Bagaimana Merancang Keamanan Website dan Dampaknya Bagi Suatu Website
TUGAS JURNAL
Bagaimana Merancang Keamanan
Website dan Dampaknya Bagi Suatu Website
MATA KULIAH PENGANTAR WEB SCIENCE
Disusun Oleh:
Nama
: Risda Novelia
NPM
: 51420112
Kelas
: 2IA18
TEKNIK INFORMATIKAUNIVERSITAS GUNADARMA2022
ABSTRAK
Keamanan website merupakan satu hal
penting dalam perancangan sebuah website. Namun masih banyak developer website
yang kurang teliti dalam meningkatkan keamanan website mereka. Seharusnya para
developer website harus menerapkan keamanan website yang baik di awal
perancangan website mereka, karena mungkin suatu saat website yang telah mereka
bangun akan menjadi target pengerusakan oleh hacker. Selain itu developer
website juga harus sering mengikuti tren serangan terbaru agar mereka dapat mempertahankan
dan memperbaiki website mereka dari hal-hal yang tidak diinginkan. Ada beberapa
masalah pada celah keamanan diantaranya : cross-site scripting, information
leakage, authentication and authorization, Session management, SQL injection,
CSRF dan lain – lain.
A. PENDAHULUAN
Perkembangan website di Indonesia
sekarang ini sangat pesat, hal ini terjadi karena semakin bertambahnya jumlah
pengguna layanan internet dari tahun ke tahun. Beberapa website yang sering
diakses oleh pengguna diantaranya search engine, e-commerce, social networking,
forum, portal berita dan lain – lain. Akan tetapi dibalik kemudahan layanan
yang disediakan oleh setiap website tersebut ternyata terdapat beberapa masalah
pada celah keamanan diantaranya: cross-site scripting, information leakage,
authentication and authorization, Session management, SQL injection, CSRF dan
lain–lain. Dengan memanfaatkan celah kemanan ini seseorang dapat melakukan
hacking pada website tersebut.
Memasuki era teknologi informasi sekarang ini, berbagai ilmuan dalam bidang ilmu teknologi telah mengembangkan berbagai cara dalam mengatasi permasalahan sistem keamanan suatu dalam suatu data. Mereka mengembangkan berbagai cara untuk menangkal serangan – serangan yang bisa mengancam keamanan data. Salah satu cara yang ditempuh untuk mengatasi permasalahan ini adalah dengan menggunakan metode penyandian pesan yang disebut sebagai ilmu kriptografi yang menggunakan transformasi data sehingga data yang dihasilkan tidak dapat dimengerti oleh pihak ketiga. Transformasi ini memberikan solusi pada dua masalah keamanan data, yaitu masalah privasi (privacy) dan keautentikan (authentication). Privasi mengandung arti bahwa data yang dikirim hanya dapat dimengerti oleh penerima yang sah. Sedangkan keautentikan mencegah pihak ketiga untuk mengirimkan data yang salah atau mengubah data yang dikirimkan. Sehingga pengiriman data akan menjadi lebih secure terhadap serangan dari pihak ketiga yang tidak berhak merubah semua informasi pada data – data tersebut.
B. PENGERTIAN WEBSITE
Website adalah kumpulan halaman yang
berisi informasi tertentu dan dapat diakses dengan mudah oleh siapapun,
kapanpun, dan di manapun melalui internet. Website pertama di dunia dibuat oleh
Tim Berners-Lee pada akhir 1980-an dalam project World Wide Web (W3). Website
tersebut resmi diluncurkan secara online pada 6 Agustus 1991. Tujuan dibuatnya
website milik Tim adalah memudahkan para peneliti di tempatnya bekerja untuk
bertukar informasi. Sehingga, penggunaan website itu sendiri masih terbatas di
lingkungan kerjanya saja di CERN. Dan
pada 30 April 1993, website mulai dikenalkan kepada masyarakat dan dapat
digunakan secara gratis oleh siapapun, baik individu, organisasi, maupun
perusahaan. Dari sanalah website berkembang secara pesat hingga saat ini.
C. KEAMANAN WEB
Secara umum,
web security atau keamanan web mengacu pada tindakan perlindungan dan protokol
yang diadopsi oleh pengelola web untuk melindungi dan mengamankan data situs
web dan server agar tidak terpapar oleh penjahat dunia maya atau untuk mencegah
eksploitasi situs web dengan cara apapun. Keamanan web sangat penting untuk
kelangsungan bisnis dan untuk melindungi data, pengguna dan perusahaan dari
berbagai risiko. Website ini hanya dapat dibuka melalui jaringan internet. Itu
sebabnya website ini sangat memerlukan keamanan website agar terhindar dari
kemungkinan serangan hacker. Seperti
yang kita ketahui, hacker hanya dapat
menemukan dan merusak website apabila terkoneksi dengan jaringan internet. Maka
dari itu, sebagai pengguna website sebaiknya perlu untuk mengetahui cara-cara
untuk menjaga keamanan website agar tehindar dari kerugian yang tidak
diinginkan. Keamanan website dapat disusun setelah memperhatikan tiga poin
penting sebagai fondasi awal terbentuknya sebuah website.
