5 Ancaman Website Paling Berbahaya dan 7 Cara Mengatasinya
Hai guys, Tahun 2019 lalu saya pernah mengalami kejadian tak mengenakkan saat KTP dan NPWP ku disalah gunakan orang untuk import barang dari China senilai 3 milyar. Namun beruntungnya pajaknya dibayarkan. Jika tidak, mungkin akan lebih pelik urusannya.
Karena hal tersebut, tiba-tiba saya dapat “surat cinta” dari kantor pajak setempat yang dikirim via kurir dan menganjurkan saya untuk datang ke kantor pajak Kab. Kebumen untuk klarifikasi. Apakah benar saya melakukan import barang dari China senilai 3 milyar?
Di amplop surat tersebut, ada data transaksi yang nilanya sangat banyak dan saya bingung, ini data apa? Saya tidak paham dengan angka-angka itu. Saya juga tidak punya penghasilan sebesar itu.
Sehari setelahnya saya pun datang ke kantor pajak. Setelah dijelaskan saya jadi gugup dan bingung, dan sukses bikin saya sulit tidur 2 hari karenanya.
Deg-degan banget jika sesuatu terjadi di saya. Pikiran pun gak karuan. Apalagi saat itu baru beberapa bulan menikah. Sepulang dari kantor pajak, saya langsung gercep dan mengurus ini itu sesuai arahan petugas pajaknya.
Saya disuruh melampirkan berkas-berkas yang diperlukan sampai ke cetak rekening koran di bank tempat saya menabung, dan keluar uang cukup banyak.
Setelah proses memakan waktu 2 mingguan, saya kembali lagi ke kantor pajak dengan membawa berkas-berkas yang diperlukan, kemudian dijelaskan terkait kejadian tersebut bersama kepala kantor pajaknya.
Petugas pajaknya menyarankan jika ada transaksi yang meminta data sensitif seperti NPWP atau KTP, sebaiknya dinegosiasikan dulu. Jika memang bisa tanpa KTP atau NPWP, mengapa tidak?
Tidak masalah jika misal harus tambah biaya sedikit tapi tanpa NPWP. Yang harusnya 2% pakai NPWP, jadi 3% tanpa NPWP. Seringnya saya pilih yang 3% tanpa NPWP karena menghindari risiko.
Dan karena saya gercep dan kooperatif, akhirnya masalah selesai dan saya merasa lega sekali. Dan ternyata bukan hanya saya, tapi teman blogger dan ada seorang supir truk di tempat saya yang jadi korbannya.
Bukan itu saja, saya juga pernah didatangi anggota brimob lengkap dengan pakaian dinasnya ke rumah saya karena KTP saya disalahgunakan orang. Saya disangka menjual tokek padahal enggak.
Penjual tokek tersebut menggunakan KTP saya yang diedit, tapi untungnya fotonya berbeda. Penipunya juga salah alamat karena akan menipu orang dekat Bapak TNI-nya.
Oleh bapak TNI-nya saya dimintai KTP untuk dicocokkan dengan KTP penipu (cetakan) yang ia bawa, dan ternyata beda, hanya alamatnya saja yang benar, tapi alamat lama. Sementara saya saat itu sudah pindah rumah.
Dari kejadian itu membuat saya shock, kenapa ini terjadi pada saya? Saya juga jadi agak malu karena orang-orang bisa beranggapan negatif ke saya jika mereka belum tahu kejadian yang sebenarnya. Dikiranya saya kriminal, padahal cuma korban.
Ya, kedua kejadian tersebut memang bukan berawal dari website atau blog saya yang kena hack, tapi karena ketidak sengajaan yang membuat saya mengalami hal itu. Dan saat itu saya juga awam banget terkait cyber security.
Tapi, hal ini bisa saja terjadi jika suatu website yang banyak menyimpan data sensitif seperti KTP, NPWP, alamat rumah, nomor hp, nomor rekening bank, PIN, password, OTP, terkena hack karena lemahnya perlindungan. Misalnya karena tidak adanya SSL.
