10 Praktik Terbaik Keamanan Web Hosting yang Harus Diikuti pada tahun 2020
Diterbitkan: 2022-04-28Ancaman mengikuti tren dan berkat ledakan digital yang telah menyebar ke seluruh dunia, hosting situs web saat ini menjadi semakin berbahaya.
Ini bahkan lebih buruk mengingat kebanyakan orang yang memiliki situs web mencoba memonetisasinya, artinya ada potensi dampak yang signifikan.
Bahkan ketika Google tahun lalu memperingatkan fokus yang ditingkatkan pada kesiapan seluler untuk situs web, 2018 juga melihat serangan malware seluler berlipat ganda. Meskipun ini secara khusus mungkin hanya terkait secara longgar, tren umum ancaman keamanan siber yang mengikuti kerumunan dapat dilihat.
Keamanan hosting web dapat menjadi tantangan, terutama untuk situs web yang lebih kecil dengan sumber daya yang terbatas. Lagi pula, jika bahkan lembaga keuangan dengan anggaran keamanan siber multi-miliar dolar dapat dilanggar, apa harapan bagi kita semua, bukan?
Tidak sepenuhnya benar.
Menyerah dan mengabaikan ancaman dunia maya hanya karena Anda berpikir Anda tidak memiliki sumber daya untuk mengatasinya adalah sebuah kesalahan. Serangan siber menghabiskan lebih banyak waktu dan sumber daya untuk menembus target bernilai tinggi karena ada potensi bayaran besar.
Namun, untuk situs yang lebih kecil, menjaga segala sesuatunya dalam perspektif dan mengikuti praktik terbaik keamanan hosting web standar seharusnya cukup untuk mengurangi sebagian besar masalah. Yah, kecuali jika Anda telah membuat seseorang sangat marah dengan Anda, untuk beberapa alasan.
Hari ini saya akan berbagi dengan Anda beberapa praktik terbaik keamanan hosting web serta menawarkan tip yang dapat ditindaklanjuti yang dapat Anda coba untuk memperkuat pertahanan Anda.
Tidak dapat mengakses situs Anda? Apakah Anda telah diretas? Kehilangan kata sandi Anda atau seluruh akun? Apakah file inti Anda terganggu? Skrip Pemulihan Darurat gratis akan menyelesaikan mimpi buruk Anda dengan satu klik.
10 Praktik Terbaik Keamanan Web Hosting yang Harus Diikuti
1. Tetap menggunakan Penyedia Hosting Web Terkemuka
Penyedia hosting web Anda memainkan peran yang jauh lebih besar dalam keamanan situs web Anda daripada yang mungkin Anda pikirkan. Dari ruang fisik situs web Anda pada lalu lintas yang masuk dan keluar dari situs web Anda, penyedia hosting web Anda memainkan peran yang sangat dekat dengan keamanan Anda.
Misalnya, seringkali web host yang menangani item baris standar seperti anti-virus dan anti-malware. Beberapa penyedia web hosting juga menawarkan anti-spam, backup otomatis dan sistem pemulihan dan jika Anda beruntung, bahkan menggunakan Jaringan Distribusi Konten (CDN).
Tip : Jadikan keamanan sebagai faktor pertimbangan utama Anda saat memilih host web. Jika Anda telah menghosting situs untuk beberapa waktu sekarang dan telah berkembang ke titik di mana Anda dapat membenarkan pindah ke akun hosting VPS, saya sarankan Anda melakukannya sesegera mungkin. Hosting VPS menawarkan fitur keamanan yang jauh lebih baik daripada akun hosting bersama standar.
2. Gunakan CDN
Seperti yang saya sebutkan di atas, beberapa web host bekerja dengan CDN tetapi jika tidak, Anda juga dapat melakukannya sendiri. CDN membantu menyajikan halaman web Anda lebih cepat kepada pengunjung dengan menghosting cache situs Anda di server di seluruh dunia. Saat akses ke situs Anda diminta, CDN pertama-tama akan menyajikan data yang di-cache dari lokasi terdekat dengan tempat permintaan itu.
Namun, selain keunggulan kecepatan, CDN juga memanfaatkan jaringan server besar untuk menawarkan apa yang disebut penyeimbangan beban. Ini berarti bahwa dengan menggunakan CDN, Anda menggunakan sebagian sumber daya server mereka dan Anda dapat mengelola lebih banyak pengunjung.
Itu terkait dengan bagian terbaik dari penggunaan CDN, pencegahan serangan Distributed Denial of Service (DDoS). Serangan DDoS mencoba membanjiri dan mematikan situs web dengan membanjiri mereka dengan permintaan hingga server dimatikan. Namun CDN dirancang untuk memperkuat keamanan dengan mengimbangi ini melalui jaringan server mereka.
