Perkembangan internet yang pesat, disadari atau tidak, turut menyertakan ancaman dibaliknya.
Kehidupan digital yang semakin diadopsi banyak orang, membuat hal yang tampaknya sederhana seperti meng-host situs web menjadi tak terlepas dari intaian masalah keamanan (security).
Kondisi bisa diperburuk dengan kenyataan bahwa sebagian besar orang yang memiliki situs web mencoba memonetisasinya, yang berarti mengundang potensi gangguan keamanan yang signifikan.
Google juga turut menyatakan bahwa di tahun 2018 serangan malware seluler tercatat naik berlipat ganda.
Berbagai contoh tersebut menunjukkan bahwa ancaman keamanan siber (cybersecurity) semakin meningkat seiring meningkatnya tren kehidupan digital.
Dari sekian banyak kasus, keamanan web hosting juga perlu mendapatkan perhatian, terutama untuk situs web kecil dengan sumber daya terbatas.
Namun mungkin muncul keraguan. Jika lembaga keuangan dengan anggaran keamanan siber multi-miliar dolar bisa ditembus, apalah artinya pemilik situs kecil?
Sebuah kesimpulan yang tidak sepenuhnya benar.
Menyerah dan mengabaikan ancaman siber hanya karena berpikir kita tidak memiliki sumber daya untuk mengatasinya adalah sebuah kesalahan.
Serangan siber memfokuskan waktu dan sumber daya untuk menembus target bernilai tinggi karena ada potensi pembayaran yang besar.
Namun, untuk situs yang lebih kecil, menjaga hal-hal yang masih berada dalam jangkauan dan mengikuti praktik standar keamanan web hosting terbaik akan cukup untuk mengurangi sebagian besar masalah.
Cara Meningkatkan Keamanan Web Hosting
Selanjutnya, artikel ini akan mengulas beberapa praktik keamanan web hosting terbaik serta tips yang bisa ditindaklanjuti untuk memperkuat pertahanan situs web Anda.
1. Menggunakan Penyedia Web Hosting yang Memiliki Reputasi Baik
Penyedia web hosting memainkan peran yang jauh lebih besar dalam keamanan situs web daripada yang mungkin Anda pikirkan.
Dari pemeliharaan hardware hingga hal kecil lainnya, penyedia web hosting banyak mengambil peran untuk memastikan keamanan berada dalam tingkat maksimal.
Misalnya, web hosting adalah pihak yang menangani pekerjaan rutin seperti menyediakan dan mengupdate anti-virus dan anti-malware.
Beberapa penyedia web hosting juga menawarkan anti-spam, sistem backup dan recovery otomatis, dan jika beruntung, bahkan memanfaatkan Content Distribution Network (CDN).
Itu sebab, jadikan keamanan sebagai faktor pertimbangan utama saat memilih web host.
Jika selama ini Anda menggunakan paket shared hosting dan situs web nampak telah berkembang ke titik di mana Anda merencanakan pindah ke akun VPS hosting, maka disarankan untuk segera melakukannya.
VPS hosting diketahui menawarkan fitur keamanan yang jauh lebih baik daripada akun shared hosting standar.
2. Selalu Lakukan Backup
Banyak orang mengangap backup bukan bagian dari elemen keamanan. Sebaliknya, backup adalah salah satu hal paling dasar yang harus dilakukan.
Meskipun banyak web hosting yang menawarkan fitur backup dan restore, beberapa masih belum.
Terlepas dari ini, Anda harus selalu melakukan backup sendiri dan menyimpan satu set file offline, untuk berjaga-jaga.
Ini mungkin terdengar seperti pekerjaan yang membosankan, tetapi Anda tidak tahu bagaimana web host dalam melakukan setup sistem backup-nya atau apa yang mungkin terjadi dalam peristiwa bencana.
Menyimpan backup offline (file dan database) bisa menjadi penyelamat.
Mengotomatiskan proses backup offline sebenarnya mudah dilakukan terutama jika Anda menggunakan WordPress.
Gunakan plugin backup UpdraftPlus dan Anda dapat melakukan backup dengan frekuensi dan tempat penyimpanan sesuai pilihan.
