Macam dan Jenis Ancaman pada Website dan Cara Pencegahannya

Oleh :
ERIGO BAYU AJI
(19550010)

ABSTRAK
Pada saat ini website menjadi salah satu media informasi modern yang berkembang sangat
cepat. Dalam pembuatan website tidak hanya sisi desain dan informasi yang dipentingkan
tetapi aspek keamanan dari sebuah website itu sendiri mempunyai peranan yang sangat
penting dalam sebuah website. Kebutuhan keamanan sebuah website timbul dari
kebutuhan untuk melindungi data. Pertama, dari kehilangan dan kerusakan data. Kedua,
adanya pihak yang tidak hendak mengakses dan merubah data. Permasalahan lainnya
mencakup perlindungan data dari delay yang berlebih pada saat mengakses atau
menggunakan data.
 PENDAHULUAN
Latar Belakang
Keamanan web, sangat erat kaitannya dengan jaringan, karena untuk mengakses
sebuah website pasti dibutuhkan koneksi jaringan. Saat ini sangat pesat sekali
perkembangan teknologi website, jaringan dan bermacam ancaman keamanan yang
dihadapi, seperti ancaman terhadap kerahasiaan yang sering dihadapi adalah
hacker, Masquerader,virus virus dari internet maupun dari media transfer data
seperti flasdisk, hardisk eksternal, melalui jaringan LAN, download file tanpa
proteksi, Trojan horse, Aktifitas user yang tidak terotorisasi dan masih banyak lagi
ancaman keamanan yang kadang tidak kita sadari. Keamanan suatu website atau
web security system merupakan salah satu prioritas yang sangat utama bagi
seorang webmaster. Tetapi kebanyakan para webmaster hanya mengutamakan
design dan topik apa yang harus disediakan supaya menarik pengunjung sebanyak-
banyaknya. Padahal jika seorang webmaster mengabaikan keamanan suatu website,
maka yang dirugikan adalah webmaster itu sendiri karena seorang hacker dapat
mengambil data-data penting pada suatu website dan bahkan pula dapat mengacak-
acak tampilan website(deface) tersebut.
Rumusan Masalah
Rumusan masalah pada makalah ini adalah Apa yang saja ancaman yang mengancam
keamanan website dan cara menanganinya.

Tujuan
1.Mengetahui Ancaman dan penyebab yang dapat mengancam Website
2.Mengetahui cara mengatasi ancaman yang dapat membahayakan Website

PEMBAHASAN
1. Ancaman dan yang dapat mengancam Website
Serangan yang dilakukan oleh para hacker memiliki berbagai macam cara. Target mereka
biasanya website dengan reputasi terpercaya yang berpotensi menghasilkan keuntungan
besar. Contohnya adalah website milik lembaga pemerintahan, perbankan, atau lembaga
keuangan serta perusahaan besar. Motif hacker ini tidak lain adalah untuk mencari
keuntungan dengan aksi kejahatan di dunia maya (cyber crime). Beberapa aksi kejahatan
dalam dunia maya yang kerap dilakukan hacker antara lain adalah:

Malware

Jenis serangan berupa malware sering terjadi pada website tertentu melalui perangkat
lunak berbahaya. Jenis malware berbahaya yang terdapat dalam software biasanya adalah
ransomware. Serangan ini muncul saat kamu mengklik pada link yang dianggap berbahaya
atau membuka attachment yang bisa menginstal aplikasi berbahaya secara otomatis.
Bila serangan malware ini berhasil, maka semua data penting dari perangkat maupun
website akan mudah diretas. Dampak buruknya, tidak hanya data yang bisa diretas, tapi
para hacker pun bisa menggunakan datamu untuk bertindak kejahatan lain.

Salah satu jenis malware yang digunakan adalah Trojan Horse yang dapat merusak
sebuah sistem. Trojan ini dapat digunakan untuk memperoleh informasi dari target seperti
password, system log dll, dan dapat memperoleh hak akses dari target. Trojan merupakan
software yang berbeda dengan virus atau worm karena trojan ini bersifat stealth dalam
beroperasi dan seolah-olah seperti program biasa yang tidak mencurigakan dan trojan juga
bisa dikendalikan dari komputer lain (attacker). ada beberapa jenis trojan dan 3
diantaranya yaitu:

