(jenis Hacking yang Umum Menyerang Website) kini
anda telah siap untuk beranjak ke materi baru. Yaitu bagaimana mengatasi
serangan hacking pada website. Simak langkah-langkah berikut untuk
menanggulangi serangan hacking pada website anda :
1) Login ke cPanel, pastikan ’Last Login From’ tercantum IP publik anda
Langkah pertama adalah mengecek pada bagian “Last login from” melalui
panel kontrol anda. Pastikan harus selalu tercantum alamat IP publik
dari mana terakhir kali anda melakukan login. Bagaimana cara menemukan
IP publik kita? Cara termudah adalah dengan membuka situs domain checker
semacam
http://who.is.
Biasanya tepat pada portalnya akan muncul tulisan Your IP is
183.7.xxx.xxx. Itulah alamat IP publik anda. Kembali lagi jika pada
“Last login from” tercantum alamat IP lain yang tidak anda ketahui,
catat. Hal ini berbahaya sebab logikanya jika alamat IP lain bisa login
ke kontrol panel kita, berarti mereka memiliki username, password, dan
semua akses ke situs kita. Dan inilah indikasi awal bahwa website kita
mendapat serangan.
2) Menyalakan fitur Log Archiving
Website akses log menyimpan rekaman mendetail tentang siapa yang
melakukan koneksi ke situs kita, baik melalui HTTP (pengunjung normal)
maupun melalui FTP (transfer file). Umumnya, log tersebut dihapus setiap
harinya. Padahal peranan akses log sangatlah penting. Agar akses log
tidak terhapus, lakukan langkah berikut:
1. Login ke cPanel > Raw Log Manager
2. Cek pada kotak “Archive Logs”.
3. Uncek pada kotak “Remove the previous month’s archived logs”
4. Klik Save
Dengan demikian Archive Log akan memaksa setiap log agar disimpan. Jika
Archive Log dinyalakan maka setiap traffic akses akan terekam, termasuk
serangan. Dan percayalah, dengan mempelajarinya akan berguna bagi anda
untuk melakukan evaluasi sekuriti website anda.
3) Langkah darurat; segera offline kan website anda
Jika halaman anda terinfeksi virus yang memiliki kemungkinan virus
tersebut bisa menyerang pengunjung situs anda, maka segera lindungi
pengunjung anda dan juga reputasi anda. Yaitu dengan membuat website
anda berstatus offline. Bisa dengan menambahkan beberapa baris kode pada
.htaccess, maupun mengupload tampilan halaman under construction. Jika
anda melakukannya dengan segera, anda memiliki kemungkinan untuk
menghindarkan situs anda mendapat predikat “This site may harm your
computer” dari Google. Selain itu, penyerang biasanya telah menginstal
backdoor script pada halaman index anda yang memungkinkan mereka untuk
kembali ke server anda. Menetapkan status offline pada situs anda
sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat
penyerang tidak bisa masuk melalui backdoor yang telah diinstal.
4) Semua administrators situs melakukan scan pada PC masing-masing
Fakta bahwa di tahun 2009, penyebab nomor satu dari hacking website
adalah PC webmaster yang terinfeksi oleh malware. Malware semacam
gumblar, dan martuz (yang telah kita bahas pada edisi sebelumnya, red.)
bertindak sebagai jembatan dalam mencuri informasi login FTP dan
mengirimkannya ke komputer remote. Komputer remote inilah yang kemudian
menyuntik halaman website korban dengan JavaScript atau iframes
tersembunyi yang mengarahkan pengunjung website korban ke website
berbahaya yang menyimpan gumblar dan martuz lainnya. Untuk
menghindarinya, pastikan setiap orang yang memiliki akses password ke
website anda melakukan setidaknya dua kali scan antivirus dan
antispyware pada local komputer masing-masing dengan scanner yang
bervariasi. Karena selama PC webmaster terinfeksi, mengubah password
situs tidak akan berpengaruh sama sekali. Bukankah password baru dengan
mudah dapat dicuri lagi?
5) Ganti semua password anda
Setelah PC administrator bebas dari virus dan spyware, gantilah semua
password yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi
database, email akun, dan halaman administrator anda. Pergunakan
kombinasi password yang kuat. Yaitu password yang tidak mudah ditembus
karena mengandung kombinasi kata, angka, dan karakter yang rumit.
6) Upgrade semua third party script ke versi terbaru
Sesuai yang pernah kita bahas pada edisi sebelumnya bahwa serangan
semacam Remote File Inclusion (RFI) memanfaatkan vulnerability pada
script versi lama dari script third party kita untuk menyusup ke dalam
situs kita. Dan satu-satunya cara untuk menangkal serangan RFI ini
adalah menggunakan versi terbaru dari script third party yang telah
memiliki kekebalan terhadap RFI. Baik plugin, addon website hingga
Content Management System (CMS) anda, segera upgrade ke versi terbaru.
Jika anda menggunakan CMS semacam Joomla maupun WordPress, anda bisa
mengikuti perkembangan rilis terbaru melalui situs resmi masing-masing
CMS yang anda pakai. Update versi WordPress bisa dicek melalui
wordpress.org, Joomla pada joomla.org, dan sebagainya. Cek juga situs
secunia.com, sebuah situs yang berisi laporan sekuriti setiap third
party script. Halaman situs secunia.com mendaftar kerentanan yang
ditemukan pada plugin atau addon. Dengan mengecek di halaman tersebut,
anda mengetahui apakah third party script yang anda pergunakan aman atau
terdapat vulnerability di dalamnya.
