(0275) 2974 127
Teknologi yang berkembang dengan cepat memang membuat semua serasa lebih mudah, namun hal itu menimbulkan dampak yang begitu banyak bagi kehidupan. Misalkan seperti kejahatan dunia maya yang terus berkembang dari era ke era, bahkan dengan metode yang berbeda-beda.
Kejahatan dunia maya tentu saja sifatnya merugikan, tidak hanya bisa mencuri privasi seseorang saja tapi juga dapat mengganggu website milik orang lain; misalnya seperti melakukan web deface.
Deface Website merupakan salah satu kegiatan merubah tampilan suatu website baik itu halaman utama, index file, atau pun halaman lain yang masih terikat dalam satu url dengan website tersebut. Kegiatan ini kerap disalahgunakan oleh para peretas untuk mengganggu website-website tertentu.
Tidak hanya itu, deface website sering dilakukan untuk pengujian awal keamanan website. Peretas bisa saja melakukan aksi lebih jauh seperti pencurian data, dan sebagainya. Akibat yang ditimbulkan dari aksi deface website cukup serius. Apalagi jika website tersebut digunakan untuk tujuan bisnis.
Deface Website ini dapat dilancarkan dengan baik apabila terdapat celah pada sistem keamanan website korban, dan ciri-ciri sebuah website terkena serangan ini yakni adalah terjadinya perubahan tampilan pada website bersangkutan dengan tampilan yang biasanya berisi pesan-pesan aneh dari para peretas.
Untuk lebih memantapkan aksinya, para peretas atau hacker sendiri biasanya meninggalkan pesan dan nickname mereka agar hasil kerjanya diketahui oleh khalayak ramai. Salah satu contoh website yang pernah menjadi korban deface adalah nhs.co.uk, sebuah website tentang kesehatan. Pada salah satu halaman, aksi deface website dilakukan seperti tampak di bawah ini :
Full of page berarti melakukan peretasan atau istilahnya men-deface satu halaman penuh tampilan depan website milik korban. Untuk melakukan serangan ini, seorang peretas harus berhubungan langsung dengan server milik korban guna mengetahui dimana lokasi root website bersangkutan berada. Setelah itu barulah peretas bisa melakukan serangan deface dengan mengendalikan file index dan lainnya secara penuh.
Berbeda dengan Full of Page yang menyerang keseluruhan halaman, deface yang satu ini hanya menyerang sebagian saja. Jadi tidak langsung terlihat seperti full of page, defacer hanya dengan menampilkan beberapa kata, gambar, atau menambahkan script-script yang mengganggu saja. Biasanya para defacer melakukan ini dengan bantuan SQL Injection atau Database Injection.
Untuk mengetahui apakah terkena deface sebagian ini agak sedikit susah, apalagi jika defacer hanya menaruh script yang tujuannya untuk mencuri data yang ada pada website. Solusinya bisa meningkatkan keamanan website Anda agar terhindar dari kedua jensi deface ini.
Berikut ini adalah tool yang digunakan untuk mendeteksi tindakan deface pada website, yaitu :
Fluxguard adalah aplikasi monitoring serangan deface website berbasis cloud, yang mampu merender semua jenis halaman web termasuk dashboard yang dilindungi kata sandi dan tindakan formulir. Bersamaan dengan pemantauan defacement, Fluxguard dapat membantu dengan otomatisasi QA, transaksi sintetis, regresi visual, dan pemantauan kinerja aplikasi.
SUCURI menawarkan pemantauan keamanan, perlindungan, pencadangan, dan keuntungan kinerja situs web dalam semua hal. Ia berfungsi dengan situs kapan saja, termasuk WordPress, Joomla, Drupal, Magento, Bulletin, phpBB, dan lain lain.
IPVTec adalah tool online layanan pemantauan yang membantu untuk memberi tahu jika situs web menjadi rusak atau berubah. Pengguna dapat mengonfigurasi untuk mendapatkan pemberitahuan melalui email, SMS, atau keduanya. IPVTec juga membantu pengguna untuk mengingatkan dalam skenario berikut.
Web 24 × 7 menyediakan layanan pemantauan ujung ke ujung, dan deteksi defokasi adalah bagian dari Pemantauan Situs Web. Ada banyak kombinasi yang dapat dikonfigurasi untuk mendapatkan peringatan ketika situs website menjadi rusak.
Tool visualping Ini memungkinkan pengguna untuk memilih area situs web yang ingin di pantau dan mendapat pemberitahuan tentang segala perubahan yang terdeteksi. Ini lebih seperti perbandingan visual untuk memicu peringatan pada perubahan kecil, sedang, atau signifikan pada interval harian, jam, atau mingguan.