1. Pencuri Password -> jenis trojan ini dapat mencuri password yang

disimpan didalam sistem dengan cara membuat tampilan seolah-olah
tampilan login dengan menunggu host memasukan passwordnya pada saat
login kemudian password tersebut akan dikirimkan ke attacker
2. Keylogger -> Jenis Trojan akan merekam semua yang diketikan oleh host
dan mengirimkanya ke attacker.
3. RAT (Remote Administration Tools)-> Jenis trojan ini mampu
mengambil alih kontrol secara penuh terhadap sistem dan dapat melakukan
apapun yang attacker mau dari jarak jauh seperti memformat hardisk,
mengedit dan menghapus data dll
 Pharming
Serangan ini merupakan pengalihan situs dari situs resmi ke situs palsu dengan tujuan
untuk mendapatkan data pengunjung. Biasanya korban serangan ini merasa tidak sadar dan
tidak mengetahui jika situs yang dikunjungi sedang dibajak. URL di mesin pencarian kamu
menampilkan website yang sah, tapi sebenarnya yang terjadi tidaklah demikian.

Teknik pharming banyak menyerang website lembaga keuangan dan bank dengan
membuat tampilan website yang mirip dengan website bank si pengunjung website.
Korban akan mengetahui dirinya sebagai korban kejahatan siber ini ketika uang dalam
rekening berkurang drastis karena data-data perbankan itu sudah dibobol hacker saat
membuka website.

 Denial of Service
Berikutnya yang perlu diwaspadai dari serangan cyber crime para hacker pada website
kamu adalah Denial of Service (DoS). United States Computer Emergency Readiness
Team mendefinisikan serangan ini sebagai serangan yang mengganggu server tertentu dan
para penyerang ini akan membanjiri situs hosting yang bertujuan meningkatkan traffic,
sehingga pengguna resmi tidak dapat mengaksesnya.

Serangan DoS ini mampu melumpuhkan sebuah website dan menimbulkan kerugian yang
tidak sedikit. Terlebih lagi bila situs atau website yang diserang merupakan website milik
lembaga pemerintahan atau layanan perbankan.
  Man in the Middle
Seperti namanya, jenis cyber crime ini merupakan serangan yang menempatkan hacker di
antara jalur komunikasi dua pengguna. Hacker tersebut akan mengetahui seluruh informasi
yang dilakukan oleh kedua pengguna tersebut. Kemudian hacker akan mencegat dan
mengalihkan informasi yang mengalir tersebut, lalu memodifikasinya.

Tidak jarang pula mereka juga menyisipkan malware dan berbagai virus berbahaya
lainnya. Bila kamu menjadi korbannya, bisa jadi jalur komunikasi yang kamu lakukan
dengan pengguna lainnya akan terganggu bahkan tidak bisa diakses sama sekali.
Sementara datamu perlahan diretas oleh hacker. Oleh karena itu, enkripsi di website adalah
hal penting yang perlu kamu perhatikan ketika mengutak-atik website. Salah satu contoh
yang digunakan dalam MITM adalah sniffer

Sniffer Paket atau penganalisa paket (arti tekstual: pengendus paket — dapat pula diartikan
‘penyadap paket’) yang juga dikenal sebagai Network Analyzers atau Ethernet Sniffer
ialah sebuah aplikasi yang dapat melihat lalu lintas data pada jaringan komputer.
Dikarenakan data mengalir secara bolak-balik pada jaringan, aplikasi ini menangkap tiap-
tiap paket dan kadang-kadang menguraikan isi dari RFC(Request for Comments) atau
spesifikasi yang lain. Sniffer paket dapat dimanfaatkan untuk hal-hal berikut:

1. Mengatasi permasalahan pada jaringan komputer.

2. Mendeteksi adanya penyelundup dalam jaringan (Network Intusion).
3. Memonitor penggunaan jaringan dan menyaring isi isi tertentu.
4. Memata-matai pengguna jaringan lain dan mengumpulkan informasi
pribadi yang dimilikanya (misalkan password).
5. Dapat digunakan untuk Reverse Engineer pada jaringan.
Paket-paket yang terkenal WireShark, tcpdump, Ethereal, Ettercap, dSniff, EtherPeek dan
AiroPeek

 Cross-Site Scripting (XSS)

Cross-Site Scripting sekilas tidak jauh berbeda dengan Man in the Middle yang dilakukan
para hacker. Hacker akan menyerang sebuah situs atau website dengan menyelipkan kode-
kode tertentu. Setelah memasukkan kode ke dalam website tersebut, nantinya data
pengguna akan tertuju pada hacker, mulai dari username, password, dan data lainnya.

