Di tengah lanskap digital Indonesia yang terus berkembang pesat di tahun 2025, memiliki sebuah website adalah aset yang sangat berharga. Namun, bersamaan dengan nilai tersebut, muncul pula risiko yang tak terhindarkan: serangan siber. Pertanyaannya bukan lagi apakah website Anda akan menjadi target, tetapi kapan dan seberapa siap Anda menghadapinya. Serangan hacker tidak hanya dapat mencuri data sensitif, tetapi juga merusak reputasi bisnis yang telah Anda bangun dengan susah payah.

Mengamankan sebuah website ibarat mengamankan sebuah rumah. Anda tidak bisa hanya mengandalkan satu kunci di pintu depan. Keamanan yang efektif adalah tentang menciptakan lapisan-lapisan pertahanan (layered security). Mulai dari fondasi (hosting), pintu dan jendela (titik akses login), hingga sistem alarm internal (plugin keamanan). Jika satu lapisan berhasil ditembus, masih ada lapisan lain yang siap menghadang.

Untungnya, Anda tidak perlu menjadi seorang ahli keamanan siber untuk memperkuat pertahanan website Anda secara signifikan. Panduan ini akan menjabarkan 9 cara praktis dan fundamental yang dapat Anda terapkan untuk mengamankan website di hosting Anda dari berbagai jenis serangan hacker.

1. Gunakan Kata Sandi yang Kuat dan Unik di Semua Lapisan

Ini adalah garis pertahanan pertama dan paling dasar. Kata sandi yang lemah adalah undangan terbuka bagi para peretas. Serangan brute force, di mana bot mencoba ribuan kombinasi kata sandi dalam hitungan menit, sangat umum terjadi.

  • Apa yang Harus Dilakukan:

    • Buat kata sandi yang panjang (minimal 12-16 karakter) dan kompleks (kombinasi huruf besar, huruf kecil, angka, dan simbol). Hindari informasi pribadi seperti tanggal lahir atau nama hewan peliharaan.

    • Gunakan kata sandi yang berbeda untuk setiap akses: cPanel hosting, akun FTP, database, dan yang terpenting, akun admin website Anda (misalnya, admin WordPress).

    • Manfaatkan password manager seperti LastPass atau Bitwarden untuk membuat dan menyimpan semua kata sandi unik Anda dengan aman.

2. Update Secara Teratur: CMS, Plugin, dan Tema

Perangkat lunak yang usang adalah pintu masuk favorit para peretas. Setiap kali ada pembaruan (update) untuk WordPress, Joomla, atau CMS lainnya, serta plugin dan tema yang Anda gunakan, sering kali pembaruan itu menyertakan perbaikan untuk celah keamanan (vulnerability) yang baru ditemukan.

  • Apa yang Harus Dilakukan:

    • Jadikan rutinitas untuk memeriksa dan melakukan update setidaknya seminggu sekali.

    • Aktifkan fitur auto-update jika tersedia, terutama untuk update keamanan minor.

    • Hapus plugin dan tema yang tidak lagi Anda gunakan. Perangkat lunak yang tidak aktif dan tidak terawat tetap bisa menjadi celah keamanan di server Anda.

3. Pilih Penyedia Hosting yang Peduli Keamanan

Keamanan website dimulai dari fondasinya, yaitu server hosting. Anda tidak bisa membangun benteng yang kokoh di atas tanah yang rapuh.

  • Apa yang Harus Dicari:

    • Pilih provider yang menyediakan Firewall tingkat server (WAF) dan proteksi DDoS.

    • Pastikan mereka menggunakan pemindai malware otomatis seperti Imunify360 atau sejenisnya.

    • Cari tahu apakah mereka melakukan server hardening (pengerasan server) secara berkala.

    • Provider hosting premium seperti Dewaweb sering kali menjadikan keamanan sebagai nilai jual utama mereka.

4. Wajibkan Penggunaan Sertifikat SSL (HTTPS)

SSL (Secure Sockets Layer) mengenkripsi data yang dikirim antara browser pengunjung dan server website Anda. Tanpa SSL (yang ditandai dengan https:// dan ikon gembok), data seperti username, password, dan informasi pribadi dikirim sebagai teks biasa yang rentan disadap.

  • Apa yang Harus Dilakukan:

    • Pastikan hosting Anda menyediakan SSL gratis (biasanya melalui Let's Encrypt) dan aktifkan untuk domain Anda.

