Mematahkan serangan hacker: Amankan kode web Anda
Beberapa jurus dan tips penting untuk mengamankan dan mencegah hacking pada web Anda adalah:
1. Gunakan script (kode) yang customized, alias bukan produk portal/cms open-source yang banyak beredar. Mengapa? Karena sekali cms open-source lambat diupdate, maka kelemahannya sangat mudah dicari di Google.
2. Ekstra hati-hati terhadap semua bentuk form, atau yang memerlukan input dari pengguna:
- Form log in
- Form pencarian/search
- Form buku tamu
Yang paling penting dalam hal ini adalah membatasi karakter yang bisa diinputkan. Ada beberapa kategori: numerik, alfabet, alfa-numerik, alfa-numerik plus beberapa tanda seperti spasi, minus, underscore, at, pagar, dolar.
Paling penting adalah menyaring karakter persen(%), sama dengan(=), kurang dari/lebih dari (< >) dan tanda tanya(?) kecuali sangat-sangat diperlukan. Karakter persen dana tanda tanya dalam bentuk input unicode adalah sumber utama kelemahan sebuah situs. Karakter tanda tanya dan sama dengan pada umumnya merupakan sebuah cara paling mudah untuk mengecek apakah sebuah situs bisa di cross-injection ataupun di sql-injection.
3. Gunakan metode penguncian session maupun captcha pada form login ataupun buku tamu untuk mencegak flooding data sampah dan brute-force.
4. Selalu gunakan protokol https untuk log in maupun input data yang bersifat krusial sehingga data tidak bisa dicuri dalam perjalanannya menuju server tujuan.
5. Dalam kondisi kritikal, pastikan web Anda tidak mudah di-phising, misalnya dengan membeli semua domain yang memungkinkan terjadinya typhos (kesalahan ketik), semisal kasus klikbca jaman dulu.
6. Yang pasti dan harus dilakukan adalah membuat capture database dan program secara rutin (bisa dengan program) dan mengirimkannya ke server lain yang tidak terkoneksi ke internet.
7. Gunakan database terpisah untuk form dengan data dinamis yang hanya bisa diupdate oleh admin/trusted person. Gunakan username dan password serta permission seminimal mungkin untuk setiap database yang dibuat.
8. Jangan mengandalkan pada firewall. Firewall tidak mampu menyaring data pada port yang dibuka, sekalipun bisa menangani data yang bersifat burst atau dikirimkan dengan kecepatan tinggi oleh bot/zombie.
9. Kode adalah segalanya. Gunakan algoritma yang paling sederhana, jangan berbelit-belit. Pastikan untuk mengecek secara internal menggunakan software-software seperti: anti-rootkit dan NIKTO (pengecekan pada setiap tautan).
10. Buat username dan password yang mudah diingat tapi tidak singkat dan menggunakan kombinasi huruf dan angka. Jangan ragu-ragu untuk memblokir akun dan mentraining ulang setiap pengguna yang memiliki user/password yang terlalu mudah ditebak/dicari di internet.
11. Selalu bersikap ramah dan jangan nge-flame. Ini yang paling penting, karena admin dan coder yang ramah cenderung menerima serangan yang lebih sedikit ketimbang kebalikannya.
1. Gunakan script (kode) yang customized, alias bukan produk portal/cms open-source yang banyak beredar. Mengapa? Karena sekali cms open-source lambat diupdate, maka kelemahannya sangat mudah dicari di Google.
2. Ekstra hati-hati terhadap semua bentuk form, atau yang memerlukan input dari pengguna:
- Form log in
- Form pencarian/search
- Form buku tamu
Yang paling penting dalam hal ini adalah membatasi karakter yang bisa diinputkan. Ada beberapa kategori: numerik, alfabet, alfa-numerik, alfa-numerik plus beberapa tanda seperti spasi, minus, underscore, at, pagar, dolar.
Paling penting adalah menyaring karakter persen(%), sama dengan(=), kurang dari/lebih dari (< >) dan tanda tanya(?) kecuali sangat-sangat diperlukan. Karakter persen dana tanda tanya dalam bentuk input unicode adalah sumber utama kelemahan sebuah situs. Karakter tanda tanya dan sama dengan pada umumnya merupakan sebuah cara paling mudah untuk mengecek apakah sebuah situs bisa di cross-injection ataupun di sql-injection.
3. Gunakan metode penguncian session maupun captcha pada form login ataupun buku tamu untuk mencegak flooding data sampah dan brute-force.
4. Selalu gunakan protokol https untuk log in maupun input data yang bersifat krusial sehingga data tidak bisa dicuri dalam perjalanannya menuju server tujuan.
5. Dalam kondisi kritikal, pastikan web Anda tidak mudah di-phising, misalnya dengan membeli semua domain yang memungkinkan terjadinya typhos (kesalahan ketik), semisal kasus klikbca jaman dulu.
6. Yang pasti dan harus dilakukan adalah membuat capture database dan program secara rutin (bisa dengan program) dan mengirimkannya ke server lain yang tidak terkoneksi ke internet.
7. Gunakan database terpisah untuk form dengan data dinamis yang hanya bisa diupdate oleh admin/trusted person. Gunakan username dan password serta permission seminimal mungkin untuk setiap database yang dibuat.
8. Jangan mengandalkan pada firewall. Firewall tidak mampu menyaring data pada port yang dibuka, sekalipun bisa menangani data yang bersifat burst atau dikirimkan dengan kecepatan tinggi oleh bot/zombie.
9. Kode adalah segalanya. Gunakan algoritma yang paling sederhana, jangan berbelit-belit. Pastikan untuk mengecek secara internal menggunakan software-software seperti: anti-rootkit dan NIKTO (pengecekan pada setiap tautan).
10. Buat username dan password yang mudah diingat tapi tidak singkat dan menggunakan kombinasi huruf dan angka. Jangan ragu-ragu untuk memblokir akun dan mentraining ulang setiap pengguna yang memiliki user/password yang terlalu mudah ditebak/dicari di internet.
11. Selalu bersikap ramah dan jangan nge-flame. Ini yang paling penting, karena admin dan coder yang ramah cenderung menerima serangan yang lebih sedikit ketimbang kebalikannya.
Comments