OnWebChange membantu pengguna memilih beberapa area dalam halaman web dan memberi tahu jika ada perubahan yang terdeteksi. Bersama dengan halaman web, pengguna juga dapat memonitor file seperti PDF, gambar, video, teks biasa, dan lain lain. Selain pengguna memiliki opsi untuk mengonfigurasi pengguna ingin diberi tahu melalui email, pushover, teamstinct, atau HTTP callback.
Monitor WebOrion menawarkan perubahan visual, konten & pemantauan integritas. pengguna memiliki opsi untuk menerima pemberitahuan melalui email, SMS, atau Webhooks. Layanan monitor WebOrion tersedia di Cloud (SaaS), pada perangkat premis atau perangkat virtual.
Versionista merayapi seluruh situs untuk memantau perubahan dan memberi tahu melalui email atau slack. Bukan hanya HTML, tetapi Versionista mampu melacak perubahan dalam PDF, teks, dan konten dinamis juga.
Salah satu platform pemantauan situs berbasis cloud yang populer menawarkan daftar hitam dan pemantauan defokasi. Monitis melakukan pengecekan setiap 12 jam dan memberi tahu segala kemungkinan suatu situs dirusak atau masuk daftar hitam.
Monitor area tertentu atau seluruh situs setiap 24 jam GRATIS. Dan, jika pengguna perlu meningkatkan frekuensi, maka tingkatkan untuk memeriksa setiap jam dari $ 4,90 per bulan. Wachete mampu memonitor halaman yang dilindungi kata sandi, halaman dinamis, dan terintegrasi dengan baik dengan produk pihak ketiga. Wachete mendapatkan aplikasi selulernya untuk Android, Windows, dan iOS untuk melacak perubahan dan menerima pemberitahuan push.
Aksi deface website sering dilakukan untuk menunjukkan keamanan website yang lemah. Buktinya, hacker bisa dengan mudah masuk dan mengganti tampilan website. Tidak jarang aksi ini dilakukan untuk membuat pemilik website tahu mana bagian keamanan yang perlu diperbaiki.
Pernah mendengar tentang Hacktivist? Kelompok ini kerap melakukan deface website untuk tujuan propaganda politik. Biasanya upaya tersebut dilakukan dengan menyelipkan pesan provokatif pada website korbannya.
Hacker juga melakukan deface website untuk keuntungan pribadi, yaitu menjual produk. Mengganti homepage dengan toko online hacker. Biasanya, lengkap dengan tautan yang mengarahkan ke website hacker tersebut. Jadi, pengunjung website justru akan melihat beragam produk yang dijual oleh para hacker ini.
Untuk beberapa kasus, hackers melakukan deface website hanya untuk bersenang-senang dan pamer skill. Jadi, hacker meretas website agar tahu sejauh mana skill hacking telah berkembang.
Kebanyakan orang menggunakan username dan password sederhana agar mudah diingat. Bahkan, menggunakan satu password untuk beberapa akun. Padahal, langkah tersebut akan memudahkan hacker merusak website.
Jika password terlalu sederhana, akan mudah menjebol website dengan teknik brute force. Teknik ini memanfaatkan bot untuk melakukan ribuan upaya menebak credential login.
Ketika visitor mengunjungi website Anda, terjadi pertukaran data dari browser ke server. Data ini biasanya mengandung informasi sensitif seperti login credential.
Nah, hacker bisa mencuri data saat proses pertukaran data terjadi. Biasanya, hacker akan menyusup dan membaca informasi sensitif yang ditemukan. Lalu, memanfaatkannya untuk melakukan defacement.
Hal ini tidak akan mudah terjadi jika memiliki Sertifikat SSL. Sebab, semua data akan dienkripsi. Artinya, perlu upaya dan waktu lebih lama bagi hacker untuk menjalankan aksinya.
Platform website seperti WordPress memang memiliki keamanan yang baik. Namun, tanpa perlindungan antivirus dan firewall, masih ada celah hacker untuk menyusup.
Oleh karena itu, jika tidak memberikan perlindungan tambahan dengan Pligin keamanan bisa saja menjadi korban deface website.
Tema dan plugin WordPress rentan terhadap serangan hacker. Terutama, yang jarang diupdate. Artinya, jika ingin menginstal plugin dan tema di WordPress, pastikan dulu rating dan frekuensi update-nya.
Selain itu, penting untuk segera menggunakan versi terbaru setelah menerima pemberitahuan melalui dashboard WordPress.
Penting untuk melakukan audit keamanan website secara reguler. Jadi bisa mendeteksi celah keamanan lebih dini. Selain itu, langkah audit juga lebih mudah berkat adanya berbagai tool testing.
Contoh dengan menggunakan UpGuard cukup memasukkan URL website pada bar yang disediakan.