7) Cek kode PHP anda untuk menemukan lubang sekuriti
Jika anda mencurigai bahwa script yang anda tulis sendiri mungkin saja
memiliki kerentanan sekuriti, cara teraman adalah dengan berhenti
mempergunakan script tersebut hingga anda telah memeriksanya dengan
sangat teliti. Setelah membuat kopian lokal untuk anda sendiri, hapus
scriptnya dari server. Karena selama script masih ada di dalamnya,
setiap orang yang telah mengetahui letak lubang sekuritinya tetap bisa
mengakses dan mengeksploitasinya.
8 ) Temukan dan perbaiki semua script berbahaya yang anda temukan
Anda bisa mengidentifikasi file apa yang dihack dengan mengecek setiap
file mencurigakan melalui File Manager di cPanel anda. File yang
mencurigakan memiliki kriteria sebagai berikut:
- Halaman dengan tanggal modifikasi lebih baru dari terakhir kali anda menyimpannya.
- File baru dengan nama dan lokasi yang mencurigakan. Beberapa hack
menginstal file dengan nama seperti hacked.html atau vulnerable.php, dan
sebagainya. Nama lainnya mungkin hanya tersusun secara acak. Beberapa
file terinstal di lokasi yang membuatnya tampak mencurigakan, misal
sebuah file .php di dalam folder /images. Jika anda menemukan file-file
tersebut, cek tanggalnya dan cari file lain dengan tanggal yang sama
untuk menemukan file apa saja yang mungkin terinfeksi. Sayangnya, anda
tidak bisa begitu saja menghapus semua file yang bukan milik anda.
Beberapa adalah file sistem yang belum pernah anda ketahui sebelumnya.
Jika anda ragu, lakukan pencarian Google dengan nama file tersebut, atau
post sebuah pertanyaan pada forum tertentu.
- Cek direktori root anda (“/”) dan subdirektorinya untuk menemukan
file yang berbahaya. Bahkan jika anda menghapus semua konten di
public_html anda dan mempublish ulang situs anda, hal tersebut tidak
akan menulis ulang direktori diatas dan setara public_html. Untuk itulah
anda perlu melakukan pengecekan manual pada area root direktori juga.
Ada lagi cara termudah untuk memperbaiki
situs kita jika kita tidak memiliki kemampuan koding yang mumpuni.
Yaitu dengan mereplace website kita dengan backup segar yang kita
ketahui bersih. Tetapi dengan melakukannya sama saja dengan
menghancurkan bukti yang mungkin kita perlukan untuk menemukan bagaimana
serangan terjadi dan bagaimana cara mencegahnya terjadi lagi. Untuk itu
sebelumnya anda bisa membuat kopian dari situs yang dihack, sehingga
bisa anda pelajari kemudian.
9) Cek bahwa file atau permission folder anda sudah secure
Melalui File Manager, pastikan permission dari folder dan file anda
sudah sebagaimana mestinya. 755 untuk folder, dan 644 untuk file.
Permission seperti 777 dan 666 yang identik dengan world-writable harus
dicurigai. Jika anda menemukan permission world-writable pada sebuah
file atau folder, segera lakukan pengecekan karena di sanalah area
dimana penyerang bisa mengoprek halaman tersebut dengan mudah. Jika anda
tidak menemukan alasan yang sangat kuat mengapa harus melonggarkan
permission pada suatu file atau folder, maka rapatkan kembali
permissionnya menjadi 755 atau 644.
10) Ganti lagi semua password anda
Untuk menghindari seseorang “mengintip” ke dalam situs kita ketika kita
melakukan penggantian password sebelumnya, maka setelah memastikan situs
kita bersih, lakukan penggantian password kembali. Tentunya tetap
dengan mempergunakan kombinasi serumit mungkin.
11) Blok akses IP yang menyerang anda
Setelah anda mengetahui IP yang melakukan login tanpa izin seperti pada
langkah pertama dan kedua pada artikel ini, blok akses terhadap IP
tersebut melalui salah satu fitur IP Deny Manager di cPanel.
12) Pentingkah untuk melaporkan penyerang secara legal?
Hacking adalah pelanggaran terhadap aturan dan layanan semua webhosting
ataupun ISP. Jika anda bisa membuktikan secara akurat bahwa seseorang
menggunakan sebuah IP address tertentu untuk melakukan hacking, anda
dapat melaporkan insiden ini kepada webhosting atau
ISP
dengan harapan bahwa mereka akan menutup akun pelaku. Tetapi biar
bagaimanapun, bahkan jika anda berhasil, sama saja seperti membunuh
seekor semut. Karena faktanya bahwa perharinya terdapat jutaan request
berbahaya yang diluncurkan kepada jutaan website oleh ribuan server
berbahaya. Jika satu server dimatikan, tidak berpengaruh apapun terhadap
penyerang. Toh mereka masih memiliki ribuan server lainnya. Daripada
menghabiskan waktu untuk membalas dengan melaporkan penyerang kepada
pihak berwajib, ada baiknya kita meluangkan waktu kita untuk terus
meningkatkan pendalaman mengenai ilmu sekuriti website kita. Dan
meningkatkan kesadaran bahwa setiap saat pasti akan ada gelombang besar
serangan terhadap website kita.