Tip : Coba gunakan Cloudflare sebagai CDN Anda. Ada akun gratis yang tersedia dengan fitur dasar dan Anda dapat meningkatkannya saat kebutuhan Anda berubah.
3. Selalu Gunakan Sertifikat SSL
Sertifikat Secure Sockets Layer (SSL) membantu memastikan pengunjung Anda bahwa setiap informasi yang mereka bagikan di situs Anda dienkripsi dan akan aman. Saat ini, SSL menjadi sangat penting sehingga browser Internet utama akan memperingatkan pengguna jika sebuah situs tidak menggunakan SSL.
Ada beberapa jenis sertifikat SSL dan harga untuk masing-masingnya berbeda-beda. Yakinlah bahwa jika Anda menjalankan situs pribadi atau bahkan untuk bisnis kecil, Anda dapat dengan mudah menggunakan sertifikat SSL gratis. Mereka mudah didapat dan dipasang; bahkan, Anda dapat melakukannya dalam beberapa klik di Plesk atau cPanel.
Tip : Anda bisa mendapatkan sertifikat SSL gratis dari Let's Encrypt baik langsung dari mereka, tetapi lebih baik jika host web Anda menawarkan layanan ini. Semoga web host hari ini akan memungkinkan pemasangan SSL gratis Let's Encrypt dengan mudah.
4. Selalu Simpan Cadangan
Pencadangan dan Pemulihan Otomatis dengan WPX Hosting
Meskipun ada host web yang menawarkan fitur pencadangan dan pemulihan, beberapa masih tidak. Terlepas dari ini, Anda harus selalu melakukan pencadangan sendiri dan menyimpan satu set file offline, untuk berjaga-jaga. Ini mungkin terdengar sedikit membosankan bagi Anda, tetapi Anda tidak tahu bagaimana host Anda menyiapkan sistem cadangannya atau apa yang mungkin terjadi dalam bencana. Menyimpan cadangan offline (dari file dan database Anda!) dapat menjadi penyelamat hidup.
Tip : Mengotomatiskan proses pencadangan offline lebih mudah dari yang Anda kira, terutama jika Anda menggunakan WordPress. Gunakan plugin cadangan UpdraftPlus dan Anda dapat mencadangkan dari jarak jauh pada frekuensi apa pun ke tujuan pilihan Anda. Anda mungkin juga ingin memeriksa layanan pencadangan ini untuk WordPress
5. Perkuat Kata Sandi
Anda pernah mendengarnya, melihatnya terjadi di film dan mungkin bersalah karena melakukannya sendiri, tetapi menggunakan kata sandi yang mudah diingat adalah resep bencana. Peretas saat ini cukup canggih sehingga mereka memiliki seluruh file yang disebut kamus yang penuh dengan kata sandi yang umum digunakan yang akan mereka uji terhadap pertahanan situs.
Untuk menempatkan segala sesuatunya ke dalam perspektif, botnet dapat memaksa kata sandi enam karakter dalam waktu sekitar empat jam. Ingatlah bahwa ini semua otomatis, jadi saat Anda dan penyerang dunia maya sedang tidur, bot terus mencoba membobol situs web.
Tips : Gunakan kata sandi yang lebih panjang dan kompleks yang sebaiknya terdiri dari campuran karakter huruf besar dan kecil, angka dan karakter khusus.
6. Enkripsi Koneksi Anda Sendiri
Karena Anda adalah pemilik situs web Anda, koneksi Anda ke akun hosting web Anda harus dijaga lebih aman daripada koneksi dari pengunjung Anda. Saya sarankan Anda mentransfer file menggunakan Secure File Transfer Protocol (SFTP) atau melalui koneksi Virtual Private Network (VPN).
Metode mana pun akan membantu mencegah siapa pun mencoba mencegat dan mencuri data yang Anda kirim ke server web Anda. Secara pribadi, saya merekomendasikan menggunakan VPN, meskipun biayanya biasanya lebih tinggi daripada menggunakan klien SFTP. VPN bekerja dengan mengenkripsi semua yang dikirim dari komputer Anda sehingga mencakup semua skenario!
Tip : Jika VPN bukan pilihan Anda, ada banyak klien SFTP gratis yang tersedia untuk digunakan. Saya merekomendasikan FileZilla yang sangat kuat dan open source.
7. Perbarui Segalanya
Salah satu cara penyerang mencoba untuk mendapatkan akses ke situs web adalah dengan memanfaatkan kelemahan yang diketahui dalam perangkat lunak. Hampir semua perangkat lunak memiliki semacam bug atau celah dan banyak yang terus diperbarui untuk memblokir celah ini saat pengembang menemukannya.
