Content management systems (CMS) seperti WordPress, Joomla, Drupal, dan yang lainnya

dapat membantu pemilik bisnis untuk membangun kehadiran online mereka secara cepat dan
efisien. Arsitektur yang sangat extensible dari CMS ini, seperti plugin, module, extension
sangat memudahkan kita dalam membuat sebuah web tanpa harus beajar selama bertahun-
tahun.

Namun, sayangnya masih banyak webmaster yang tidak tahu bagaimana untuk memastikan
website mereka aman, atau bahkan memahami pentingnya mengamankan situs mereka. Pada
artikel ini kami akan berbagi 10 tips bagaimana menjaga webiste agar tetap aman.

1. Update, update, update!

Hal pertama yang harus kita lakukan adalah memastikan bahwa versi CMS maupun plugin
yang kita gunakan merupakan versi terbaru. Menjalankan software yang usang dan tidak
pernah diupdate sangat rawan dan berisiko. Kebanyakan hacker saat ini bekerja
menggunakan sistem otomatis, yaitu dengan bots yang melakukan scanning secara terus
menerus pada situs yang ditargetkan untuk mencari celah untuk di eksploitasi.

Bagi pengguna WordPress, kita bisa menggunakan plugin WP Update Notifier, plugin ini
akan secara otomatis mengirimkan email pemberitahuan jika ada update plugin atau
WordPress terbaru.

2. Password
Password merupakan hal penting yang harus dijaga dan dilindungi tingkat kerahasiaannya.
Namun, masih banyak orang kurang aware terhadap password mereka sendiri. Jangan
membiasakan menggunakan password yang mudah ditebak atau kata umum, seperti nama
panggilan, tanggal lahir, dan lainnya. Maka jangan heran jika hacker dapat dengan mudah
membobol akun username dan password kita.

Setidaknya ada 3 syarat utama untuk membuat password yang kuat, yaitu:

Kompleks. Syarat pertama password haruslah acak, jangan sampai seseorang meng-hack
akun kita hanya karena tahu tanggal lahir atau tim olahraga favorit kita. Bagaimana membuat
password acak? Kita bisa menggunakan kombinasi angka dan huruf (besar/kecil), atau
mengganti beberapa huruf dengan angka. Misalnya idwebhost menjadi IDw3bH0st.

Panjang. Syarat kedua adalah password harus panjang. Semakin panjang password maka
akan semakin sulit untuk dipecahkan, baik menggunakan tools atau menggunakan beberapa
kombinasi. Standarnya panjang password yang direkomendasikan adalah 6 12 karakter.

Unik. Syarat terakhir adalah password harus unik. Aturannya sederhana, jangan
menggunakan password yang sama di berbagai layanan yang berbeda. Mengapa? Karena
sekali hacker mendapatkan password kita, maka dia bisa mendapatkan semua akun kita
dengan password yang sama.

3. Satu situs = satu server

Sebagian orang mungkin tertarik menyewa web hosting unlimited untuk menaruh banyak
situs didalamnya dengan alasan lebih efisien. Sayangnya, ini adalah salah satu cara yang
buruk dari sisi keamanan. Hosting banyak situs di lokasi yang sama dapat memicu serangan
yang besar.

Sebagai contoh, satu server berisi satu situs yang terinstal WordPress dengan tema dan 10
plugins masih sangat berpotensi mendapatkan serangan dari attacker. Nah, bagaiamna jika
kita meng-host 5 situs pada satu server? Jelas ini berisiko tinggi, setelah attacker menemukan
eksplotasi salah satus situs, maka infeksi dapat menyebar dengan mudah ke semua situs.

Dampaknya, tidak hanya semua situs kita yang dihack, tapi juga proses recovery jauh lebih
sulit dan memakan waktu. Situs yang terinfeksi dapat terus terinfeksi kembali satu sama lain
dalam lingkaran yang tak berujung.

4. Membatasi akses pengguna

Aturan ini hanya berlaku untuk situs yang memiliki beberapa login. Sangat penting untuk
membatasi akses setiap pengguna sesuai dengan perannya masing-masing.

Misalnya, kita memiliki teman yang ingin ikut berkontribusi di blog kita. Buat akun khusus
untuk penulis/editor yang memiliki akses terbatas hanya untuk membuat posting baru atau
mengedit tulisan.

