Semalt Expert: Cara yang Kurang Baik untuk Melindungi Situs dari Hacker

BacaPedia


Kebanyakan orang menganggap situs mereka tidak penting untuk diretas. Sebuah situs web mungkin dikompromikan oleh hacker untuk menggunakan server tersebut untuk mengirimkan spam atau menggunakannya sebagai server sementara untuk menampung file ilegal. Hacker menargetkan server situs web untuk menambang bitcoin, bertindak sebagai botnet atau permintaan untuk uang tebusan. Hacker menggunakan skrip otomatis untuk melanggar internet dalam upaya untuk mengeksploitasi kerentanan pada perangkat lunak.

Berikut adalah beberapa tip yang disiapkan oleh Igor Gamanenko, Manajer Sukses Pelanggan Semalt, untuk melindungi Anda dan situs Anda.

Up-to-date perangkat lunak


Perangkat lunak pengoperasian server dan perangkat lunak pendukung harus diperbarui secara berkala. Setiap kerentanan dalam perangkat lunak memberi hacker jalan yang lebih mudah untuk memanipulasi dan mewujudkan motif buruk mereka. Jika perusahaan hosting mengelola situs Anda, maka Anda tidak perlu khawatir karena perusahaan tuan rumah harus menjaga keamanan web. Semua aplikasi pihak ketiga harus diperbarui secara berkala untuk menerapkan patch keamanan baru.

Injeksi SQL

Hacker menggunakan serangan injeksi untuk memanipulasi database situs web. Menggunakan standar Transact SQL memudahkan untuk tidak sadar memasukkan kode berbahaya ke dalam query yang dapat digunakan untuk memanipulasi tabel atau menghapus data. Untuk menghindarinya, selalu gunakan query parameter seperti yang digambarkan di bawah ini:

$ Stmt = $ pdo-> prepare ('SELECT * FROM table WHERE column =: value');

$ Stmt-> execute (array ('value' => $ parameter));

Cross site scripting

Bentuk serangan ini menyuntikkan kode JavaScript nakal ke dalam laman web, yang berjalan di browser internet secara anonim, dan dapat mengubah konten web, atau mencuri informasi sensitif untuk dikirim kembali ke peretas. Administrator situs web harus memastikan bahwa pengguna tidak berhasil menyuntikkan konten JavaScript di laman Anda. Menggunakan alat seperti Kebijakan Keamanan Konten mengarahkan peramban web untuk membatasi bagaimana dan apa JavaScript berjalan di laman.

Pesan kesalahan

Administrator situs web harus berhati-hati terhadap informasi yang ditampilkan dalam pesan kesalahan Anda. Hanya memberikan kesalahan yang terbatas kepada pengguna Anda, untuk memastikan bahwa mereka tidak memberikan data rahasia pada server Anda seperti kata sandi atau kunci API.

Kata sandi


Hal ini sangat penting untuk menggunakan password yang kompleks untuk mengakses server Anda atau halaman admin situs web. Pengguna juga harus didorong untuk menggunakan kata kunci yang kuat untuk mengamankan akun mereka. Kombinasi huruf besar, huruf kecil, angka dan karakter khusus merupakan kata sandi yang aman. Password harus disimpan menggunakan algoritma hashing. Keamanan situs web dapat ditingkatkan dengan menggunakan garam baru dan unik per kata kunci.

Upload file

Untuk mencegah upaya hacking, disarankan untuk menghindari akses langsung ke file yang diunggah. File yang diunggah ke situs web Anda harus disimpan dalam folder terpisah di luar Webroot. Script yang berbeda harus dibuat untuk mengambil file dari folder pribadi dan memanfaatkannya ke browser.

HTTPS

Ini adalah protokol, yang memberikan keamanan melalui web. Ini menjamin pengguna bahwa mereka mengakses server yang mereka harapkan dan bahwa hacker tidak dapat mencegat konten yang mereka transit. Situs web yang mendukung kartu kredit atau formulir pembayaran lainnya harus menggunakan cookie asli yang dikirim dengan permintaan pengguna. Ini membantu mengautentikasi permintaan sehingga mengunci serangan.

Gunakan alat keamanan situs web

Setelah Anda melakukan semua tindakan di atas, pengujian keamanan situs web Anda sangat penting. Yang terbaik dilakukan dengan menggunakan alat uji penetrasi, yaitu Netsparker, OpenVAS, Security Headers.io dan Xenotix XSS Exploit Framework. Hasil penggunaan alat ini menghadirkan berbagai kekhawatiran potensial dan solusi lanjutan yang mungkin.