Menjadi seorang Admkinistrator ataupun pengembang sebuah website
adalah tugas yang sangat berat sekali. Hal ini karena seorang Admin
harus bisa menjaga website yang dikelolahnya dari serangan hacker. Untuk
itu profesi seorang admin sangat susah, tetapi bisa diminimalisir
menjadi lebih mudah jika kita paham tentang apa profesi kita.
Untuk
itu dikesempatan kali ini saya sempatkan untuk share Cara
Mengatasi/Melindungi Website dari Serangan Hacking sebagai bahan
pembelajaran kita bersama yang saya kutip dari blog tetangga. Baiklah,
buat sobat yang membutuhkan Cara Mengatasi/Melindungi Website dari
Serangan Hacking, silahkan langsung saja disimak, cekidot...
Cara Mengatasi/Melindungi Website dari Serangan Hacking :
1) Login ke cPanel, pastikan ’Last Login From’ tercantum IP publik anda
Langkah
pertama adalah mengecek pada bagian “Last login from” melalui panel
kontrol anda. Pastikan harus selalu tercantum alamat IP publik dari
mana terakhir kali anda melakukan login. Bagaimana cara menemukan IP
publik kita? Cara termudah adalah dengan membuka situs domain checker
semacam http://who.is. Biasanya tepat pada portalnya akan muncul tulisan
Your IP is 183.7.xxx.xxx. Itulah alamat IP publik anda. Kembali lagi
jika pada “Last login from” tercantum alamat IP lain yang tidak anda
ketahui, catat. Hal ini berbahaya sebab logikanya jika alamat IP lain
bisa login ke kontrol panel kita, berarti mereka memiliki username,
password, dan semua akses ke situs kita. Dan inilah indikasi awal bahwa
website kita mendapat serangan.
2) Menyalakan fitur Log Archiving
Website
akses log menyimpan rekaman mendetail tentang siapa yang melakukan
koneksi ke situs kita, baik melalui HTTP (pengunjung normal) maupun
melalui FTP (transfer file). Umumnya, log tersebut dihapus setiap
harinya. Padahal peranan akses log sangatlah penting. Agar akses log
tidak terhapus, lakukan langkah berikut:
1. Login ke cPanel > Raw Log Manager
2. Cek pada kotak “Archive Logs”.
3. Uncek pada kotak “Remove the previous month’s archived logs”
4. Klik Save
Dengan
demikian Archive Log akan memaksa setiap log agar disimpan. Jika
Archive Log dinyalakan maka setiap traffic akses akan terekam, termasuk
serangan. Dan percayalah, dengan mempelajarinya akan berguna bagi anda
untuk melakukan evaluasi sekuriti website anda.
3) Langkah darurat; segera offline kan website anda
Jika
halaman anda terinfeksi virus yang memiliki kemungkinan virus tersebut
bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung
anda dan juga reputasi anda. Yaitu dengan membuat website anda berstatus
offline. Bisa dengan menambahkan beberapa baris kode pada .htaccess,
maupun mengupload tampilan halaman under construction. Jika anda
melakukannya dengan segera, anda memiliki kemungkinan untuk
menghindarkan situs anda mendapat predikat “This site may harm your
computer” dari Google. Selain itu, penyerang biasanya telah menginstal
backdoor script pada halaman index anda yang memungkinkan mereka untuk
kembali ke server anda. Menetapkan status offline pada situs anda
sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat
penyerang tidak bisa masuk melalui backdoor yang telah diinstal.
4) Semua administrators situs melakukan scan pada PC masing-masing
Fakta
bahwa di tahun 2009, penyebab nomor satu dari hacking website adalah PC
webmaster yang terinfeksi oleh malware. Malware semacam gumblar, dan
martuz (yang telah kita bahas pada edisi sebelumnya, red.) bertindak
sebagai jembatan dalam mencuri informasi login FTP dan mengirimkannya ke
komputer remote. Komputer remote inilah yang kemudian menyuntik halaman
website korban dengan JavaScript atau iframes tersembunyi yang
mengarahkan pengunjung website korban ke website berbahaya yang
menyimpan gumblar dan martuz lainnya. Untuk menghindarinya, pastikan
setiap orang yang memiliki akses password ke website anda melakukan
setidaknya dua kali scan antivirus dan antispyware pada local komputer
masing-masing dengan scanner yang bervariasi. Karena selama PC webmaster
terinfeksi, mengubah password situs tidak akan berpengaruh sama sekali.
Bukankah password baru dengan mudah dapat dicuri lagi?
5) Ganti semua password anda
Setelah
PC administrator bebas dari virus dan spyware, gantilah semua password
yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi
database, email akun, dan halaman administrator anda. Pergunakan
kombinasi password yang kuat. Yaitu password yang tidak mudah ditembus
karena mengandung kombinasi kata, angka, dan karakter yang rumit.
6) Upgrade semua third party script ke versi terbaru
Sesuai
yang pernah kita bahas pada edisi sebelumnya bahwa serangan semacam
Remote File Inclusion (RFI) memanfaatkan vulnerability pada script versi
lama dari script third party kita untuk menyusup ke dalam situs kita.
Dan satu-satunya cara untuk menangkal serangan RFI ini adalah
menggunakan versi terbaru dari script third party yang telah memiliki
kekebalan terhadap RFI. Baik plugin, addon website hingga Content
Management System (CMS) anda, segera upgrade ke versi terbaru. Jika anda
menggunakan CMS semacam Joomla maupun WordPress, anda bisa mengikuti
perkembangan rilis terbaru melalui situs resmi masing-masing CMS yang
anda pakai. Update versi WordPress bisa dicek melalui wordpress.org,
Joomla pada joomla.org, dan sebagainya. Cek juga situs secunia.com,
sebuah situs yang berisi laporan sekuriti setiap third party script.