Tidak hanya korban yang merasa dirugikan, namun serangan ini juga akan membuat
reputasi website semakin buruk sehingga perlahan akan ditinggalkan oleh pengunjung.
Website dengan sistem keamanan yang buruk biasanya akan menjadi sasaran bagi para
hacker untuk melakukan aksi kejahatan ini.

 Phishing
Para berandalan digital ini memanfaatkan halaman aplikasi web tiruan yang mirip
dengan aplikasi web kita dan membuat user terjebak dengan halaman yang salah dan
dikira adalah halaman asli kita. Selain halaman web yang hampir serupa, nama domain
pun hampir serupa karena biasanya ada saja user yang kedapatan salah ketik saat
mengakses aplikasi web kita.

Misal ketika seseorang ingin mengakses http://www.facebook.com ternyata ada nama

domain lain yang serupa misalnya http://www.facebooks.com atau
http://www.facebok.com, lalu apa yang terjadi? Ketika user ingin melakukan
pembayaran untuk kursus online menjadi web programmer ternyata nama domain
yang diakses salah dan malah memasukkan informasi penting seperti no kartu kredit
kepada halaman salah tersebut.

1. Mengatasi ancaman yang mengancam Website

2. Backup rutin Ini yang paling wajib untuk dilakukan. Backup file-file dan
database-nya secara berkala, sesuai dengan frekuensi pembaruan (update) isi
website. Kalau websitenya diperbarui setiap hari, backup-lah setiap hari, begitu
seterusnya. Backup ini penting, untuk mencegah kemungkinan terburuk yang bisa
terjadi. Kalau website kita diserang dan hancur-hancuran, kita masih bisa
mengembalikan website-nya dari backup ini. Kita bisa melakukan backup secara
manual lewat server, namun beberapa Content Management System (CMS) punya
plugin untuk melakukan backup secara otomatis. Jasa backup pihak ketiga seperti
Carbonite dan Mozy, walau mungkin relatif mahal namun bisa membantu Anda
dan perusahaan tempat Anda bekerja untuk melakukan backup website/data.
3. Gunakan Strong password yang kuat dan tidak pasaran. Yang paling kuat,
sebaiknya gunakan password lebih dari 8 karakter, dan merupakan perpaduan dari
huruf, angka, dan karakter (seperti ! @ # . , dsb). Hal ini untuk mencegah password
kita dibongkar dengan praktek bruteforce (membongkar password dengan mencoba
semua kemungkinan). Sama seperti saran password untuk semua hal, jangan
gunakan password yang gampang ditebak seperti tanggal lahir, nomer telepon,
nomor rumah, dsb. Kalau tetep mau pake itu, pastikan dikombinasikan juga dengan
huruf, angka, dan karakter.
4. Cek Akses Server Website. Apabila kita punya akses pada server website kita, cek
apakah software-software yang digunakan di server seperti sistem operasi, web
server, PHP, MySQL, mail server, versi cPanel, dsb, selalu yang paling baru. Kalau
tidak punya akses ke server, silakan tanya ke penyedia web hostingnya untuk
mengetahuinya. Seperti poin poin b, penjahat Internet biasanya sudah mengetahui
kelemahan-kelemahan software versi lama.
5. Cek dan cegah adanya malware atau program jahat bercokol di website kita.
Google punya alat untuk mendeteksi itu. Namanya Google Webmaster Tools
(walaupun fungsinya tidak cuma untuk keamanan). Lihat menu Labs > Malware
details untuk mengetahui apakah ada malware yang ditemukan oleh Google di
website kita.
6. Enkripsi pada halaman sensitif, halaman sensitif yang dimaksud adalah halaman-
halaman website Anda dimana kita akan memasukkan data-data sensitif seperti
misalnya username dan password.  Sebagai contoh, halaman login WordPress
(dashboard), yakni pada folder wp-admin.  Atau contoh lain, halaman login
administrator pada Joomla yakni pada folder administrator.  Contoh lainnya, adalah
 halaman untuk mengakses email Anda dll. Halaman-halaman ini, jika tidak
menggunakan jalur komunikasi data yang aman, akan sangat mudah bagi seorang
hacker dalam mencuri data-data sensitif kita tersebut.  Pengamanan halaman-
halaman semacam ini bisa kita lakukan dengan mudah sebenarnya, yakni dengan
menggunakan SSL.