3. Memperkuat Password
Anda mungkin sering mendengarnya, menggunakan password yang lemah menuntun pada bencana.
Saat ini, hacker telah semakin canggih sehingga mereka memiliki file yang berisi kumpulan password yang sering digunakan. Kumpulan password ini kemudian mereka gunakan untuk membobol suatu situs.
Sebagai informasi, botnet dapat melakukan brute force atau meretas kata sandi enam karakter dalam waktu sekitar empat jam.
Ingat bahwa ini dilakukan secara otomatis. Jadi saat Anda dan hacker sedang tidur, bot terus mencoba masuk ke situs web dengan mengacak dan mengkombinasikan kumpulan password.
Gunakan kata sandi yang lebih panjang dan lebih rumit serta terdiri dari campuran huruf besar dan kecil, angka dan karakter khusus.
4. Gunakan Two-Factor Authentication
Terkait dengan kekuatan password, tidak peduli tingkat kerumitannya, password masih berpotensi untuk diretas.
Jika ini menjadi kekhawatiran Anda, disarankan untuk menggunakan sistem 2 Factor Authentication (2FA).
Menggunakan 2FA berarti selain dari password, sistem yang coba diakses akan memeriksa identitas Anda melalui cara lain.
Metode 2FA tercepat dan umum adalah mengautentikasi melalui kode yang dikirim ke ponsel.
Setelah password terverifikasi, sistem akan mengirim pesan ke ponsel dan menampilkan kode otentikasi.
Anda harus memasukkan kode itu ke dalam sistem sebelum mendapatkan akses. Cara ini sangat meningkatkan keamanan sistem Anda.
Terdapat banyak sistem 2FA yang tersedia. Jika Anda menggunakan WordPress terdapat beberapa yang gratis, seperti Google Authenticator.
5. Selalu Lakukan Update
Salah satu cara yang digunakan penyerang untuk mendapatkan akses ke situs web adalah dengan mengeksploitasi kelemahan dalam software.
Hampir semua software memiliki bug atau celah sehingga developer selalu melakukan update untuk memblokir celah ketika menemukannya.
Itu sebab, pastikan Anda selalu melakukan update semua software yang digunakan pada situs web.
Jika menggunakan WordPress, pastikan tidak hanya instalasi WordPress yang harus selalu diupdate tetapi juga setiap plugin atau tema yang diinstal.
Beberapa web hosting menawarkan satu klik update untuk melakukan update pada semua situs WordPress yang di-hosting di akun Anda.
6. Gunakan CDN
Seperti yang telah disebutkan sebelumnya, beberapa web hosting menyediakan fitur CDN tetapi jika tidak, Anda bisa melakukannya sendiri.
CDN membantu menyajikan halaman web kepada pengunjung secara lebih cepat dengan menyimpan cache situs web di server di seluruh dunia.
Ketika ada pengunjung yang mengakses situs, CDN pertama-tama akan menyajikan data yang di-cache dari lokasi terdekat.
Namun, selain unggul dari sisi kecepatan, CDN juga memanfaatkan jaringan besar server untuk menawarkan apa yang disebut load-balancing.
Ini berarti dengan menggunakan CDN, Anda sebagian menggunakan sumber daya server mereka sehingga bisa mengelola lebih banyak pengunjung.
Fakta ini tersebut terkait dengan keuntungan terbesar menggunakan CDN yaitu mencegah serangan Distributed Denial of Service (DDoS).
Serangan DDoS mencoba mematikan situs web dengan membanjirinya dengan request sampai server kewalahan dan akhirnya down.
CDN dirancang untuk memperkuat keamanan dengan mengimbangi serangan ini melalui jaringan server mereka.
Untuk awalan, coba gunakan Cloudflare sebagai CDN Anda. Terdapat akun gratis yang tersedia dengan fitur-fitur dasar dan Anda dapat melakukan upgrade ketika kebutuhan meningkat.
7. Selalu Gunakan Sertifikat SSL
Browser modern akan menunjukkan kepada pengguna apakah situs web yang mereka kunjungi aman atau tidak
Sertifikat Secure Sockets Layer (SSL) membantu memastikan kepada pengunjung bahwa segala informasi yang mereka bagikan di situs Anda dienkripsi dan akan aman.
