Bagaimana Cara Mencari Celah Keamanan Website “Vulnerable” dengan Mudah?

Mengapa Mencari Celah “Vulnerability” di WordPress itu Penting?
Penelitian oleh Sucuri Labs di tahun 2019 menunjukkan bahwa 60% website yang terinfeksi bermula dari adanya celah keamanan.
Masih dari penelitian yang sama, ditemukan bahwa WordPress adalah CMS (Content Management System) yang paling banyak terinfeksi (sebanyak 94%).

grafik infeksi website pada cms

Walaupun memang, hasil di atas penyebabnya karena jumlah pengguna WordPress yang paling banyak (52%) dibandingkan pengguna CMS lain. Tapi tidak bisa dipungkiri, situs-situs di WordPress memang butuh pengamanan ekstra.

Berikut beberapa alasan mengapa mengecek kelemahan di website WordPress sangat penting untuk dilakukan:

  • Tindakan pencegahan – Setiap harinya website Anda terancam diserang. Penelitian menunjukkan bahwa satu serangan hacker terjadi di setiap 37 detik.
  • Kredibilitas – Bayangkan Anda adalah seorang pengunjung. Tentu Anda akan ragu untuk kembali ke website WordPress yang memiliki tingkat vulnerability tinggi, bukan?
  • Menghindari kerugian – Tahukah Anda? Pada tahun 2018, jumlah kerugian yang ditimbulkan oleh serangan siber mencapai lebih dari satu triliun US Dollar.

Bagaimana Cara Mencari Celah “Vulnerability” di Website WordPress?
Cara yang digunakan untuk menemukan celah keamanan website bisa berbeda tergantung dari jenis hosting yang Anda gunakan.

Contohnya, hosting yang bersifat fully managed seperti shared hosting tidak memungkinkan Anda untuk memiliki akses khusus ke servernya. Akan tetapi, pengelolaannya sudah ditanggung oleh penyedia hosting. Sehingga, penanganan celah keamanannya menjadi lebih mudah.

Berbeda dengan hosting self-managed seperti VPS atau Dedicated hosting. Walaupun pengelolaannya bisa Anda tangani sendiri, Anda mesti mempertimbangkan berbagai kewajiban yang harus ditanggung saat mengurus server sendiri.

Oleh karena itu, selanjutnya kami akan menjelaskan cara mencari celah keamanan website vulnerable berdasarkan tipe hosting yang fully managed dan self-managed.

Menangani Celah Keamanan Website di Fully Managed Hosting
Fully managed hosting hanya memungkinkan Anda untuk mencari celah keamanan di level website. Sehingga, Anda tidak bisa melakukan audit keamanan yang lebih mendalam.

Pilihan terbaik yang bisa Anda lakukan di tahap ini adalah memanfaatkan website vulnerability scanner. Contoh alat yang bisa Anda gunakan adalah free website security check dari Sucuri.

Alat ini akan menampilkan status website Anda, khususnya jika terserang malware dan terkena blacklist oleh mesin pencari.

Selain itu, tingkat keamanan website Anda juga akan diukur dengan menggunakan skala – dari tingkat minimal hingga critical.

free security check dari sucuri untuk mengecek wordpress vulnerability

Nah, apa yang harus dilakukan jika ternyata website Anda terserang oleh malware?

Tak usah khawatir, ada banyak plugin keamanan website yang tersedia di direktori plugin WordPress. Dalam kasus ini, Anda bisa menggunakan plugin Sucuri atau WordFence untuk membersihkan website Anda dari infeksi malware.

banner wordfence plugin

Ingin tahu lebih detail tentang cara membasmi malware pada website? Anda bisa mengunjungi artikel kami yang membahas tentang penanganan malware.

Setelah membersihkan malware, bisa jadi website Anda masih terkena blacklist dari Google.

Solusinya, Anda bisa meminta Google untuk me-review website Anda melalui Google Search Console. Namun ingat, ini hanya bisa dilakukan jika website Anda sudah terverifikasi di Google Search Console.

Mencari Celah Keamanan Website di Self-Managed Hosting
Dengan Self-managed hosting, Anda punya kendali penuh atas pengelolaan server website Anda. Jadi, Anda bisa mencari celah keamanan secara lebih detail melalui audit keamanan.

Audit keamanan sendiri terdiri dari tiga tahap, yaitu: audit server, audit database, dan audit CMS. Berikut adalah ulasannya:

Audit Server
Yang pertama perlu Anda lakukan adalah mengaudit servernya terlebih dahulu. Sehingga, website Anda memiliki dasar yang aman. Ini adalah langkah-langkah yang perlu Anda tempuh saat melakukan audit server:

  • Memperbarui PHP dan MySQL – keduanya merupakan software backend yang esensial dalam pengembangan website serta manajemen database. Versi PHP dan MySQL yang tidak diperbarui berpotensi membuka celah keamanan.
  • Menginstall security update terbaru – jika sistem operasi Anda menawarkan update security terbaru, usahakan untuk segera menginstalnya.
  • Mengamankan traffic jaringan – pasang firewall di setiap port, kecuali pada port-port yang menangani jaringan aplikasi dan service yang penting.
  • Menggunakan FTP yang lebih aman – gunakan protokol yang lebih aman seperti SFTP (Secure File Transfer Protocol). Sehingga, informasi yang ditransfer akan dienkripsi secara otomatis untuk menghindari gangguan dari pihak ketiga.
  • Melakukan backup – untuk mengatasi kemungkinan terburuk (kehilangan data atau informasi penting), lakukan backup secara berkala. Pilihan terbaik adalah melakukan backup harian.

Audit Database
Selanjutnya, Anda perlu melakukan audit database untuk melindungi data website Anda. Berikut adalah caranya:

  • Menyaring input pengguna – pengguna biasanya memasukkan input melalui form. Jika tidak disaring, hacker bisa memasukkan data yang dapat menembus database (dan menimbulkan masalah seperti SQL Injection). Gunakan plugin seperti Ninja Forms untuk mengatasinya.
  • Membatasi akses database – ketika akses database tidak dibatasi, akan ada kemungkinan infeksi di satu database akan menyebar ke database lain.
  • Menggunakan SSL (Secure Socket Layer) – melakukan transfer informasi di website yang terlindungi SSL akan lebih aman, karena datanya akan dienkripsi secara otomatis.

Audit Aplikasi dan CMS
Terakhir, Anda harus melakukan audit pada bagian terluar – yaitu aplikasi dan CMS:

  • Update CMS Anda – versi CMS yang baru akan memiliki tingkat keamanan yang lebih baik. Jangan lupa untuk memperbarui plugin dan temanya juga.
  • Gunakan Captcha – Captcha berfungsi untuk menyaring komentar-komentar spam. Pasanglah di setiap form yang Anda buat.
  • Pakailah password yang kuat – Anda bisa menggunakan kombinasi angka, simbol, dan huruf kapital untuk membuat password yang lebih kuat. Sebagai perlindungan tambahan, gunakan two factor authentication pada website WordPress Anda.
  • Batasi permintaan login – serangan brute force (usaha untuk menembus akun dengan cara login berulang-ulang) adalah salah satu ancaman serius bagi pengguna website WordPress. Hindari dengan cara membatasi permintaan login.
  • Nonaktifkan debugging – debugging adalah proses identifikasi dan perbaikan kerusakan di software dan hardware. Jika Anda sedang tidak melakukannya, dinonaktifkan saja. Karena, proses ini memungkinkan pengguna untuk memasukkan skrip dan konten ke dalam sistem.