Ahli Semalt: Cara Jitu Untuk Melindungi Situs Dari Peretas
Kebanyakan orang berpikir situs web mereka tidak perlu diretas. Situs web dapat dikompromikan oleh peretas untuk menggunakan server untuk mengirimkan spam atau menggunakannya sebagai server sementara untuk meng-host file ilegal. Peretas menargetkan server situs web untuk menambang bitcoin, bertindak sebagai botnet, atau permintaan ransomware. Peretas menggunakan skrip otomatis untuk menembus internet dalam upaya untuk mengeksploitasi kerentanan dalam perangkat lunak.
Berikut adalah beberapa tips yang disiapkan oleh Igor Gamanenko, Manajer Sukses Pelanggan Semalt , untuk melindungi Anda dan situs web Anda.
Perangkat lunak terbaru
Perangkat lunak yang mengoperasikan server dan perangkat lunak pendukung apa pun harus diperbarui secara berkala. Kerentanan apa pun dalam perangkat lunak ini memberi peretas jalan lebih mudah untuk memanipulasi dan memanifestasikan motif buruk mereka. Jika perusahaan hosting mengelola situs web Anda, maka Anda tidak perlu khawatir karena perusahaan tuan rumah harus menjaga keamanan web. Semua aplikasi pihak ketiga harus diperbarui secara berkala untuk menerapkan tambalan keamanan baru.
Injeksi SQL
Peretas menggunakan serangan injeksi untuk memanipulasi basis data situs web. Menggunakan Transact SQL standar membuatnya lebih mudah untuk tanpa sadar menyisipkan kode berbahaya ke dalam kueri yang dapat digunakan untuk memanipulasi tabel atau menghapus data. Untuk menghindarinya, selalu gunakan kueri yang parameter seperti yang digambarkan di bawah ini:
$ stmt = $ pdo-> ready ('SELECT * FROM table WHERE kolom =: value');
$ stmt-> execute (array ('value' => $ parameter));
Skrip lintas situs
Bentuk-bentuk serangan ini menyuntikkan kode JavaScript jahat ke halaman web, yang berjalan pada browser internet secara anonim, dan dapat mengubah konten web, atau mencuri informasi sensitif untuk dikirim kembali ke peretas. Administrator situs web harus memastikan bahwa pengguna tidak dapat berhasil menyuntikkan konten JavaScript di halaman Anda. Menggunakan alat-alat seperti Kebijakan Keamanan Konten mengarahkan browser web untuk membatasi bagaimana dan apa yang dijalankan JavaScript pada halaman.
Pesan kesalahan
Administrator situs web harus berhati-hati pada informasi yang ditampilkan dalam pesan kesalahan Anda. Hanya berikan kesalahan terbatas kepada pengguna Anda, untuk memastikan bahwa mereka tidak memberikan data rahasia di server Anda seperti kata sandi atau kunci API.
Kata sandi
Sangat penting untuk menggunakan kata sandi yang kompleks untuk mengakses bagian server atau situs web admin Anda. Pengguna juga harus didorong untuk menggunakan kata sandi yang kuat untuk mengamankan akun mereka. Kombinasi huruf besar, huruf kecil, angka dan karakter khusus merupakan kata sandi yang aman. Kata sandi harus disimpan menggunakan algoritma hashing. Keamanan situs web dapat ditingkatkan dengan menggunakan garam baru dan unik per kata sandi.
Unggah file
Untuk mencegah upaya peretasan, disarankan untuk menghindari akses langsung ke file yang diunggah. File apa pun yang diunggah ke situs web Anda harus disimpan dalam folder terpisah di luar Webroot. Skrip lain harus dibuat untuk mengambil file dari folder pribadi dan memanfaatkannya untuk browser.
HTTPS
Ini adalah protokol, yang menyediakan keamanan melalui web. Ini menjamin pengguna bahwa mereka mengakses server yang mereka harapkan dan tidak ada peretas yang dapat mencegat konten yang mereka transit. Situs web yang mendukung kartu kredit atau formulir pembayaran lainnya harus menggunakan cookie asli yang dikirim bersama permintaan pengguna apa pun. Ini membantu untuk mengotentikasi permintaan sehingga mengunci serangan.
Gunakan alat keamanan situs web
Setelah Anda melakukan semua tindakan di atas, menguji keamanan situs web Anda sangat penting. Cara terbaik dilakukan dengan menggunakan alat pengujian penetrasi, yang meliputi Netsparker, OpenVAS, Security Headers.io dan Xenotix XSS Exploit Framework. Hasil dari penggunaan alat ini menghadirkan berbagai potensi kekhawatiran dan kemungkinan solusi lanjutan.