Saat ini SSL menjadi sangat penting sehingga berbagai browser internet akan memperingatkan pengguna jika sebuah situs tidak menggunakan SSL.
Terdapat beberapa jenis sertifikat SSL dengan harga bervariasi. Jika menjalankan situs pribadi atau bisnis kecil, Anda dapat dengan mudah menggunakan sertifikat SSL gratis.
SSL gratis mudah diperoleh dan diinstal. Penyedia web hosting biasanya memberikan kemudahan sehingga pengguna bisa melakukannya dengan beberapa klik di Plesk atau cPanel.
Anda bisa juga mendapatkan sertifikat SSL gratis dari Let’s Encrypt, tetapi lebih baik jika web hosting Anda menawarkan layanan ini.
Saat ini, banyak penyedia web hosting memungkinkan instalasi SSL gratis dari Let’s Encrypt.
8. Enkripsi Koneksi Anda Sendiri
Sebagai pemilik situs web, koneksi Anda ke akun web hosting harus lebih aman dibanding dari pengunjung.
Anda bisa mentransfer file menggunakan Secure File Transfer Protocol (SFTP) atau melalui koneksi Virtual Private Network (VPN).
Metode mana pun akan membantu mencegah siapa pun untuk mencegat dan mencuri data yang Anda kirim ke web server.
Menggunakan VPN dianggap lebih kuat meskipun biayanya biasanya lebih tinggi daripada menggunakan SFTP client.
VPN bekerja dengan mengenkripsi semua data yang dikirim dari komputer sehingga mencakup semua skenario perlindungan.
Namun jika VPN bukan untuk Anda, terdapat banyak SFTP client gratis yang bisa digunakan. FileZilla adalah salah satu yang populer dan dianggap sangat kuat serta bersifat open source.
9. Memanfaatkan Server Configuration File
Jenis server configuration file yang perlu ditangani tergantung pada platform web hosting yang digunakan.
Sebagai contoh, Apache menggunakan .htaccess sementara Microsoft menggunakan file web.config.
File konfigurasi ini sangat kuat dan dapat digunakan untuk meningkatkan keamanan situs Anda.
Dengan menambahkan rule yang tepat ke server configuration file, Anda dapat mencegah penelusuran direktori, menghentikan orang lain melakukan hotlinking ke gambar di situs dan bahkan melindungi file tertentu.
10. Beri Perhatian pada File Permissions
File memiliki beberapa properti yang menentukan apa yang bisa dilakukan pengguna terhadapnya dan oleh siapa.
Pada dasarnya, ada tiga peran yang dapat berinteraksi dengan file; pemilik, grup, dan publik.
Hal-hal yang dapat mereka lakukan dengan file adalah membaca (read), menulis (write) atau menjalankannya (execute).
Untuk benar-benar mengamankan situs, periksa file apa saja yang penting dan periksa izin yang ditetapkan untuk masing-masing.
File permission yang ditentukan secara tidak tepat dapat membuat siapapun yang memiliki akses menambahkan kode berbahaya yang dapat merusak situs web.
Sebagai contoh, file permission 666 memungkinkan siapapun untuk menulis apapun ke file Anda. Berhati-hatilah menggunakan setting ini!
11. Pencegahan SQLi
SQLi atau SQL injection adalah metode yang digunakan peretas dengan menyuntikkan kode jahat ke dalam kode situs web.
Ini adalah salah satu teknik tertua dan masih lazim di dunia cyber-crime.
Situs yang bergantung pada database berbasis SQL lebih rentan terhadap serangan tersebut.
Penyedia hosting terkemuka biasanya memiliki metode untuk mencegah SQL injection.
Berbagai langkah yang diambil diantaranya mengkonfigurasi WAF (Web Application Firewall), mengimplementasikan cross-site scripting dan pemeriksaan kerentanan untuk mencegah SQLi.
Selain itu, penyedia web hosting mungkin juga menggunakan jasa security brand seperti SiteLock yang memindai situs web untuk memeriksa kemungkinan kerentanan injeksi, melaporkan temuan melalui email, dan kemudian menugaskan tim untuk membasminya.[]