Ada banyak kejadian hack yang menimpa berbagai website besar di Indonesia. Misalnya yang dialami website portal berita Tempo pada 2020 lalu. Sang hacker mengambil alih server DNS milih Tempo sehingga websitenya tak bisa dibuka dan hanya keluar warna hitam saja.
Tentu saja ini merugikan karena satu menit website down, apalagi website berita, pengunjung akan berkurang banyak dan tentu saja merugikan dari berbagai sisi.
Selain itu ada juga kasus peretasan website Kejagung RI yang dilakukan oleh inisial MFW pada 2021 lalu. Karena hal tersebut, sang hacker mengambil sebanyak 3.086.224 data dan menjualnya ke sebuah forum. Karena dihack, websitenya hanya terdapat logo “hacked” dan muncul nada protes di halaman depannya.
Kejadian lain juga menimpa tokopedia yang dihack dan kemudian datanya dijual. Tentu kepercayaan pelanggan bisa berkurang. Apalagi data ecommerce pastinya ada KTP atau NPWP, terutama bagi penjual. Masalah keamanan website memang harus diperhatikan karena bisa timbul banyak kerugian.
Misalnya seperti hilangnya data sensitif, anjloknya traffik website yang berujung pada pendapatan, dan masalah paling umum adalah tampilan dan performa website. Loading website bisa turun dan ini pengaruh ke SEO. Apalagi jika website sudah jalan bertahun-tahun, kepercayaan pelanggan bisa luntur begitu saja dan reputasi bisnis pun terancam.
Mengenai keamanan website ini, ada 5 ancaman website paling berbahaya yang penting diketahui, di antaranya:
1. DDoS
DDoS atau Distributed Denial of Service adalah model serangan dengan membanjiri server dengan lalu lintas palsu.
Serangan ini umumnya menyasar jaringan, layanan online, dan juga website ke sebuah server agar tidak dapat mengendalikan traffik dan lalu lintas website, yang menyebabkan website bisa down dan tak dapat diakses.
Bukan hanya target perorangan dan perusahaan, tapi DDoS juga menyerang sektor yang lebih tinggi seperti pemerintahan.
Sederhananya, server akan diisi dengan kunjungan palsu oleh beberapa sistem komputer sampai server tersebut down, dan akhirnya sebuah layanan dalam hal ini website tidak dapat beroperasi.
2. SQL Injection
SQL Injection adalah model serangan dengan menysupkan kode SQL ke formulir input di blog atau website. Nantinya jika website berhasil diretas, hacker dapat mengubah atau mengakses data pada database website Anda.
Model hacking ini cukup merusak karena dapat mengambil data sensitif seperti info keuangan atau informasi milik pelanggan ada di datasabe Anda.
Untuk melakukannya, sang hacker biasanya memakai perintah atau query SQL menggunakan tools tertentu agar dapat masuk ke database. Proses injeksi yang mereka lakukan membuat hacker bisa masuk tanpa melalui proses otentikasi.
Setelah masuk, hacker bisa memanipulasi data website seperti menghapus, mengubah, atau menambahkan. Website yang menjadi target serangan biasanya menggunakan SQL Database seperti SQL Server, MySQL, Oracle, dan sebagainya.
Umumnya serangan ini dilakukan ketika pemilik website tidak memproteksinya dengan firewall atau piranti keamanan alainnya.
3. Man in The Middle (MiTM)
Man in The Middle atau terjemahan bebasnya adalah seseorang yang berada di jaringan tengah saat ada koneksi antara pengguna dan server. Hacker ini dapat menjadi perantara antara kedua belah pihak yang sedang terkoneksi, kemudian mengambil data penting seperti sandi atau info penting lainnya.
Serangan ini bisa dilakukan ketika seseorang mengakses WiFi publik yang rentan akan keamanan. Sang hacker bisa menyusup ke tengah “percakapan” yang dilakukan korban dan server tujuan. Dan biasanya korban tidak sadar jika “percakapan” atau komunikasi mereka sedang disadap.
