• Beranda
  • Artikel
  • Memandu
  • Faktor Keamanan Apa yang Harus Anda Pertimbangkan saat Memilih Penyedia Hosting WodPress Anda?

Faktor Keamanan Apa yang Harus Anda Pertimbangkan saat Memilih Penyedia Hosting WodPress Anda?

Diterbitkan: 2021-12-03

Karena semakin populernya WordPress di seluruh papan, ada semakin banyak insiden keamanan yang memengaruhi berbagai perusahaan hosting situs web WordPress.

GoDaddy adalah contoh terbaru, karena mereka baru-baru ini mengalami pelanggaran keamanan di lingkungan hosting WordPress-nya. Minggu lalu diumumkan bahwa ada akses pihak ketiga yang tidak sah ke lingkungan hosting WordPress Terkelola, yang memengaruhi data hingga 1,2 juta pelanggan aktif dan tidak aktif .

Pelanggaran Keamanan WordPress di GoDaddy

Chief Information Security Officer (CISO), Demetrius Comes, mengumumkan pada 22 November, dalam pengajuan dengan Securities and Exchange Commission (SEC), bahwa pada 17 November mereka telah menemukan akses tidak sah ke server WordPress Managed GoDaddy. Mereka menetapkan bahwa insiden tersebut telah dimulai pada 6 September 2021, dan telah mengekspos data 1,2 juta pelanggan Managed WordPress yang aktif dan tidak aktif. Mereka telah mengidentifikasi aktivitas mencurigakan di lingkungan hosting WordPress Terkelola dan segera memulai penyelidikan dengan bantuan firma forensik TI dan menghubungi otoritas hukum. Kata sandi yang disusupi memberi penyerang akses ke sistem mereka.

Pengumuman itu menunjukkan bahwa:

  • Hingga 1,2 juta pelanggan WordPress Terkelola aktif dan tidak aktif memiliki alamat email dan nomor pelanggan mereka. Pemaparan alamat email menghadirkan risiko serangan phishing.
  • Kata sandi Admin WordPress asli yang ditetapkan pada saat penyediaan terungkap. Jika kredensial itu masih digunakan, mereka mengatur ulang kata sandi itu.
  • Untuk pelanggan aktif, nama pengguna dan kata sandi sFTP dan database diekspos. Mereka mengatur ulang kedua kata sandi.
  • Untuk subset pelanggan aktif, kunci pribadi SSL diekspos. Mereka sedang dalam proses penerbitan dan pemasangan sertifikat baru untuk pelanggan tersebut.

Akhirnya, Comes menambahkan: “Kami dengan tulus meminta maaf atas insiden ini dan kekhawatiran yang ditimbulkannya bagi pelanggan kami. Kami, pimpinan dan karyawan GoDaddy, mengambil tanggung jawab kami untuk melindungi data pelanggan kami dengan sangat serius dan tidak pernah ingin mengecewakan mereka. Kami akan belajar dari insiden ini dan sudah mengambil langkah untuk memperkuat sistem penyediaan kami dengan lapisan perlindungan tambahan.”

Seperti yang dapat Anda bayangkan, ada banyak pesan di Internet yang mengkritik GoDaddy, tidak hanya karena membutuhkan waktu 5 hari untuk melaporkan pelanggaran, tetapi juga karena membutuhkan waktu lebih dari 2 bulan untuk mendeteksi serangan tersebut, seperti yang diperkirakan terjadi pada 6 September. Anda juga akan menemukan informasi tambahan tentang tindakan apa yang harus Anda ambil baik secara teknis maupun hukum jika Anda adalah pelanggan yang terpengaruh. Saya bahkan tidak ingin memikirkan betapa kacaunya ini bagi GoDaddy dan semua pelanggan yang mungkin terpengaruh!

Pentingnya Keamanan Saat Memilih Perusahaan Hosting

Ketika kami berbicara tentang persyaratan utama untuk memilih hosting WordPress Anda, kami melihat seluruh rangkaian faktor: kompatibilitas dengan berbagai versi PHP, fitur dan alat yang ditawarkan untuk mengelola instalasi WordPress dengan mudah, kecepatan pemuatan halaman kami yang cepat, dukungan yang efisien layanan, dan, tentu saja, biaya yang wajar.