Ketiga poin tersebut antara lain
adalah sebagai berikut :
1. Proteksi (protection)
Ada berbagai banyak cara untuk memproteksi sebuah website. Namun yang terpenting dalam keamanan website adalah jangan sampai membiarkan proteksi website Anda lemah. Salah satu cara yang dapat dilakukan adalah dengan lebih selektif memilih penyedia layanan web hosting. Banyak web hosting provider yang menawarkan harga murah namun ternyata kualitasnya lebih rendah. Resiko dari kualitas yang rendah adalah kemungkinan terkena ulah hacker yang lebih tinggi. Lebih baik memilih provider yang benar-benar terpercaya dan memiliki kualitas yang stabil dan baik. Memastikan untuk membatasi dan menjembatani website sedari awal adalah tindakan tepat.
2. Deteksi (detection)
Mendeteksi sejak awal dan menginstall beberapa aplikasi atau software yang dapat membantu website anda menemukan atau mengetahui keanehan atau hal yang tidak biasa pada website adalah hal kedua yang harus dilakukan. Apabila Anda telah memilih web hosting provider yang stabil dan baik, maka hal selanjutnya yang perlu Anda lakukan adalah mendeteksi hal-hal apa saja yang tidak biasa yang mungkin dapat terjadi pada website tersebut. Seorang hacker bisa saja menyusup kedalam sebuah website kemudian meninggalkan atau mengupload sebuah kode tertentu maupun sebuah virus. Di kemudian hari, kode atau virus tersebut dapat digunakan sebagai jalan untuk menghack website tersebut. Maka dari itu, keamanan website perlu dievaluasi secara berkala dan ditingkatkan kembali. Mendeteksi secara dini adalah tindakan pencegahan yang harus dilakukan.
3. Pemulihan (recovery)
Tidak jarang
sebuah website mengalami down karena
banyaknya pengunjung pada satu waktu, atau karena hal-hal lainnya. Yang
biasanya dilakukan adalah mensetting ulang / reboot sistem website tersebut. Hal yang sering terlupa adalah pada
saat reboot tersebut, bukan tidak
mungkin seorang hacker dapat menyusup
ke website Anda. Maka dari itu, untuk meningkatkan keamanan website, setidaknya
Anda juga perlu untuk mem-back up situs
tersebut. Ada beberapa aplikasi dan provider yang menyediakan layanan back up website. Sehingga Anda juga
tidak perlu cemas akan kehilangan data-data yang penting. Selain itu, perlu
juga untuk menambahkan beberapa tools
anti virus atau sistem keamanan lainnya untuk memperkuat sistem keamanan
website agar security system terjaga
dengan lebih baik lagi.
D. JENIS SERANGAN WEBSITE
Pentingnya
sebuah sekuritas atau keamanan yang perlu terus ditingkatkan agar pertahanan
pada website semakin kuat sehingga semakin terhindar dari serangan. Serangan
yang terjadi bisa berbagai macam, berikut adalah beberapa jenis serangan yang
terjadi pada website yaitu:
1.
Malware
Malware terdiri dari beberapa
jenis. Malware merupakan perangkat lunak untuk merusak sistem dan server tanpa
izin. Karena bisa merusak sebuah sistem maka tidak menutup kemungkinan untuk terjadi
pencurian data atau informasi yang tersimpan dalam sistem.
2.
Deface Website
Deface Website adalah bentuk
serangan permulaan dan biasanya penyerang melakukan hal ini pertama kali untuk
menemukan kelemahan website terlebih dahulu sebelum melanjutkan serangan
berikutnya. Tujuannya yang umum yaitu untuk provokasi atau pengalihan terhadap
hal tertentu.
3.
DDoS Attack
DDoS Attack adalah singkatan dari
Distributed-Denial-of-Service attackyaitu serangan berturut-turut yang nantinya
akan menyebabkan sistem overload. Serangan ini ditakuti karena membuat website
tidak bisa diakses oleh pengunjung dan bisa juga menyerang Transmission Control
Protocol dan User Datagram Protocol.
4.
Brute Force Attack
Berbeda dengan DDoS, serangan ini dilakukan berulang kali
untuk login ke website dengan username dan password yang sudah di list. Jika
penyerang berhasil login, terutama login ke dashboard admin, maka bisa saja
penyerang mengubah dan mengutak-atik isi dari website.