MitM ini biasanya menyerang aplikasi keuangan hingga website dan bisa menyebabkan kerugian besar. Serangan ini harus diwaspadai karena hacker bisa membuat jaringan seolah-olah asli, misalnya dengan membuat jaringan WiFi palsu, yang membuat korban tak sadar jika mereka sedang dijebak.
4. Cross-Site Scripting (XSS)
XXS adalah model serangan dengan cara menyisipkan kode berbahaya ke suatu halaman website yang kemudian kode tersebut dijalankan oleh pengunjung yang datang ke website tersebut. Dengan cara ini hacker bisa mencuri informasi dari pengunjung tersebut dan mengambil kendali atas sesi mereka.
Kode yang digunakan biasanya JavaScript dan kadang HTML. Serangan ini nantinya akan menginjeksi malicious script dan ketika korban membuka halaman web, kode tersebut akan dieksekusi dan saat itulah serangan berlangsung. Tujuan serangan ini biasanya dilakukan untuk mencuri cookie, pembajakan session, dan pembelokkan tujuan.
5. Brute Force Attack
Brute force attack adalah percobaan peretasan dengan berusaha menebak kata sandi secara berulang-ulang dengan menggunakan kombinasi karakter yang berbeda. Jika sampai berhasil, maka hacker akan mendapatkan sandinya.
Serangan ini mungkin bisa memakan waktu, tapi jika tidak ada pencegahan, peretas bisa mendapatkan akses ke akun penting seperti user atau administartor. Brute force tidak hanya menyerang website, tapi juga media sosial.
Salah satu cara pencegahan yang bisa dilakuan yaitu dengan menggunakan kombinasi user dan password yang kuat namun mudah diingat, membatasi limit login, atau menggunakan captcha.
Lalu,
bagaimana cara melindungi website dari peretasan?
Lima serangan di atas tak boleh dianggap sepele karena bisa membahayakan dan menurunkan performa website Anda. Dan pastinya ada banyak jenis serangan lainnya karena semakin ke sini model hacking semakin beragam. Beberapa tindakan preventif yang bisa dilakukan di antaranya seperti :
1. Perbarui plugin atau template website
Plugin ata template website yang kadaluarsa dan tidak diperbarui bisa beresiko pada peretasan. Hal ini memungkinkan kode jahat bisa menyusup pada plugin atau tema website yang dipasang.
Dan yang tak kalah penting adalah jangan menggunakan aplikasi, software, atau plugin asing yang tidak dikenal. Peretasan biasanya terjadi karena hal ini.
2. Gunakan user dan password yang kuat
Saat pertama kali website dibuat biasanya usernya masih menggunakan admin. Maka dari itu ubahlah username yang unik dan kuat, tapi mudah dingat agar tak mudah diretas.
Misalnya dengan kombinasi angka, huruf, dan karakter. Untuk URL login, di wordpress ada plugin untuk mengubah URL login, sehingga dapat mengubah URL default menjadi URL khusus agar sulit ditebak peretas.
3. Gunakan plugin keamanan dan anti spam
Plugin keamanan ini sangat penting. Plugin ini dapat mendeteksi adanya upaya jahat masuk dan membloknya. Sehingga pemilik blog bisa melakukan langkah pencegahan.
Selain plugin keamanan, ada juga plugin penolak spam. Spam di kolom komentar blog sangat mengganggu dan berbahaya. Spammer bisa saja menyelipkan link jahat untuk mengelabui pemilik website, misalnya link phising yang meminta user dan password.
Soalnya saya pernah menemui halaman yang mirip dengan halaman login wordpress. Buat mereka yang kurang jeli, bisa saja kejebak dan hacker mendapatkan mangsanya.
Kalau di blog saya, spam ini selalu datang setiap hari dan selalu saya hapus komentarnya karena berisi blog atau website aneh. Untuk cara mengatasinya yaitu dengan memasang plugin anti spam, baik yang gratis atau berbayar.
link berbahaya yang pernah datang ke blogku
4. Backup data secara teratur
Dulu saya pernah mengalami dua artikel saya hilang karena tidak backup data secara teratur. Rasanya menyesal karena membuat artikel kala itu terasa sulit. Belum zamannya AI soalnya. Apalagi artikelnya panjang.
