Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Top ways websites get hacked by spammers (Metode yang paling sering digunakan pengirim spam untuk meretas situs)

Memahami bagaimana situs disusupi merupakan bagian penting dari melindungi situs dari serangan. Dalam artikel ini, kami akan membahas beberapa kerentanan keamanan yang dapat menyebabkan situs Anda disusupi.

Sandi berhasil dibobol

Penyerang dapat menggunakan teknik menebak sandi dengan mencoba berbagai sandi sampai mereka menemukan sandi yang benar. Serangan menebak sandi dapat dilakukan melalui berbagai metode seperti mencoba sandi yang umum atau memindai kombinasi huruf dan angka secara acak sampai sandi ditemukan. Untuk mencegah hal ini, buatlah sandi yang kuat dan sulit ditebak. Anda dapat menemukan tips membuat sandi yang kuat dalam artikel pusat bantuan Google.

Ada dua hal penting yang perlu diingat. Pertama, hindari menggunakan sandi yang sama di banyak layanan. Begitu penyerang berhasil mengidentifikasi kombinasi nama pengguna dan sandi yang benar, mereka akan mencoba menggunakan kombinasi tersebut pada sebanyak mungkin layanan. Oleh karena itu, menggunakan sandi berbeda pada layanan berbeda dapat mencegah disusupinya akun lain di layanan lain.

Kedua, manfaatkan autentikasi dua faktor (2FA) seperti Verifikasi 2 Langkah Google jika opsi ini tersedia. 2FA memberikan lapis kedua kredensial login, biasanya berupa kode yang dikirim melalui pesan teks atau pin lain yang dibuat secara dinamis, yang mengurangi kemampuan penyerang untuk mengakses akun hanya dengan sandi yang mereka curi. Beberapa penyedia CMS menyediakan panduan mengonfigurasi 2FA: lihat dokumentasi untuk Joomla! , WordPress , atau Drupal.

Update keamanan tidak ada

Software versi lama dapat dipengaruhi oleh kerentanan keamanan berisiko tinggi yang memungkinkan penyerang menyusup ke seluruh situs. Penyerang aktif mencari software lama yang memiliki kerentanan. Pengabaian kerentanan di situs akan meningkatkan kemungkinan serangan pada situs Anda.

Catatan: Periksa ketersediaan update software untuk situs Anda secara berkala guna menambal kerentanan. Lebih baik lagi, atur update otomatis untuk software Anda, jika mungkin, dan daftar untuk menerima pengumuman keamanan untuk semua software aktif yang Anda gunakan.

Beberapa contoh software yang perlu untuk terus diupdate antara lain:

  • Software server web, jika Anda menjalankan server sendiri
  • Sistem Manajemen Konten. Contoh: rilis keamanan dari Wordpress, Drupal, dan Joomla!.
  • Semua plugin dan add-on yang Anda gunakan di situs

Tema dan Plugin yang Tidak Aman

Plugin dan tema di CMS menambahkan fungsi yang berguna dan disempurnakan. Namun, tema dan plugin usang atau belum ditambal merupakan sumber utama kerentanan di situs web. Jika Anda menggunakan tema atau plugin di situs web, pastikan untuk terus mengupdatenya. Hapus tema atau plugin yang tidak lagi dipelihara oleh pengembangnya.

Berhati-hatilah dengan plugin atau tema gratis dari situs tak tepercaya. Ini adalah taktik umum yang biasanya digunakan penyerang untuk menambahkan kode berbahaya ke versi gratis dari plugin atau tema berbayar. Saat menghapus plugin, pastikan Anda menghapus semua file dari server alih-alih sekadar menonaktifkannya.

Manipulasi psikologis

Manipulasi psikologis adalah teknik mengeksploitasi kecenderungan manusia untuk meloncati infrastruktur keamanan yang rumit. Serangan jenis ini mengelabui pengguna sah agar memberikan informasi rahasia seperti sandi. Bentuk manipulasi psikologis yang umum adalah phishing. Selama melancarkan phishing, penyerang akan mengirim email dengan berpura-pura menjadi organisasi yang sah dan meminta informasi rahasia.

Catatan: Menurut studi tentang manipulasi psikologis yang dilakukan oleh Google, beberapa kampanye phishing yang paling efektif memiliki tingkat kesuksesan 45%!

Ingatlah untuk tidak memberikan informasi sensitif apa pun (seperti sandi, nomor kartu kredit, informasi perbankan, atau bahkan tanggal lahir) kecuali jika Anda yakin akan identitas pemintanya. Jika situs Anda dikelola oleh beberapa orang, pertimbangkan untuk memberikan pelatihan guna meningkatkan kesadaran tentang serangan manipulasi psikologis. Anda dapat merujuk ke Pusat Bantuan Gmail untuk tips dasar perlindungan dari phishing.

Lubang kebijakan keamanan

Jika Anda administrator sistem atau menjalankan situs Anda sendiri, ingatlah bahwa kebijakan keamanan yang lemah membuat penyerang dapat menyusup ke dalam situs Anda. Contohnya antara lain:

  • Membolehkan pengguna membuat sandi yang lemah
  • Memberikan akses admin kepada pengguna yang tidak memerlukannya
  • Tidak mengaktifkan HTTPS di situs Anda dan membolehkan pengguna masuk menggunakan HTTP
  • Mengizinkan upload file dari pengguna yang tidak diautentikasi, atau tanpa memeriksa jenis file

Beberapa tips dasar untuk melindungi situs:

  • Pastikan situs web Anda dikonfigurasi dengan kontrol keamanan yang tinggi dengan menonaktifkan layanan yang tidak perlu
  • Uji kontrol akses dan hak istimewa pengguna
  • Gunakan enkripsi untuk halaman yang menangani informasi sensitif, seperti halaman login
  • Periksa log secara teratur untuk mendeteksi aktivitas mencurigakan.

Kebocoran data

Kebocoran data dapat terjadi ketika data rahasia diupload dan kesalahan konfigurasi membuat informasi rahasia tersebut tersedia untuk umum. Misalnya, penanganan dan pengiriman pesan error pada aplikasi web berpotensi membocorkan informasi konfigurasi dalam pesan error yang tidak tertangani. Dengan metode yang disebut "dorking", aktor jahat dapat memanfaatkan fungsi mesin telusur untuk menemukan data ini.

Pastikan situs Anda tidak memberitahukan informasi sensitif kepada pengguna yang tidak sah dengan menjalankan pemeriksaan berkala dan membatasi akses data rahasia hanya ke entitas tepercaya melalui kebijakan keamanan. Jika Anda kebetulan menemukan informasi sensitif di situs Anda yang perlu segera dihapus dari hasil Google Penelusuran, Anda dapat menggunakan alat penghapusan URL untuk menghapus URL tertentu dari Google Penelusuran.