Dari informasi yang ditampilkan, Anda akan mengetahui apa yang perlu dilakukan untuk meningkatkan keamanannya. Misalnya, mengaktifkan SSL, mengatur setting Cookies dan lainnya.
Jika menggunakan platform CMS untuk website jangan lupa untuk selalu menggunakan versi terbaru. Contohnya WordPress, platform ini rajin memberikan update untuk menutup celah keamanan.
Menggunakan versi terbaru akan mempersulit upaya hacker untuk melakukan deface website. Sebab, setiap celah keamanan yang ditemukan akan langsung diatasi oleh pihak pengembang platform. Selain itu, langkah update pun kian mudah dilakukan dan tak perlu menunggu proses lama.
Menggunakan credential login yang sulit akan meningkatkan keamanan websit, sebab peretas akan lebih sulit membobol website. Caranya, ubah default login dengan username unik. Selain itu, gunakan password yang panjang dengan kombinasi huruf, angka dan karakter khusus. Misalnya: “St0P1t!y00”.
Bila perlu menginstal plugin keamanan yang membatasi percobaan login. Jadi, bisa mengurangi kemungkinan serangan brute force di website.
Langkah backup penting untuk menghindari hal yang tidak diinginkan seperti deface website. Melakukan backup secara manual atau otomatis menggunakan plugin.
Malware bisa masuk ke sistem website tanpa disadari. Oleh karena itu, penting untuk melakukan scan malware secara rutin.
Hak akses user akan mengatur seberapa jauh seorang user bisa melakukan perubahan pada website. Hak tertinggi dimiliki oleh seorang admin. Oleh karena itu, pastikan hanya orang yang terpercaya saja yang memiliki hak akses ini.
Menampilkan informasi error message ke user ternyata cukup berbahaya. Banyak informasi yang bisa digunakan untuk menemukan celah keamanan website. Misalnya, username yang bisa ikut muncul pada pesan error tersebut. Salah satu cara mengatasinya adalah dengan mematikan debugging mode.
Caranya bisa melakukan perubahan konfigurasi
eperti di bawah ini:
ini_set(‘log_errors’,‘On’);
ini_set(‘display_errors’,‘Off’);
ini_set(‘error_reporting’, E_ALL );
define(‘WP_DEBUG’, false);
define(‘WP_DEBUG_LOG’, true);
define(‘WP_DEBUG_DISPLAY’, false);
Dengan perubahan tersebut, diharapkan tidak lagi muncul keterangan error yang detail saat pengunjung mengakses website
HTTPS adalah protokol yang digunakan untuk menjamin keamanan pertukaran data di website. Jadi, tidak ada penyusupan pada proses request dari user ke server.
Penggunaan HTTP sangat penting terutama bagi yang memiliki toko online, website forum, atau membership. Alasannya, jenis website tersebut meminta dan mengelola informasi sensitif pengunjung website. Dengan protokol HTTPS, keamanannya bisa lebih ditingkatkan.
Injeksi SQL sering digunakan hacker untuk menguasai sebuah website. Biasanya mereka akan mencari halaman website yang menerima input manual seperti sebuah formulir untuk memasukkan kode tertentu.
Oleh karena itu atur data apa yang bisa digunakan saat mengisi form yang akan masuk ke database. Jangan lupa untuk mengganti prefix pada tabel database untuk meningkatkan keamanan. Pastikan juga untuk selalu melakukan scan SQL injection secara rutin dan mengaktifkan firewall.
Yaitu memberikan konfigurasi hanya file tertentu yang bisa diupload. hanya Banyak file yang diunggah mungkin berisi kode yang dapat dieksekusi oleh server. Mengubah izin file yang sedang diunggah dengan menghapus izin yang dapat dieksekusi akan mencegah server dari mencoba untuk mengeksekusinya.
Jika sudah menjadi salah satu korban dari website deface, silahkan ikuti beberapa tutorial dibawah ini untuk mengatasi deface website:
Berikut ini adalah contoh deface website yang pernah dilakukan.
Demikianlah pembahasan mengenai deface website, semoga bermanfaat…
Design website toko online tidak hanya soal estetika, tapi juga UX yang bagus secara keseluruhan.…
Sebelum memulai karir Anda sebagai desainer UX, Anda harus membuat portofolio yang mencakup semua pengalaman…
Keep-Alive memungkinkan browser pengunjung Anda mendownload semua konten (JavaScript, CSS, gambar, video, dll) melalui koneksi…
Job description seorang web developer adalah membuat situs web menggunakan berbagai bahasa pemrograman. Tanggung jawab…
Secara default, WordPress tidak mendukung A/B testing. Tapi jangan khawatir. Di bawah ini, kami telah…
UX design merupakan singkatan dari User Experience design atau desain pengalaman pengguna. Istilah ini sering…