Back up data secara teratur dapat mengamankan data web penting apabila terjadi peretasan. Pemilik website bisa mengupload kembali data yang tersimpan setelah peretasan berhasil diatasi.
5. Memeriksa log aktivitas
Dengan memeriksa log aktivitas, pemilik website bisa tahu jika ada upaya masuk atau tanda-tanda mencurigakan. Log aktivitas bisa mengetahui semua aktivitas pada web, misalnya seperti upaya log in yang gagal, perubahan pada data atau konfigurasi, dan sebagainya.
6. Mempelajari model serangan terbaru
Semakin ke sini, semakin banyak teknik peretasan yang dilakukan hacker. Dengan mengetahui dan mempelajari metode peretasan terbaru mereka, kita bisa mempersiapkan diri dan pengetahuan terkait bagaimana cara mengatasinya. Biasanya info seperti ini muncul di aplikasi antivirus terkait update cara peretasan terbaru.
7. Pasang SSL
SSL adalah kependekkan dari Security Socket Layer. Yaitu salah satu komponen dalam suatu blog atau website yang membuat transfer atau pertukaran data menjadi lebih aman. Bahkan Google chrome sendiri memberikan label not secure atau tidak aman dengan untuk blog atau website tanpa SSL.
Mungkin kalian pernah mengunjungi suatu blog atau website, namun tidak terbuka dan muncul peringatan bahwa website tersebut tidak aman karena tidak menggunakan protokol https. Https ini muncul dalam bentuk icon gembok kecil di adress bar.
Bagi kalian yang mengunjungi website toko online atau akan melakukan suatu transaksi di sebuah website, namun website tersebut tidak menggunakan SSL, baiknya mundur dulu karena website tanpa SSL rentan peretasan.
Baca juga : 7 Manfaaat SSL Untuk Keamanan Transaksi di Internet, Pemilik Website Wajib Tahu
Contoh website tanpa https yang dilarang untuk dibuka oleh google.
By the way, mengapa sekarang muncul istilah TLS? Apa bedanya TLS dan SSL?
TLS adalah upgrade dari SSL dan TLS ini telah menggunakan teknologi terbaru. Namun karena orang lebih familiar dengan SSL, maka perusahaan masih menggunakan istilah SSL ini.
Lalu, apa manfaat SSL untuk keamanan suatu website?
Fungsi utama dari SSL adalah sebagai pengamanan transaksi atau pertukaran data suatu website. Tapi ada fungsi spesifik dari SSL ini, di antaranya :
1. Menghindari pencurian data
Alasan kenapa website Anda harus memiliki SSL adalah agar terhindar dari pencurian data oleh hacker. Caranya yaitu dengan mengenkripsi dan pengacakan data sensitif. Dengan demikian, sembarang orang tidak bisa melihat dan membaca data yang Anda kirimkan.
2. Menghindarkan kesalahan pengiriman data
SSL juga berfungsi sebagai otentifikasi. Itu berarti SSL memastikan penggunanya mengirim data ke server yang sesuai tujuan. Bukan malah ke hacker tak bertanggung jawab.
3. Meningkatkan kepercayaan website atau blog
Ketika saya mengunjungi website atau blog yang tidak aman atau tidak ada icon gembok di address bar, seringnya saya tinggalkan. Karena semakin kesini semakin sadar akan pentingnya keamanan digital. Dari sini bisa terlihat bahwa website atau blog tanpa SSL, kepercayaan pengunjung akan berkurang dan tentu saja visitor turun.
4. Meningkatkan performa SEO
Adanya SSL juga mendukung performa SEO blog atau website karena algoritma Google sendiri juga menyukai blog atau website dengan SSL atau TLS. Bahkan Google “melarang” untuk mengunjungi website atau blog yang tidak mendukung SSL atau TLS.
Segera pasang SSL Sertifikat di website Anda agar data aman terkendali
Mengetahui betapa krusialnya Sertifikat SSL di blog atau website Anda, maka saya pun merekomendasikan buat kalian semua untuk pasang SSL segera.