Dengan membatasi akses setiap pengguna, itu dapat mengurangi dampak dari akun yang
membahayakan dan melindungi terhadap dari kerusakan yang mungkin dilakukan oleh
pengguna nakal.

5. Ubah pengaturan default CMS

Aplikasi CMS saat ini meskipun mudah digunakan, tetapi cukup mengerikan dari perspektif
keamanan bagi pengguna akhir. Sejauh ini serangan paling umum terhadap website dilakukan
secara otomatis, dan banyak dari serangan ini memanfaatkan pengaturan default yang
digunakan. Itu berarti kita bisa menghindari sejumlah serangan hanya dengan mengubah
pengaturan default saat menginstal CMS.

6. Pilih ekstensi yang terpercaya

Salah satu kelebihan dari aplikasi CMS adalah adanya banyak ekstensi yang tersedia. Plugin,
add-ons, dan ekstensi menyediakan hampir semua fungsi yang dibutuhkan. Namun, banyak
yang tidak menyadari bahwa ekstensi bisa menjadi pedang bermata dua, disatu sisi itu sangat
membantu tapi disisi lain bisa juga memiliki celah yang berbahaya.

7. Backups
Data merupakan aset penting dalam sebuah website, sehingga diperlukan perlindungan ekstra
untuk mengamankan data.
Salah satu solusinya adalah dengan membuat Backups. Melakukan backup website secara
berkala merupakan hal yang harus dilakukan untuk mengantisipasi sesuatu yang tidak
diinginkan. Akan tetapi, menyimpan backup di web server yang sama adalah sangat berisiko
tinggi. Backup ini biasanya mengandung versi unpatched dari CMS dan ekstensi yang
tersedia untuk umum, hal ini memudahkan hacker untuk mengakses server kita.

8. Konfigurasi server
Kita harus tahu apa saja jenis file konfigurasi yang digunakan pada web server. Misalnya,
Apache web server menggunakan file .htaccess, Nginx menggunakan nginx.conf, dan
Microsoft IIS server menggunakan web.config. Dari file-file konfigurasi ini kita dapat
menerapkan aturan tertentu pada server, termasuk instruksi yang dapat meningkatkan
keamanan website kita.

9. Install SSL
SSL digunakan untuk mengenkripsi komunikasi antara titik A dan titik B, yaitu antara server
dan browser. Enkripsi ini sangat penting untuk alasan tertenu, mencegah siapa pun untuk
dapat menghadang traffic yang terjadi, atau yang lebih dikenal dengan Man in the Middle
(MITM) attack.

SSL sangat penting terutama untuk keamanan website ecommerce dan setiap website yang
menggunakan form pengisian dengan data pengguna sensitif atau Personally Identifiable
Information (PII). Sertifikat SSL akan melindungi informasi pengunjung selama proses
pengiriman data melalui internet.

10. File permissions

File permission adalah hak akses bagi user untuk membaca,menulis dan mengeksekusi
sebuah file.

Setiap file memiliki 3 hak akses yang tersedia dan setiap permissions diwakili dengn nomor:

Read (4): Melihat isi file

Write (2): Mengubah isi file

Execute (1): Menjalankan file program atau script

Jika ingin mengizinkan beberapa permissions kita hanya perlu menambahkan angka bersama,
misalnya untuk memungkinkan membaca isi file (4) dan mengubah isi file (2) kita dapat
mengatur permissions menjadi 6. Jika ingin untuk memungkinkan pengguna untuk membaca
isi file (4), mengubah isi file (2) dan menjalankan file program (1) maka kita dapat mengatur
permission menjadi 7.

Ada juga 3 jenis pengguna:

Owner. Pembuat file, tetapi hal ini dapat berubah. Hanya satu pengguna yang dapat menjadi
owner.

Group. Setiap file ditetapkan menjadi group, dan setiap penguna yang merupakan bagian
dari group akan mendapatkan hak akses ini.

Public. Semua orang.

Jadi, jika kita ingin owner memiliki akses read & write, group hanya memiliki akses read,
dan public tidak memiliki akses, pengaturan file permissions harus seperti dibawah ini:

Ketika kita melihat file permissions ini akan ditampilkan sebagai 640.

Jadi, itulah 10 tips ampuh membuat websie agar tetap aman dan terlindungi dari setiap
ancaman.