Sebagian peretas situs terkadang ada yang tidak bertanggung jawab seperti merusak sistem, menghapus data dan lain sebagainya, tapi ada pula peretas yang tidak mengacau seperti hanya memanfaatkan servernya dengan script yang dia punya. Memang tidak baik merebut situs orang jika tidak memiliki hak dan tentunya sang admin website tersebut bisa menuntaskan atas apa yang dilakukan peretas.
Terkadang tidak mudah mencari file yang telah diberi akses oleh peretas, dan kebanyakan dari itu file yang dibuat berbentuk enkripsi yang tidak dapat terdeteksi oleh AntiVirus. Banyak jenis file yang dapat dibuat oleh peretas, dan biasanya memasang sebuah shell berbentuk remote server yang dapat dilakukan dengan command dari software. Paling sering yang Saya temui adalah shell berbentuk PHP, dan dalam satu file, dapat menjalankan beberapa fungsi layaknya FTP.
Ada banyak cara yang dilakukan oleh peretas, contohnya seperti melalui eksekusi SQL Injection, File Upload, dan banyak lain lagi. Jika sang peretas telah masuk kedalam server, justru ini sedikit berbahaya, karena bisa memanipulasi setiap file yang ada, bahkan sebuah file ber-tipe gambar bisa menjadi salah satu pengaruh besar.
Untuk itu, silahkan lihat sedikit tips untuk mencegah website dimasuki oleh peretas/Hacker. Silahkan lihat dibawah ini.
- Sebelum memakai script untuk website, silahkan test dulu dengan antivirus. Setelah itu silahkan cari digoogle tentang script yang akan dipakai apakah pernah mempunyai vulnerability, jika pernah maka silahkan menggunakan versi yang terbaru.
- Jika menggunakan WordPress, pastikan selalu meng-update theme atau plugin secara teratur. Sebelum memakai theme atau plugin pastikan tidak memiliki vulnerability. Khusus untuk plugin lebih baik menginstall langsung melalui Admin Panel.
- Pakailah tools Antivirus yang tersedia pada hosting dan protect file yang diperkirakan penting menjadi un-writeable. Jika perlu gunakan juga script atau plugin yang digunakan untuk melindungi situs dari upaya peretas.
- Pakailah password yang sesulit mungkin dan jangan gunakan password tersebut untuk lain situs. Jadi satu situs adalah satu password.
- Jika kamu adalah seorang developer website, pada penyimpanan password ke-database gunakan multi enkripsi. Bisa dimaksudkan tidak hanya menggunakan satu enkripsi saja.
- Selalu membuka FTP setiap beberapa hari sekali dan buka file .htaccess disetiap folder. Jika terdapat kode aneh berbentuk shell didalam file .htaccess silahkan hapus dengan segera.
- Jangan aktifkan directory listing pada website. Ini hanya membuat mudah para peretas untuk mendapatkan file yang diinginkan.
Hanya itu saja yang pernah Saya praktekan sekaligus dan sampai saat ini situs yang pernah Saya kelola tidak pernah dimasuki oleh peretas. Beberapa tips diatas juga Saya dapatkan dari salah satu teman di forum dan yang paling penting adalah selalu mengecek FTP. Terkadang para peretas memanipulasi file berbentuk ekstensi gambar, teks, hingga archive menjadi sebuah file bertipe PHP, Tentu hal ini dapat digunakan dengan bantuan .htaccess.
Jika sewaktu – waktu situs yang kamu miliki terasa ada yang aneh, jangan segan untuk langsung tanyakan kepada staff bagian technical server hosting. Pasti para staff akan mencari kejanggalan dari yang kecil hingga tuntas.
Jangan pernah menyepelekan satu file PHP dengan kode yang sangat sedikit didalamnya, bisa jadi kode tersebut dapat mengeksekusi melalui command. Segera hapus jika tidak mengenali kode tersebut dari sebelumnya. 😀
Semoga bermanfaat dan Selamat mencoba
1 comment
Ya betul.
Hal kecil bisa menjadi besar.
Kebanyakan peretas seperti itu, masih belajar tentang programing dengan mencoba ini itu sesuka jidatnya.
Ok. Thanks ya! Udh saya terapin di web saya, dan ada juga sebagian tips di atas yg belum.