Halaman situs secunia.com mendaftar kerentanan yang ditemukan pada
plugin atau addon. Dengan mengecek di halaman tersebut, anda mengetahui
apakah third party script yang anda pergunakan aman atau terdapat
vulnerability di dalamnya.
7) Cek kode PHP anda untuk menemukan lubang sekuriti
Jika
anda mencurigai bahwa script yang anda tulis sendiri mungkin saja
memiliki kerentanan sekuriti, cara teraman adalah dengan berhenti
mempergunakan script tersebut hingga anda telah memeriksanya dengan
sangat teliti. Setelah membuat kopian lokal untuk anda sendiri, hapus
scriptnya dari server. Karena selama script masih ada di dalamnya,
setiap orang yang telah mengetahui letak lubang sekuritinya tetap bisa
mengakses dan mengeksploitasinya.
8 ) Temukan dan perbaiki semua script berbahaya yang anda temukan
Anda
bisa mengidentifikasi file apa yang dihack dengan mengecek setiap file
mencurigakan melalui File Manager di cPanel anda. File yang mencurigakan
memiliki kriteria sebagai berikut:
Halaman dengan tanggal modifikasi lebih baru dari terakhir kali anda menyimpannya.
File
baru dengan nama dan lokasi yang mencurigakan. Beberapa hack menginstal
file dengan nama seperti hacked.html atau vulnerable.php, dan
sebagainya. Nama lainnya mungkin hanya tersusun secara acak. Beberapa
file terinstal di lokasi yang membuatnya tampak mencurigakan, misal
sebuah file .php di dalam folder /images. Jika anda menemukan file-file
tersebut, cek tanggalnya dan cari file lain dengan tanggal yang sama
untuk menemukan file apa saja yang mungkin terinfeksi. Sayangnya, anda
tidak bisa begitu saja menghapus semua file yang bukan milik anda.
Beberapa adalah file sistem yang belum pernah anda ketahui sebelumnya.
Jika anda ragu, lakukan pencarian Google dengan nama file tersebut, atau
post sebuah pertanyaan pada forum tertentu.
Cek direktori root
anda (“/”) dan subdirektorinya untuk menemukan file yang berbahaya.
Bahkan jika anda menghapus semua konten di public_html anda dan
mempublish ulang situs anda, hal tersebut tidak akan menulis ulang
direktori diatas dan setara public_html. Untuk itulah anda perlu
melakukan pengecekan manual pada area root direktori juga.
Ada
lagi cara termudah untuk memperbaiki situs kita jika kita tidak memiliki
kemampuan koding yang mumpuni. Yaitu dengan mereplace website kita
dengan backup segar yang kita ketahui bersih. Tetapi dengan melakukannya
sama saja dengan menghancurkan bukti yang mungkin kita perlukan untuk
menemukan bagaimana serangan terjadi dan bagaimana cara mencegahnya
terjadi lagi. Untuk itu sebelumnya anda bisa membuat kopian dari situs
yang dihack, sehingga bisa anda pelajari kemudian.
9) Cek bahwa file atau permission folder anda sudah secure
Melalui
File Manager, pastikan permission dari folder dan file anda sudah
sebagaimana mestinya. 755 untuk folder, dan 644 untuk file. Permission
seperti 777 dan 666 yang identik dengan world-writable harus dicurigai.
Jika anda menemukan permission world-writable pada sebuah file atau
folder, segera lakukan pengecekan karena di sanalah area dimana
penyerang bisa mengoprek halaman tersebut dengan mudah. Jika anda tidak
menemukan alasan yang sangat kuat mengapa harus melonggarkan permission
pada suatu file atau folder, maka rapatkan kembali permissionnya menjadi
755 atau 644.
10) Ganti lagi semua password anda
Untuk
menghindari seseorang “mengintip” ke dalam situs kita ketika kita
melakukan penggantian password sebelumnya, maka setelah memastikan situs
kita bersih, lakukan penggantian password kembali. Tentunya tetap
dengan mempergunakan kombinasi serumit mungkin.
11) Blok akses IP yang menyerang anda
Setelah
anda mengetahui IP yang melakukan login tanpa izin seperti pada langkah
pertama dan kedua pada artikel ini, blok akses terhadap IP tersebut
melalui salah satu fitur IP Deny Manager di cPanel.
12) Pentingkah untuk melaporkan penyerang secara legal?
Hacking
adalah pelanggaran terhadap aturan dan layanan semua webhosting ataupun
ISP. Jika anda bisa membuktikan secara akurat bahwa seseorang
menggunakan sebuah IP address tertentu untuk melakukan hacking, anda
dapat melaporkan insiden ini kepada webhosting atau ISP dengan harapan
bahwa mereka akan menutup akun pelaku. Tetapi biar bagaimanapun, bahkan
jika anda berhasil, sama saja seperti membunuh seekor semut. Karena
faktanya bahwa perharinya terdapat jutaan request berbahaya yang
diluncurkan kepada jutaan website oleh ribuan server berbahaya. Jika
satu server dimatikan, tidak berpengaruh apapun terhadap penyerang. Toh
mereka masih memiliki ribuan server lainnya. Daripada menghabiskan waktu
untuk membalas dengan melaporkan penyerang kepada pihak berwajib, ada
baiknya kita meluangkan waktu kita untuk terus meningkatkan pendalaman
mengenai ilmu sekuriti website kita. Dan meningkatkan kesadaran bahwa
setiap saat pasti akan ada gelombang besar serangan terhadap website
kita.