    • Atur website Anda untuk secara otomatis mengalihkan semua trafik dari http:// ke https://. Ini tidak hanya penting untuk keamanan, tetapi juga merupakan faktor peringkat SEO dan membangun kepercayaan pengunjung.

5. Lakukan Backup Rutin dan Simpan di Lokasi Terpisah

Backup bukanlah langkah pencegahan, melainkan jaring pengaman paling vital. Jika skenario terburuk terjadi dan website Anda berhasil diretas atau rusak, backup yang bersih adalah satu-satunya cara tercepat untuk memulihkan semuanya.

  • Apa yang Harus Dilakukan:

    • Aktifkan fitur backup otomatis yang disediakan oleh hosting Anda (idealnya harian).

    • Selain itu, lakukan backup manual secara berkala (misalnya mingguan) dan unduh filenya.

    • Simpan file backup tersebut di lokasi terpisah (off-site), seperti di komputer lokal Anda dan di layanan cloud (Google Drive, Dropbox). Jangan hanya menyimpan backup di server hosting yang sama, karena jika server diretas, backup Anda juga bisa ikut hilang.

6. Instal dan Konfigurasi Plugin Keamanan (Wajib untuk WordPress)

Bagi pengguna WordPress, menginstal plugin keamanan adalah langkah yang tidak bisa ditawar. Plugin ini berfungsi sebagai sistem alarm dan satpam untuk website Anda.

  • Plugin yang Direkomendasikan: Wordfence, Sucuri Security, iThemes Security.

  • Fungsi Utama:

    • Web Application Firewall (WAF): Memfilter trafik berbahaya sebelum mencapai website Anda.

    • Pemindai Malware: Memeriksa file inti website Anda untuk mencari kode berbahaya.

    • Proteksi Brute Force: Membatasi jumlah percobaan login yang gagal untuk mencegah bot menebak password.

    • Pemantauan File: Memberi tahu Anda jika ada file yang diubah tanpa izin.

7. Ubah URL Login Admin dan Terapkan 2FA

Halaman login admin (seperti wp-admin atau wp-login.php pada WordPress) adalah target utama serangan brute force. Membuatnya sulit ditemukan adalah langkah cerdas.

  • Apa yang Harus Dilakukan:

    • Gunakan plugin seperti WPS Hide Login untuk mengubah URL login Anda menjadi sesuatu yang unik (misal: domainanda.com/masuk-khusus).

    • Aktifkan Two-Factor Authentication (2FA). Ini adalah lapisan keamanan super kuat. Bahkan jika peretas berhasil mencuri kata sandi Anda, mereka tidak akan bisa login tanpa kode verifikasi kedua yang dikirim ke ponsel Anda melalui aplikasi seperti Google Authenticator. Terapkan 2FA untuk cPanel dan akun admin website Anda.

8. Atur Izin File (File Permissions) dengan Benar

Izin file menentukan siapa yang bisa membaca, menulis, dan mengeksekusi file di server Anda. Pengaturan yang salah bisa memungkinkan peretas untuk mengunggah dan menjalankan skrip berbahaya.

  • Aturan Praktis di Lingkungan cPanel:

    • Untuk Folder/Direktori: Atur ke 755.

    • Untuk File: Atur ke 644.

    • Untuk file konfigurasi sensitif seperti wp-config.php: Atur ke 600 atau 440 untuk keamanan ekstra.

    • Jangan pernah menggunakan izin 777 karena ini memberikan akses penuh kepada siapa saja.

9. Gunakan Koneksi yang Aman (SFTP/SSH)

Saat mengelola file website, hindari penggunaan FTP (File Transfer Protocol) biasa karena mengirimkan data (termasuk password) sebagai teks biasa. Gunakan alternatif yang lebih aman.

  • Apa yang Harus Dilakukan:

    • Gunakan SFTP (Secure File Transfer Protocol) atau SSH (Secure Shell). Keduanya mengenkripsi koneksi antara komputer Anda dan server, sehingga data Anda aman dari penyadapan. Tanyakan kepada penyedia hosting Anda cara mengaktifkan dan menggunakan akses SFTP/SSH.

Dengan menerapkan sembilan lapisan pertahanan ini, Anda secara drastis mengurangi risiko website Anda menjadi korban serangan. Ingat, keamanan bukanlah proyek satu kali, melainkan sebuah proses berkelanjutan yang membutuhkan kewaspadaan dan pemeliharaan rutin.