7. Batasi Penyebaran Informasi Sensitif, Terkadang kita tidak bisa menghindari
penyebaran informasi-informasi sensitif yang kita miliki, misalnya username dan
password untuk login ke cPanel dan lain sebagainya.  Informasi-informasi
semacam ini suka tidak suka, terpaksa harus kita berikan kepada rekan kerja kita
misalnya.  Batasi jumlah orang yang mengetahui informasi semacam ini, dan
jangan sebarluaskan jika memang bisa.
Untuk login ke website perusahaan Anda misalnya, sebisa mungkin setiap staff
memiliki username dan password mereka masing-masing (dan jangan gunakan 1
username dan password secara bersama-sama).  Jika staff bersangkutan sudah tidak
lagi bekerja di perusahaan Anda, segera ganti password nya dan atau non-aktifkan
account staff tersebut sehingga Anda tetap bisa menjamin keamanan website
perusahaan Anda.
8. Gunakan koneksi jaringan yang aman, Hindari untuk terhubung (konek) ke
internet pada jaringan yang tidak aman atau settingan keamanannya tidak jelas,
misalnya pada tempat-tempat umum/cafe/restoran/lounge dll.  Jika Anda terpaksa
harus terhubung ke internet melalui tempat-tempat semacam ini, gunakanlah jasa
web proxy yang terpercaya seperti misalnya OpenVPN.
9. Selalu Update, Para pengembang software/website pada saat mengembangkan
software mereka, belum tentu tahu akan setiap celah keamanan dan kekurangan
dari software yang mereka kembangkan tersebut.  Oleh karena itu, dari waktu ke
waktu, mereka akan “menambal” celah keamanan yang mungkin mereka temukan
pada software mereka dengan update-update.  Jika Anda mendapatkan
pemberitahuan/notifikasi mengenai hal ini, segera update software/website Anda
tersebut.
10. Pahami Tentang Link Website, Pernahkah Anda meng-klik suatu link yang Anda
kira akan menuju ke halaman website yang memang ingin Anda tuju, namun Anda
malah diarahkan ke halaman-halaman website porno/judi/obat-obatan?  Sekarang
bayangkan jika link semacam itu ada pada salah satu atau beberapa halaman
website Anda.  Orang-orang yang sering melakukan spamming, akan
memanfaatkan link milik Anda yang “polos”, dengan suatu teknik yang dinamakan
open redirect.  Dengan teknik ini, mereka bisa “mencuri” traffic website Anda
dengan mengalihkan mereka ke halaman-halaman website yang mereka kehendaki
(dalam hal ini, halaman-halaman website porno/judi/obat-obatan tadi). Periksalah
apakah website Anda termasuk salah satu dari korban teknik open redirect ini,
dengan melakukan pencarian sederhana di Google.  Ketikkan “site:
namawebsiteanda.com” di kotak pencarian Google.  Tentu Anda harus mengganti
namawebsiteanda.com dengan nama website Anda.  Lihat hasilnya, apakah ada
halaman-halaman website yang mencurigakan/tidak lazim.
11. Tetap Waspada, Salah satu aspek sederhana namun juga tidak kalah pentingnya
dalam pengamanan website Anda adalah dengan selalu tahu apa yang terjadi
dengan website Anda.  Hindari untuk meng-install themes/plugins/extentions hasil
bajakan atau yang terlihat mencurigakan.
 KESIMPULAN
Adapun kesimpulan pada artikel ini adalah:
Keamanan menjadi salah salah satu bagian penting dari sebuah sistem yang harus menjadi
prioritas, karena jika sistem keamanan diabaikan akan memungkinkan serangan mudah
dilakukan terhadap sebuah sistem. Hal demikian pula berlaku pada sistem informasi
berbasiskan Web,oleh karena itu seorang pengembang atau developer website harus
memperhatikan keamanan website yang sedang dikembangkannya agar web tersebut aman
dari gangguan peretas atau pencuri data.
Daftar Pustaka

[1] Hartman, Bret dkk, Mastering Web Services Security, Wiley Publishing Inc, 2003.
[2] Snell, James (2002). Securing Web Services. IBM Corporation.
[3]Rodriguez, C., (2012). The Growing Hacking Threat to Websites : An Ongoing
Commitment to Web Application Security. A Frost & Sullivan White Paper
[4] Shema, M., (2012). Hacking Web Apps Detecting and Preventing Web Application
Security Problems. Elsevier, Inc