E. CARA MENGETAHUI TINGKAT KEAMANAN WEBSITE
Seorang hacker pasti akan mencari celah keamanan
website dengan cara apapun. Maka dari itu Anda tetap harus waspada dan
mengintegrasikan website Anda dengan berbagai macam aplikasi maupun software
yang dapat melindungi keamanan website Anda, misalnya saja email, one password, handphone pribadi, dan
lain sebagainya. Ada berbagai macam cara membuat web security dapat berjalan
dengan baik. Diantaranya adalah Confidentiality, Integrity, dan Availability.
•
Confidentiality
adalah semua informasi yang ada didalam website hanya dapat diakses oleh
administrator.
•
Integrity
adalah semua data yang berada didalam website, hanya dapat diubah maupun
dihapus oleh administrator.
•
Availability
adalah ketersediaan sebuah website untuk diakses ketika administrator
memerlukan data dan informasi yang disimpan dalam website tersebut.
Selain itu, masih banyak tools atau alat aplikasi dan software
yang dapat digunakan untuk mengecek keamanan website. Antara lain adalah Web
Security Guard, McAfee Site Advisor, dan Link Scanner Lite. Web Security Guard dan McAfee Site Advisor
memiliki penekanan untuk melakukan pengecekan secara online tanpa instalagi
program. Sedangkan Link Scanner Lite dapat melakukan pengecekan terhadap
script, konten, dan downloader yang berbahaya pada website namun belum dapat
melakukan pengecekan terhadap adanya spyware
dan adware pada website.
F. JENIS-JENIS KEAMANAN WEBSITE
Pengamanan
web system yang bisa diterapkan ada bermacam-macam jenis dan kategori. Antara
lain adalah sebagai berikut :
1. Keamanan website dari aplikasi
Ada banyak aplikasi yang dapat dipakai untuk meningkatkan keamanan
website. Beberapa aplikasi tersebut antara lain adalah :
•
Enkripsi password. Sebuah website yang aman
pasti menggunakan enkripsi antara web browser dan web servernya. Hal ini biasa
disebut sebagai SSL (Secure Sockets Layer) yang memiliki prinsip yang sederhana
dan biasanya ditampilkan melalui https:// sebelum www dan nama domain website
Anda.
•
Aplikasi yang sedikit ‘memaksa’ pengguna untuk
memasukkan password dengan kriteria tertentu. Yaitu harus menggunakan kombinasi
huruf besar, huruf kecil, angka, simbol, serta memiliki minimal panjang
karakter tertentu.
•
Tambahan penggunaan Captca untuk memastikan yang
menginput password tersebut adalah manusia dan bukan robot/komputer.
• Maksimal
kesalahan input password sebanyak tiga kali kemudian akun akan otomatis disable
atau tidak dapat diakses kecuali membuka dari email, handphone, atau aplikasi
yang telah dikoneksikan sebelumnya.
2. Keamanan website dari server
Dari sudut pandang server, Anda
harus memilih server yang benar-benar trusted
dan stabil.
Sering-sering
mengupdate server, karena biasanya server lama memiliki kelemahan dan celah.
Serta lebih baik apabila mengarahkan http:// ke https:// karena tingkat
keamanan website akan lebih aman dan servernya terjamin.
3. Keamanan website dari infrastruktur
menggunakan firewall sebagai blocking untuk
membantu keamanan website. Dengan menggunakan firewall, semua hal yang tidak
aman bisa langsung di block sehingga tidak akan sampai berdampak lebih jauh
lagi terhadap sebuah website.
G. MANFAAT MENERAPKAN DATA SECURITY
1.
Melindungi Semua Informasi Berharga adalah informasi
penting yang tidak dimaksudkan untuk setiap stalker (pengintip). Keamanan data
menyimpan semua informasi ini tepat di tempatnya.
2.
Menjaga Reputasi, Setiap organisasi yang dapat
menyimpan rahasia juga membantu membangun kepercayaan di antara semua pemangku
kepentingan termasuk pelanggan, yang mengetahui bahwa data mereka aman dan
terjamin.
3.
Marketing (Pemasaran) dan Keunggulan Kompetitif,
Menjaga informasi sensitif dari akses dan pengungkapan ilegal membuat Anda
unggul dari competitor atau pesaing Anda. Mencegah akses apa pun ke rencana
pengembangan atau perluasan masa depan Anda adalah kunci dalam mempertahankan
keunggulan kompetitif Anda.
4. Menghemat Biaya Development dan Support, Semakin awal Anda memasang fitur keamanan ke dalam aplikasi Anda, semakin sedikit biaya yang mungkin Anda keluarkan dari dukungan di masa mendatang dan biaya pengembangan dalam hal modifikasi kode.
H. CARA MENINGKATKAN KEAMANAN WEBSITE
1.
