam
menjaga
website yang dikelolanya. Jangan tergiur harga murah jika nantinya malah tidak
aman.
4.
Teknologi Terbaik
Teknologi dalam dunia webserver terus berkembang, saran saya pilihlah web server yang mengunakan Hardware Security yang powerfull diantaranya yang memiliki fitur Firewall, IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Contohnya mengunakan Fortigate, Cisco Series Security, 3Com Tipping Point, dan lainnya. Anda dapat mengunakan software IDS seperti Black ICE Countermeasures ataupun Distro Linux untuk security system seperti Smootwall, Monowall, Customized Distro Linux, dan lainnya. Sebagai tambahan, sebaiknya anda gunakan juga fasilitas tambahan dalam mengelola website, seperti: menggunakan fasilitas software maupun hardware security yang bisa secara otomatis mengirimkan email (atau SMS) alert/warning jika system mendeteksi adanya serangan dari hacker. Dengan begitu anda bisa segera Login dan mengamankan file-file web anda.Tetap hati-hati dan waspada, karena keamanan website tergantung anda sendiri yang mengelolanya, semoga bermanfaat dan berguna buat anda. Pasti kalian langsung kaget jika web kita, ketika dibuka langsung 404 Forbidden. sama halnya saya, barusan saya iseng-iseng buka web domain pribadi saya, ternyata ketika saya buka langsung 404 Forbidden, bingung, panik, dan langsung cari cara buat benerin tuh eror. sebenarnya mau saya biarin beberapa hari kali aja 6 hari kedepan web bisa balik normal, tp ternyata kata temen saya gak bakalan bisa, jd harus langsung di benerin.Tapi tenang aja, gak usah hawatir, panik, atau bahkan setres gara-gara domain kita jadi 404 Forbidden. Terdapat banyak hal yang menyebabkan situs anda tidak bisa diakses. Tulisan dibawah ini akan menjelaskan bagaimana mengetahui penyebab masalahnya jika terdapat pesan-pesan error seperti "404 Not Found", "403 Forbidden", "500 Internal Server Error" dan lain sebagainya muncul dilayar browser.apaan ini yah.. Jangan panik. Masalah seperti ini memang terkadang terjadi. Mari kita cari tahu apa sebenarnya yang terjadi.
Ada 5 macam kesalahan yang biasa muncul :
1.Error 400 : Error ini disebabkan karena kesalahan syntax
2.Error 401 : Error ini disebabkan karena file yang Anda request memerlukan authentication
3.Error 403 : Error ini disebabkan karena permission file /chmod yang Anda buka tidak bisa dibaca
4.Error 404 : Error ini disebabkan karena file / halaman web yang Anda buka tidak ditemukan.
Teknologi dalam dunia webserver terus berkembang, saran saya pilihlah web server yang mengunakan Hardware Security yang powerfull diantaranya yang memiliki fitur Firewall, IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Contohnya mengunakan Fortigate, Cisco Series Security, 3Com Tipping Point, dan lainnya. Anda dapat mengunakan software IDS seperti Black ICE Countermeasures ataupun Distro Linux untuk security system seperti Smootwall, Monowall, Customized Distro Linux, dan lainnya. Sebagai tambahan, sebaiknya anda gunakan juga fasilitas tambahan dalam mengelola website, seperti: menggunakan fasilitas software maupun hardware security yang bisa secara otomatis mengirimkan email (atau SMS) alert/warning jika system mendeteksi adanya serangan dari hacker. Dengan begitu anda bisa segera Login dan mengamankan file-file web anda.Tetap hati-hati dan waspada, karena keamanan website tergantung anda sendiri yang mengelolanya, semoga bermanfaat dan berguna buat anda. Pasti kalian langsung kaget jika web kita, ketika dibuka langsung 404 Forbidden. sama halnya saya, barusan saya iseng-iseng buka web domain pribadi saya, ternyata ketika saya buka langsung 404 Forbidden, bingung, panik, dan langsung cari cara buat benerin tuh eror. sebenarnya mau saya biarin beberapa hari kali aja 6 hari kedepan web bisa balik normal, tp ternyata kata temen saya gak bakalan bisa, jd harus langsung di benerin.Tapi tenang aja, gak usah hawatir, panik, atau bahkan setres gara-gara domain kita jadi 404 Forbidden. Terdapat banyak hal yang menyebabkan situs anda tidak bisa diakses. Tulisan dibawah ini akan menjelaskan bagaimana mengetahui penyebab masalahnya jika terdapat pesan-pesan error seperti "404 Not Found", "403 Forbidden", "500 Internal Server Error" dan lain sebagainya muncul dilayar browser.apaan ini yah.. Jangan panik. Masalah seperti ini memang terkadang terjadi. Mari kita cari tahu apa sebenarnya yang terjadi.
