Preventing malware infection

Agar terbebas dari malware, Anda harus terus waspada. Artikel ini berisi tips dan petunjuk mencegah infeksi malware. Namun, ini bukan artikel lengkap, Google juga mendorong para webmaster untuk melakukan riset secara menyeluruh.

Memantau kondisi situs

Banyak fitur Search Console yang dapat membantu Anda mengidentifikasi potensi masalah. Contoh:

  • Coba operator site: search Google untuk melihat halaman apa saja yang telah ditemukan Google di situs Anda. Sebaiknya lakukan ini secara berkala untuk mengetahui apakah seseorang telah melihat halaman atau konten yang tidak diharapkan di situs Anda. Jika terdapat halaman yang tidak dikenal di situs Anda, atau topik yang tidak Anda tulis, kemungkinan situs Anda telah diretas. Jika belum familier dengan operator site: search, fitur ini adalah cara membatasi penelusuran ke situs spesifik. Misalnya, penelusuran site:googleblog.blogspot.com hanya akan menampilkan hasil dari Blog Resmi Google.
  • Laporan Masalah Keamanan menampilkan halaman di situs Anda yang diretas dan telah diidentifikasi oleh Google, beserta petunjuk mengatasi masalah tersebut.
  • Jika Google mendeteksi malware di situs Anda, kami akan memberi tahu Anda di halaman beranda Search Console dan mengirimkan pesan ke Pusat Pesan Anda. (Untuk memastikan bahwa Anda diberi tahu dengan cepat, Anda dapat mengatur agar pesan di Pusat Pesan diteruskan ke akun email.)

Daftar periksa keamanan

Selain mengawasi situs secara berkala, kami juga menyarankan hal berikut:

Semua webmaster

  • Pilih sandi yang kuat. Panduan Akun Google sangatlah membantu.
  • Pilih penyedia konten pihak ketiga dengan hati-hati. Jika Anda mempertimbangkan untuk menginstal aplikasi yang disediakan oleh pihak ketiga, misalnya widget, penghitung, atau jaringan iklan, pastikan Anda memeriksa perjanjiannya dengan saksama. Ruang iklan sering kali bekerja sama dengan pihak lain yang tidak diketahui oleh pemilik situs. Meskipun ada banyak konten atau web pihak ketiga, mungkin saja penyedia menggunakan aplikasi ini untuk mendorong alat eksploitasi, seperti skrip berbahaya, kepada pengunjung Anda. Pastikan aplikasi berasal dari sumber yang memiliki reputasi. Apakah Anda memiliki situs web sah dengan informasi dukungan dan kontak? Apakah webmaster lainnya menggunakan layanan tersebut?
  • Hubungi perusahaan hosting Anda atau platform penerbitan untuk mendapatkan dukungan. Sebagian besar perusahaan memiliki kelompok dukungan dan/atau halaman keamanan yang responsif dan membantu. Jika halaman atau situs keamanan memiliki feed RSS, berlanggananlah ke feed tersebut untuk memastikan Anda tetap mendapatkan informasi terbaru.
  • Jaga semua komputer Anda tetap aman. Terutama ketika bekerja di suatu situs, pastikan tempat kerja lokal Anda memiliki software terbaru, bersih dari virus, trojan, atau malware serupa, dan sudah menginstal software antivirus terbaru.

Webmaster dengan akses server

  • Periksa konfigurasi server Anda. Apache memiliki beberapa tips konfigurasi keamanan dan Microsoft memiliki beberapa sumber daya pusat teknologi untuk IIS di situsnya masing-masing. Beberapa tips tersebut menyertakan informasi tentang izin direktori, server-side includes, autentikasi, dan enkripsi.
  • Buat salinan cadangan file .htaccess (atau mekanisme kontrol akses lainnya bergantung pada platform situs web Anda). Gunakan file cadangan untuk memulihkan jika yang berikut ini gagal. Pastikan untuk menghapus file cadangan setelah selesai.
  • Ikuti kabar terbaru tentang update dan patch software terbaru. Anda banyak alat yang mempermudah pembuat situs web, namun semuanya menambahkan risiko dieksploitasi. Perangkap umum untuk banyak webmaster adalah memasang forum atau blog di situs web mereka dan melupakannya. Sama seperti membawa mobil untuk diservis, penting sekali untuk memastikan bahwa Anda memiliki update terbaru untuk program software apa pun yang telah diinstal. Buatlah daftar untuk semua software dan plugin yang digunakan untuk situs Anda, dan perhatikan update dan nomor versinya. Meskipun Anda rajin dan terus mengupdate komponen dalam situs, Anda mungkin masih rentan jika penghosting web belum menginstal patch sistem operasi terbaru. Ini bukanlah masalah khusus situs yang lebih kecil saja. Banyak peringatan terjadi pada situs bank, tim olahraga, serta situs milik perusahaan dan pemerintah.
  • Awasi file log Anda. Jadikan ini sebuah kebiasaan yang bermanfaat, salah satunya adalah keamanan yang ditingkatkan. Misalnya, parameter URL yang tidak dikenal (seperti "=http:" atau "=//") atau lonjakan lalu lintas ke URL alihan di situs Anda dapat mengindikasikan bahwa peretas mengeksploitasi pengalihan terbuka. Selain itu, ingatlah bahwa peretas sering kali mencoba untuk mengubah file log. Ambil langkah untuk melindungi file ini dari serangan. Misalnya, Anda dapat memindahkan file ini dari lokasi defaultnya, membuatnya lebih sulit untuk ditemukan peretas.
  • Periksa situs Anda untuk menemukan kerentanan umum. Hindari direktori dengan izin terbuka. Memilikinya seperti membiarkan pintu depan rumah terbuka lebar.

    Selain itu, periksa juga kerentanan XSS (pembuatan skrip lintas situs) dan injeksi SQL.

  • Gunakan protokol yang aman. Sebaiknya gunakan SSH dan SFTP untuk transfer data sebagai ganti protokol teks biasa seperti telnet atau FTP. SSH dan SFTP menggunakan enkripsi dan lebih aman.
  • Terus ikuti berita keamanan terbaru. Google Online Security Blog memberikan informasi yang bermanfaat tentang keamanan dan keselamatan online, serta petunjuk ke referensi lainnya. Situs pemerintah US-CERT (United States Computer Emergency Readiness Team/Tim Tanggap Darurat Komputer Amerika Serikat) memberikan tips dan peringatan keamanan teknis.