Gunakan SSL
Penggunaan Secure Sockets Layer (SSL) merupakan
hal paling utama untuk membuat website aman. Penggunaan SSL akan nampak pada
alamat domain website yang diawali dengan “https” atau dengan icon gembok pada
domain tersebut, bahwa koneksi antara browser dengan server website berjalan
dengan aman dan terenkripsi. Website dengan enkripsi https telah ditandai
Google sebagai website yang aman, sedangkan website dengan http ditandai dengan
‘not secure’ atau tidak aman
2.
Selalu update CMS website.
Sangat penting untuk memastikan
menggunakan versi CMS yang terbaru dan terupdate. Hal ini bertujuan untuk
menghindari peretasan yang dilakukan hacker yang menggunakan metode hacking
secara otomatis yang hanya dapat bekerja pada software yang sudah usang atau
tidak pernah diupdate. Software yang sudah usang sangat mudah di hack dengan
menggunakan bots yang melakukan scanning dan mencari celah secara terus menerus
untuk dibobol. Jadi pastikan untuk selalu menggunakan CMS versi terbaru pada
website kamu.
3.
Perhatikan konfigurasi server.
Kita harus mengetahui apa saja
jenis konfigurasi yang digunakan pada web server, misalnya Apache, Nginx, dan
Microsoft IIS. Hal ini bertujuan untuk menerapkan pengaturan tertentu yang akan
bekerja pada server sesuai dengan perintah untuk meningkatkan keamanan website.
Web server ini merupakan software yang bekerja pada web client, supaya browser
dapat menampilkan halaman dan data yang diminta.
4.
Gunakan satu situs untuk satu server.
Web hosting dengan shared IP atau
beberapa website yang menggunakan satu lokasi IP address memang cukup populer,
namun sayangnya hal ini malah dapat memicu risiko cyber crime yang lebih besar.
Hosting lima situs pada satu server jelas akan lebih beresiko dibandingkan jika
menggunakan dedicated IP Address. Karena hacker dapat menemukan kelemahan suatu
situs dan dapat menyebar ke situs lainnya. Kerugiannya adalah data yang hilang,
proses recovery yang membutuhkan waktu dan usaha, serta kemungkinan masih bisa
terkena serangan lagi karena masih dalam satu circle IP Address yang sama.
5.
Batasi akses pengguna.
Jika website yang kamu kelola
memiliki beberapa login, maka sangat penting untuk membatasi akses setiap
penggunanya. kamu dapat mengatur peran pengguna yang login ke website kamu.
Misalnya admin, editor, anggota, dan lain sebagainya. Hal ini biasanya berlaku
pada blog. Hal ini merupakan tindakan pencegahan untuk mengurangi risiko
kerusakan yang diakibatkan oleh human error.
6.
Perkuat password.
Selalu ingat untuk menggunakan
kombinasi password yang rumit dan sulit. Gabungkan huruf dengan tanda baca,
sisipkan huruf besar, angka, simbol, dan lain sebagainya.
7.
Ganti pengaturan default CMS.
Setelan default CMS website
memang mudah digunakan bagi pemula. Selain pengaturannya yang sederhana,
pengoperasiannya juga mudah dan cepat. Namun hal ini berbahaya bagi keamanan
website kamu. Default CMS sangat berbahaya untuk keamanan end user.
8.
Backup data website.
Backup dilakukan untuk
menyelamatkan data-data jika seandainya website berhasil dibobol. Jika data
kamu dicuri, diubah, atau disandera, kamu masih memiliki cadangan data yang
aman di tempat lain.
9.
Install ekstensi yang terpercaya.
CMS biasanya dilengkapi dengan banyaknya pilihan aplikasi
ekstensi yang tersedia untuk diinstall pada website. Misalnya saja plugin,
add-ons, dan lain sebagainya. Menambahkan ekstensi hampir sama dengan menambah
fitur-fitur pada website kamu. Namun di satu sisi, kamu perlu berhati-hati
karena ekstensi bisa saja menjadi celah berbahaya yang bisa dimanfaatkan oleh
hacker.
10. Perhatikan
akses user untuk file permission.
File permission merupakan hak
akses user dalam read, write, dan execute file dalam website. Read adalah hanya
melihat isi file, write adalah mengubah isi file, dan execute adalah
menjalankan file program atau script. Ada tiga jenis pengguna dalam website
yaitu owner, group, dan public. Masing-masing memiliki pengaturan dan batasan
tersendiri terhadap akses read, write, dan execute. Pastikan komposisi untuk
ketiga bagian ini sesuai.
REFERENSI
https://blog.wowrack.co.id/2017/05/cara-membuat-keamanan-website.html
https://algotech.co.id/dampak-dampak-ancaman-keamanan-website-untuk-bisnis
https://rifqimulyawan.com/blog/pengertian-data-security/
https://teknologi.id/teknologi/inilah-alasan-untuk-meningkatkan-keamanan-website
Komentar
Posting Komentar