Ada 5 macam kesalahan yang biasa muncul :
1.Error 400 : Error ini disebabkan karena kesalahan syntax
2.Error 401 : Error ini disebabkan karena file yang Anda request memerlukan authentication
3.Error 403 : Error ini disebabkan karena permission file /chmod yang Anda buka tidak bisa dibaca
4.Error 404 : Error ini disebabkan karena file / halaman web yang Anda buka tidak ditemukan.
5.Error 500
: Error ini mengindikasikan bahwa terjadi masalah pada server. Sebagian besar
disebabkan karena kesalahan penulisan pada .htaccss
Jika 404 Forbidden
terjadi pada web Anda, maka lakukan langkah-langkah berikut ini untuk
menganalisa dan memperbaikinya :
1. Refresh website Anda
Cobalah tekan tombol F5
beberapa kali. Jika kadang tidak error, kemungkinan besar itu karena website
Anda menggunakan resource CPU atau RAM melebihi limit yang ditentukan oleh
hoster Anda, sehingga server akan memproteksi resource agar tidak mengganggu
pelanggan lain. Hal ini biasa terjadi pada hosting dengan CloudLinux.
2. Cek permission file
Pastikan permission untuk
file adalah maksimal adalah 644 dan untuk direktori/folder adalah 755. Anda
tidak perlu melakukan CHMOD ke 777 agar suatu direktori atau file bisa
dimanipulasi (diisi file, edit, upload dll) karena jika hosting Anda
menggunakan suExec, maka Anda bisa melakukan operasi file tersebut tanpa harus
merubah permission ke 777 yang bisa mengurangi tingkat keamanan website.
3. Cek File .htaccess
Kesalahan pada konfigurasi .htaccess juga bisa menyebabkan internal server error. Cara mengeceknya adalah dengan mengubah nama file .htaccess yang ada di directory public_html menjadi, misalnya : htaccess.txt, lau coba buka kembali website Anda. Jika sudah normal, berarti konfigurasi .htaccessnya bermasalah. Tetapi jika tetap error, berarti bukan karena file .htaccess tersebut.
4. Cek file error_log
Jika ketiga hal di atas ternyata tidak menyelesaikan masalah, coba buka file error_log yang ada di folder public_html. Jika misalnya muncul error seperti di bawah ini :
[19-Jun-2014 18:00:27 UTC] PHP Fatal error: Out of memory (allocated 262355) (tried to allocate 261900 bytes) in Unknown on line 0
[19-Jun-2014 18:01:57 UTC] PHP Fatal error: Out of memory (allocated 262355) (tried to allocate 261900 bytes) in Unknown on line 0
Itu artinya adalah script php Anda membutuhkan resources RAM melebihi batas limit yang ditentukan oleh provider hosting Anda, sehingga muncul pesan error 500. Hal ini biasa terjadi pada hosting dengan OS CloudLinux.
5. Atau cara paling mudah yaitu dengan mengedit htaccess domain kalian yang lain (jika ada domain lebih dari satu) lalu kalian copy isi dari htaccess tersebut ke htaccess domain yang 404 Forbidden. Jika Anda masih tetap tidak bisa menyelesaikan masalah ini, segera hubungi support hosting Anda.
3. Cek File .htaccess
Kesalahan pada konfigurasi .htaccess juga bisa menyebabkan internal server error. Cara mengeceknya adalah dengan mengubah nama file .htaccess yang ada di directory public_html menjadi, misalnya : htaccess.txt, lau coba buka kembali website Anda. Jika sudah normal, berarti konfigurasi .htaccessnya bermasalah. Tetapi jika tetap error, berarti bukan karena file .htaccess tersebut.
4. Cek file error_log
Jika ketiga hal di atas ternyata tidak menyelesaikan masalah, coba buka file error_log yang ada di folder public_html. Jika misalnya muncul error seperti di bawah ini :
[19-Jun-2014 18:00:27 UTC] PHP Fatal error: Out of memory (allocated 262355) (tried to allocate 261900 bytes) in Unknown on line 0
[19-Jun-2014 18:01:57 UTC] PHP Fatal error: Out of memory (allocated 262355) (tried to allocate 261900 bytes) in Unknown on line 0
Itu artinya adalah script php Anda membutuhkan resources RAM melebihi batas limit yang ditentukan oleh provider hosting Anda, sehingga muncul pesan error 500. Hal ini biasa terjadi pada hosting dengan OS CloudLinux.
5. Atau cara paling mudah yaitu dengan mengedit htaccess domain kalian yang lain (jika ada domain lebih dari satu) lalu kalian copy isi dari htaccess tersebut ke htaccess domain yang 404 Forbidden. Jika Anda masih tetap tidak bisa menyelesaikan masalah ini, segera hubungi support hosting Anda.
Semogga Bermanfaat
No comments:
Post a Comment