Di tengah gempuran aktivitas online, ancaman serangan hacker terhadap website menjadi semakin nyata dan canggih. Data bocor, website rusak, atau bahkan downtime yang berkepanjangan bisa berdampak serius pada reputasi dan finansial Anda. Mengamankan website tidak hanya menjadi tugas pengembang, tetapi tanggung jawab setiap pemilik website. Bagian integral dari keamanan website Anda terletak pada konfigurasi dan praktik yang aman di sisi hosting.

Berikut adalah 9 cara ampuh untuk mengamankan website Anda di hosting dari serangan hacker.

1. Gunakan Kata Sandi yang Kuat dan Unik

Ini adalah baris pertahanan pertama dan sering diremehkan. Kata sandi yang lemah adalah pintu gerbang termudah bagi hacker.

  • Pentingnya: Mencegah serangan brute-force atau tebakan kata sandi.
  • Cara Menerapkan:
    • Gunakan kata sandi yang kuat untuk semua akun terkait website Anda: cPanel atau panel kontrol hosting lainnya, FTP, database (MySQL), akun email profesional, dan tentu saja, dashboard CMS (seperti WordPress admin).
    • Gabungkan huruf besar dan kecil, angka, dan simbol.
    • Buat minimal 12-16 karakter.
    • Gunakan password manager untuk membuat dan menyimpan kata sandi yang kompleks.
    • Hindari menggunakan informasi pribadi yang mudah ditebak (tanggal lahir, nama hewan peliharaan).

2. Selalu Perbarui CMS, Tema, dan Plugin/Ekstensi

Perangkat lunak yang sudah usang adalah celah keamanan terbesar. Hacker sering mengeksploitasi kerentanan yang ditemukan pada versi lama CMS (WordPress, Joomla, Drupal), tema, dan plugin yang belum diperbarui.

  • Pentingnya: Pembaruan seringkali mencakup patch keamanan untuk menutup celah yang ditemukan.
  • Cara Menerapkan:
    • Aktifkan pembaruan otomatis jika tersedia dan aman (meskipun pembaruan manual tetap direkomendasikan untuk situs produksi setelah backup).
    • Lakukan pembaruan secara rutin segera setelah versi baru dirilis.
    • Hapus tema dan plugin yang tidak terpakai atau sudah tidak didukung lagi.
    • Selalu gunakan tema dan plugin dari sumber terpercaya.

3. Aktifkan Sertifikat SSL/TLS (HTTPS)

SSL/TLS mengenkripsi komunikasi antara website Anda dan pengunjung. Ini bukan hanya untuk e-commerce, tetapi wajib untuk semua website.

  • Pentingnya: Melindungi data yang ditransmisikan dari penyadapan (man-in-the-middle attacks) dan membangun kepercayaan pengguna. Google juga memprioritaskan situs HTTPS dalam peringkat SEO.
  • Cara Menerapkan:
    • Pastikan hosting Anda menyediakan SSL gratis (seperti Let's Encrypt).
    • Instal dan aktifkan SSL melalui cPanel atau panel kontrol hosting Anda.
    • Konfigurasi website Anda untuk selalu menggunakan HTTPS (misalnya, redirect HTTP ke HTTPS melalui .htaccess atau plugin WordPress).

4. Lakukan Backup Website Secara Rutin

Backup adalah jaring pengaman terakhir Anda. Jika website Anda diserang dan rusak, backup yang terbarulah yang akan menyelamatkannya.

  • Pentingnya: Memungkinkan Anda memulihkan website ke kondisi sebelum serangan atau kerusakan.
  • Cara Menerapkan:
    • Manfaatkan fitur backup otomatis yang disediakan oleh penyedia hosting Anda (pastikan frekuensi dan retensinya memadai).
    • Lakukan backup manual secara berkala, terutama sebelum melakukan perubahan besar pada website.
    • Simpan backup di lokasi terpisah dari server hosting Anda (misalnya, di komputer lokal, cloud storage seperti Google Drive atau Dropbox).

5. Batasi Izin Akses File dan Folder (File Permissions)

Izin akses file dan folder yang salah bisa menjadi celah keamanan. Mengatur izin yang terlalu longgar (777) memungkinkan hacker untuk menulis dan mengeksekusi kode berbahaya.

  • Pentingnya: Mencegah hacker mengubah atau menyisipkan file berbahaya ke website Anda.
  • Cara Menerapkan:
    • Atur izin folder ke 755.
    • Atur izin file ke 644.
    • File konfigurasi penting (seperti wp-config.php untuk WordPress) bisa diatur ke 640 atau 600 untuk keamanan ekstra, tetapi pastikan tidak menyebabkan error.
    • Anda bisa mengatur ini melalui File Manager di cPanel atau client FTP.