Pastikan Anda memperbarui semua perangkat lunak yang Anda gunakan untuk situs web Anda jika memungkinkan. Jika Anda menggunakan WordPress, pastikan bahwa tidak hanya instalasi WordPress Anda yang selalu diperbarui, tetapi juga setiap plugin atau tema yang telah Anda instal.
Tip : Beberapa web host menawarkan pembaruan sekali klik untuk situs WordPress yang memungkinkan Anda memperbarui dengan cepat tidak hanya satu situs, tetapi semua situs Anda yang dihosting di bawah akun Anda.
8. Manfaatkan File Konfigurasi Server
Jenis file konfigurasi server yang perlu Anda tangani tergantung pada platform hosting web yang Anda gunakan. Misalnya, Apache menggunakan .htaccess sementara Microsoft menggunakan file web.config. File konfigurasi ini sangat kuat dan dapat digunakan untuk meningkatkan keamanan situs Anda.
Dengan menambahkan aturan yang tepat ke file konfigurasi server Anda, Anda dapat mencegah penjelajahan direktori, menghentikan orang lain dari hotlinking ke gambar di situs Anda dan bahkan melindungi file tertentu.
Tip : Jika Anda tidak yakin server web apa yang Anda gunakan, Anda dapat memeriksanya dengan sangat cepat di sini.
9. Perhatikan Izin File
File memiliki beberapa properti yang menentukan apa yang dapat dilakukan pengguna terhadapnya dan oleh siapa. Pada dasarnya, ada tiga peran yang dapat berinteraksi dengan file; pemilik, kelompok, dan publik. Hal-hal yang dapat mereka lakukan dengan file adalah membaca, menulis, atau menjalankannya.
Untuk benar-benar mengamankan situs Anda, pelajari apa file penting itu dan periksa izin yang ditetapkan masing-masing file tersebut. Izin file yang tidak ditentukan dengan benar dapat memungkinkan siapa pun yang memiliki akses ke sana untuk menambahkan kode berbahaya yang dapat membahayakan situs Anda.
Tip : Izin file 666 memungkinkan siapa pun untuk menulis apa pun ke file Anda – berhati-hatilah dalam menggunakan pengaturan ini!
10. Gunakan Otentikasi Dua Faktor
Terkait dengan item #5, tidak peduli seberapa panjang atau rumitnya kata sandi, tetap berpotensi untuk dibobol. Jika ini benar-benar fobia Anda, saya akan sangat menyarankan Anda mencari sistem 2 Factor Authentication (2FA).
Menggunakan 2FA berarti bahwa selain kata sandi Anda, sistem yang ingin Anda akses harus memeriksa identitas Anda melalui cara lain. Metode 2FA tercepat dan umum adalah mengautentikasi melalui kode seluler.
Setelah kata sandi Anda diverifikasi, sistem akan mengirimkan kode ke perangkat seluler Anda dan menampilkan kode otentikasi kepada Anda. Anda harus memasukkan kode itu ke dalam sistem sebelum mendapatkan akses. Ini sangat meningkatkan keamanan sistem Anda.
Tip : Ada banyak sistem 2FA yang tersedia di pasaran. Jika Anda menggunakan WordPress bahkan ada beberapa yang gratis yang dapat Anda coba seperti Google Authenticator.
Kesimpulan: Bicaralah dengan Lembut dan Bawa Tongkat Besar
Meskipun di sini saya telah memberikan 10 contoh praktik terbaik keamanan hosting web, ada lebih banyak lagi dan beberapa mungkin melibatkan lebih dari satu item yang dapat Anda lakukan atau perhatikan untuk ditingkatkan. Karena itu, mungkin sulit bagi pemilik situs web untuk melacak semuanya – terutama jika itu bukan bisnis inti Anda.
Saya sarankan Anda membuat daftar periksa di mana Anda mencantumkan semua yang perlu dipantau dan memisahkannya berdasarkan frekuensi. Misalnya, item apa yang perlu Anda periksa harian, mingguan, atau bulanan. Ini akan membantu Anda menjaga kecepatan.
Ingatlah bahwa Anda tidak harus memiliki keamanan situs web yang sempurna – itu tidak mungkin. Yang benar-benar perlu Anda lakukan adalah membuat segala sesuatunya sesulit mungkin bagi penyerang mana pun sehingga mereka kehilangan minat pada situs Anda dan beralih ke pilihan yang lebih mudah.
Seperti yang dikatakan Teddy Roosevelt, "berbicaralah dengan lembut dan bawa tongkat besar" Pertahanan keamanan Anda adalah tongkat besar Anda, boleh dikatakan.