Apalagi harganya juga cukup murah. Misalnya di Sectigo yang cocok untuk blog atau website pribadi. Adanya SSL Certificate ini juga mendukung performa SEO.
Dan yang terpenting adalah karena SSL ini, keamanan data akan terjamin dari para penyerang atau hacker. Yang membuat pelanggan Anda senang berkunjung dan loyal ke website dan bisnis Anda.
Untuk pemilik bisnis yang selalu bertukar informasi atau transaksi, adanya Sertifikat SSL ini tentu wajib hukumnya. Jadi, yuk pasang SSL sertifikat sekarang juga.
Sumber pendukung artikel
– Pengalaman pribadi
-https://www.logique.co.id/blog/2023/10/18/contoh-kasus-cyber-crime-di-indonesia/
-https://glints.com/id/lowongan/cyberattack-adalah/
– Sumber gambar dari freepik.com yang diedit ulang
– Vektor karya pribadi penulis
– Gambar bawaan dari template
Baru minggu lalu web saya juga ada yang hack. Diambil sub domain saja sih, tapi lumayan bikin resah. Akhirnya minta bantuan CS provider buat hapusin pengguna baru yang nebeng di domain saya.
lho kok sama, mbak? blogku juga ada yang pakai subdomainnya buat jadi situs judi hedeh untung bisa dihapus tuh situs judinya. bingung juga gimana mereka bisa nebeng di domain saya
Salah satu pengetahuan yang saya dapatkan saat ngeblog dan bikin web sederhana, yaitu penggunaan SSL. Tapi infonya yang sangat detil baru tahu dari tulisan ini. Terima kasih udah berbagai kang…
Ngeri juga ya jadi ingat dulu website kampus juga di hack. Apa ini juga bisa terjadi sama blog? Wah was was juga nih karena kalau dapat hadiah sering dimintain KTP.
Kalau soal KTP, saya cukup care. Diakalin gimana caranya biar tetap aman.
Wah, bahaya juga ya
Emang sekarang banyak juga web di hack
Kudu waspada nih
Iya, makannya kudu pasang SSL biar aman
hmm aku asing banget sama semua bahasa dan penyebutan di sini huhu ternyata aku belum banyak belajar. padahal penting bgt ya supaya gak kena hack dan nanti paham cara mengatasinya. nanti akan aku baca ulang pelan2 bgt deh kak sambil googling biar paham juga. makasih yaaa
Zaman sekarang, informasi sensitif memang sebaiknya dijaga sebaik mungkin. Bahkan ID KTP dan no HP pun menjadi penting untuk dilindungi. Para hacker menggunakan beragam cara untuk bisa mengambil data-data penting tersebut. Bagi pemilik web, sepertinya memang sudah standar untuk memiliki sertifikat SSL ya. Setidaknya pencurian data web dari internet bisa diminimalisir lebih baik.
Soal plugin selain sering diupdate, juga jangan asal install plugin. Seperlunya saja, sesuai kebutuhan blog. Dan pastikan pasang dari penyedia yang sudah terpercaya dengan banyak pengguna.
Memang harus waspada dari segala sisi, apalagi buat yang punya web ya. Back up data kudu rutin dilakukan
Ini pengetahuan yang penting banget sih, selain memang kita perlu update masalah plugin keamanan demi menghindari dari aktivitas hacking, setahu saya sekarang juga banyak banget support system yang membantu kita untuk terjaga dari aktivitas hacking ini. Memang sih kebanyakan itu berbayar,t api menurut saya itu sangat worth it untuk melindungi website kita.
Wah parah banget gak sih. Ini insight baru buat saya. Ijin share link ya kakak, biar teman² saya juga bisa baca
SSL ternyata se-urgent itu yaa..
Tapi dari pengalaman pribadi Kang Amir, ada baiknya kita semua selalu waspada, terutama terkait penyebaran informasi pribadi dan jejak dunia digital. Jadi penting banget memfilter konten yang merupakan ranah pribadi atau sesuatu yang patut dibagikan.