6. Amankan File wp-config.php (untuk WordPress)

File wp-config.php di WordPress berisi informasi sensitif seperti detail koneksi database Anda. Melindungi file ini sangat penting.

  • Pentingnya: Mencegah hacker mendapatkan akses ke database Anda.
  • Cara Menerapkan:
    • Ubah izin file wp-config.php ke 640 atau 600 jika server Anda mendukungnya.
    • Tambahkan kode berikut di file .htaccess Anda (di folder public_html) untuk mencegah akses langsung ke file wp-config.php:Apache

       

      <Files wp-config.php>
Order allow,deny
Deny from all
</Files>

7. Lindungi Halaman Login Admin

Halaman login admin adalah target utama serangan brute-force atau percobaan login otomatis.

  • Pentingnya: Mencegah akses tidak sah ke dashboard admin Anda.
  • Cara Menerapkan:
    • Ganti URL Login Default (untuk WordPress): Jangan gunakan /wp-admin atau /wp-login.php. Gunakan plugin seperti WPS Hide Login atau Rename WP-Login.php untuk mengubah URL login Anda ke sesuatu yang unik.
    • Limit Login Attempts: Gunakan plugin (misalnya Limit Login Attempts Reloaded) atau fitur di cPanel (misalnya ModSecurity, Imunify360) untuk memblokir alamat IP yang mencoba login berulang kali dengan kata sandi yang salah.
    • Otentikasi Dua Faktor (2FA): Aktifkan 2FA untuk akun admin Anda. Ini menambahkan lapisan keamanan ekstra dengan memerlukan kode dari perangkat lain (misalnya, HP) selain username dan password.
    • Password Protect Directory (dari cPanel): Untuk keamanan ekstrem, Anda bisa menambahkan password tambahan pada folder admin Anda melalui fitur "Directory Privacy" di cPanel.

8. Waspadai Injeksi SQL dan Script Lintas Situs (XSS)

Dua jenis serangan umum ini menargetkan kerentanan pada form masukan data di website Anda atau cara website memproses script.

  • Pentingnya: Mencegah hacker menyisipkan kode berbahaya ke database atau mengeksekusi script di browser pengunjung Anda.
  • Cara Menerapkan:
    • Validasi Input: Pastikan semua form masukan pengguna (komentar, form kontak, search bar) memvalidasi dan membersihkan data input untuk mencegah kode berbahaya disisipkan. Jika Anda menggunakan CMS, ini umumnya sudah ditangani oleh developer CMS, tetapi Anda tetap harus waspada terhadap plugin yang tidak aman.
    • Gunakan WAF (Web Application Firewall): Banyak penyedia hosting menawarkan WAF (misalnya Imunify360, ModSecurity) sebagai bagian dari layanan mereka. WAF memantau dan memblokir lalu lintas berbahaya sebelum mencapai website Anda.
    • Sanitasi Output: Pastikan semua data yang ditampilkan dari database dibersihkan untuk mencegah script berbahaya dieksekusi di browser pengunjung.

9. Gunakan CDN (Content Delivery Network) dengan Fitur Keamanan

CDN seperti Cloudflare tidak hanya mempercepat website Anda, tetapi juga menyediakan lapisan keamanan tambahan.

  • Pentingnya: Melindungi dari serangan DDoS (Distributed Denial of Service) dan memblokir lalu lintas berbahaya.
  • Cara Menerapkan:
    • Daftar ke layanan CDN (banyak yang punya paket gratis seperti Cloudflare).
    • Arahkan Nameserver domain Anda ke CDN tersebut.
    • Manfaatkan fitur keamanan yang ditawarkan CDN, seperti firewall aplikasi web (WAF), perlindungan DDoS, dan pengaturan keamanan lainnya. CDN akan bertindak sebagai proxy antara pengunjung dan server hosting Anda, menyaring lalu lintas berbahaya.

Mengamankan website adalah proses berkelanjutan. Tidak ada solusi "pasang dan lupakan". Dengan menerapkan 9 cara ini secara konsisten, Anda dapat secara signifikan meningkatkan pertahanan website Anda dari serangan hacker dan memastikan kehadiran online Anda tetap aman dan stabil.

Apakah ada aspek keamanan website tertentu yang ingin Anda pelajari lebih lanjut?