Mencegah infeksi perangkat lunak perusak

Untuk terbebas dari perangkat lunak perusak, Anda harus terus waspada. Artikel ini berisi tips dan petunjuk untuk mencegah infeksi malware. Namun, ini bukan artikel lengkap; Google juga mendorong pemilik situs untuk melakukan riset secara menyeluruh.

Memantau kondisi situs

Banyak fitur Search Console yang dapat membantu Anda mengidentifikasi potensi masalah. Misalnya:

  • Coba operator site: search Google untuk melihat halaman apa saja yang telah ditemukan Google di situs Anda. Sebaiknya lakukan ini secara berkala untuk mengetahui apakah seseorang telah melihat halaman atau konten yang tidak diharapkan di situs Anda. Jika terdapat halaman yang tidak dikenal di situs Anda, atau topik yang tidak Anda tulis, kemungkinan situs Anda telah diretas. Jika belum familier dengan operator site: search, fitur ini adalah cara membatasi penelusuran ke situs spesifik. Misalnya, penelusuran site:googleblog.blogspot.com hanya akan menampilkan hasil dari Blog Resmi Google.
  • Laporan Masalah Keamanan menampilkan halaman di situs Anda yang diretas dan telah diidentifikasi oleh Google, beserta petunjuk memperbaiki masalah tersebut.
  • Jika Google mendeteksi malware di situs Anda, kami akan memberi tahu Anda di halaman beranda Search Console dan mengirimkan pesan ke Pusat Pesan Anda. (Untuk memastikan bahwa Anda diberi tahu dengan cepat, Anda dapat mengatur agar pesan di Pusat Pesan diteruskan ke akun email.)

Daftar periksa keamanan

Selain mamantau situs secara berkala, kami juga menyarankan hal berikut:

Semua pemilik situs

  • Pilih sandi yang kuat. Panduan Akun Google sangatlah membantu.
  • Pilih penyedia konten pihak ketiga dengan hati-hati. Jika Anda mempertimbangkan untuk menginstal aplikasi yang disediakan oleh pihak ketiga, misalnya widget, penghitung, atau jaringan iklan, pastikan Anda memeriksa perjanjiannya dengan saksama. Ruang iklan sering kali bekerja sama dengan pihak lain yang tidak diketahui oleh pemilik situs. Meskipun ada banyak konten atau web pihak ketiga, mungkin saja penyedia menggunakan aplikasi ini untuk mendorong alat eksploitasi, seperti skrip berbahaya, kepada pengunjung Anda. Pastikan aplikasi berasal dari sumber yang memiliki reputasi. Apakah Anda memiliki situs yang sah dengan informasi dukungan dan kontak? Apakah pemilik situs lainnya menggunakan layanan tersebut?
  • Hubungi perusahaan hosting Anda atau platform publikasi untuk mendapatkan dukungan. Sebagian besar perusahaan memiliki kelompok dukungan dan/atau halaman keamanan yang responsif dan membantu. Jika halaman atau situs keamanan memiliki feed RSS, berlanggananlah ke feed tersebut untuk memastikan Anda tetap mendapatkan informasi terbaru.
  • Jaga semua komputer Anda tetap aman. Terutama saat membuat situs, pastikan tempat kerja lokal Anda memiliki software terbaru, bersih dari virus, trojan, atau malware serupa, dan sudah menginstal software antivirus terbaru.

Pemilik situs dengan akses server

  • Periksa konfigurasi server Anda. Apache memiliki beberapa tips konfigurasi keamanan dan Microsoft memiliki beberapa sumber daya pusat teknologi untuk IIS di situsnya masing-masing. Beberapa tips tersebut menyertakan informasi tentang izin direktori, server-side includes, autentikasi, dan enkripsi.
  • Buat salinan cadangan file .htaccess (atau mekanisme kontrol akses lainnya bergantung pada platform situs web Anda). Gunakan file cadangan untuk memulihkan jika yang berikut ini gagal. Pastikan untuk menghapus file cadangan setelah selesai.
  • Ikuti kabar terbaru tentang update dan patch software terbaru. Ada banyak alat yang mempermudah pembuatan situs, tetapi semuanya menambahkan risiko eksploitasi. Masalah umum bagi banyak pemilik situs adalah memasang forum atau blog di situs mereka, lalu melupakannya. Sama seperti membawa mobil untuk diservis, penting untuk memastikan bahwa Anda memiliki update terbaru untuk program software apa pun yang telah diinstal. Buatlah daftar untuk semua software dan plugin yang digunakan untuk situs Anda, dan perhatikan update dan nomor versinya. Meskipun Anda rajin dan terus mengupdate komponen dalam situs, Anda mungkin masih rentan jika penghosting web belum menginstal patch sistem operasi terbaru. Masalah ini tidak hanya memengaruhi situs kecil. Banyak peringatan muncul pada situs bank, tim olahraga, serta situs milik perusahaan dan pemerintah.
  • Awasi file log Anda. Jadikan ini sebuah kebiasaan yang bermanfaat, salah satunya adalah keamanan yang ditingkatkan. Misalnya, parameter URL yang tidak dikenal (seperti "=http:" atau "=//") atau lonjakan lalu lintas ke URL alihan di situs Anda dapat mengindikasikan bahwa peretas mengeksploitasi pengalihan terbuka. Selain itu, ingatlah bahwa peretas sering kali mencoba untuk mengubah file log. Ambil langkah untuk melindungi file ini dari serangan. Misalnya, Anda dapat memindahkan file ini dari lokasi defaultnya, membuatnya lebih sulit untuk ditemukan peretas.
  • Periksa situs Anda untuk menemukan kerentanan umum. Hindari direktori dengan izin terbuka. Memilikinya seperti membiarkan pintu depan rumah terbuka lebar.

    Selain itu, periksa juga kerentanan XSS (pembuatan skrip lintas situs) dan injeksi SQL.

  • Gunakan protokol yang aman. Sebaiknya gunakan SSH dan SFTP untuk transfer data, sebagai ganti protokol teks biasa seperti telnet atau FTP. SSH dan SFTP menggunakan enkripsi dan lebih aman.
  • Terus ikuti berita keamanan terbaru. Google Online Security Blog memberikan informasi yang bermanfaat tentang keamanan dan keselamatan online, serta petunjuk ke referensi lainnya. Situs pemerintah US-CERT (United States Computer Emergency Readiness Team/Tim Tanggap Darurat Komputer Amerika Serikat) memberikan tips dan peringatan keamanan teknis.