Tapi jangan membodohi diri sendiri: kita sering berakhir dengan menurunkan aspek keamanan ke bagian bawah prioritas kita. Mengapa? Pertama, karena keamanan penyedia hosting kami adalah sesuatu yang kami anggap remeh. Tapi ini tidak masuk akal, karena jika ada satu hal yang kita tahu pasti, tidak ada sistem komputer yang 100% aman. Kedua, keamanan sulit dievaluasi dengan cepat dan mudah. Hanya ketika pelanggaran keamanan terjadi, kami menyadari kemungkinan kerentanan.

Keamanan situs web Anda mirip dengan kesehatan Anda. Jika Anda baik-baik saja, Anda tidak terlalu memikirkannya. Tetapi pada hari Anda tidak sehat, dunia runtuh menimpa Anda. Seringkali, sakit tidak dapat dihindari, tetapi pencegahan dan deteksi dini dapat menyelamatkan Anda dari banyak kesedihan. Sama halnya dengan keamanan. Jika situs web Anda diretas, tidak hanya bisnis Anda dapat bangkrut, tetapi Anda juga dapat berakhir dalam masalah hukum karena tidak mengambil langkah-langkah keamanan yang sesuai.

Jika kita ingin mencoba mencegah pelanggaran keamanan, apa yang harus kita harapkan dari penyedia hosting kita?

Keamanan Perangkat Lunak

Sesuatu yang membuat kita bosan adalah harus memperbarui perangkat lunak yang kita gunakan di komputer kita. Tapi itu cukup penting untuk kami lakukan, karena sebagian besar pembaruan justru untuk melindunginya dari kerentanan yang diketahui!

Oleh karena itu, ketika Anda meng-host situs web WordPress dengan perusahaan hosting, pastikan memenuhi persyaratan kompatibilitas dan pembaruan perangkat lunak terbaru yang direkomendasikan oleh WordPress. Lihatlah situs web resmi WordPress untuk mengetahuinya. Pada saat menulis posting ini, persyaratan yang direkomendasikan adalah:

  • PHP 7.4 atau lebih baru.
  • MySQL 5.6 atau yang lebih baru, atau MariaDB 10.1 atau yang lebih baru.
  • HTTPS

Rekomendasi saya: jangan pernah mempertimbangkan perusahaan hosting mana pun yang tidak memenuhi persyaratan ini.

Ketersediaan dan Dukungan SSL

Hypertext Transfer Protocol (Hyper T ext T ransfer P rotocol atau HTTP ) adalah protokol yang digunakan dalam sistem jaringan, dirancang dengan tujuan untuk mendefinisikan dan menstandarisasi sintaks dan semantik transaksi yang terjadi antara komputer berbeda yang membentuk jaringan . Dengan kata lain, ini menggambarkan cara server web berkomunikasi dengan browser web seperti Google Chrome atau Mozilla Firefox.

HTTPS mengacu pada penggunaan HTTP melalui Secure Sockets Layer (SSL) atau koneksi dengan Transport Layer Security (TLS), dan bertanggung jawab untuk mengenkripsi semua pesan HTTP sehingga transmisinya aman. Ketika pengguna mengirimkan informasi ke server web, SSL pada dasarnya menyediakan serangkaian lapisan perlindungan:

  • enkripsi : jika penyerang berhasil mencegat informasi itu, itu tidak akan berguna karena mereka tidak akan tahu cara mendekripsinya (tetapi Anda akan melakukannya).
  • integritas data : penyerang tidak akan dapat “memodifikasi” isi pesan yang dikirim.
  • otentikasi : serangan phishing atau man-in-the-middle, di mana pengguna memberikan informasi kepada pihak ketiga ketika mereka yakin sedang berbicara dengan orang lain, dihindari.

Dengan cara ini, misalnya, Anda memastikan bahwa data pembelian yang dilakukan di situs web Anda tidak dapat dibaca dan/atau diubah oleh penjahat.

Jika situs web Anda menggunakan SSL, sebagian besar browser akan menampilkan URL web yang diawali dengan https:// dan ikon gembok di suatu tempat di dekat atau di bilah alamat, memberikan petunjuk visual kepada pengunjung tentang keamanan situs web saat ini.

Gambar URL Nelio ditampilkan di browser
Gambar URL Nelio ditampilkan di browser.

Saat mencari penyedia layanan hosting, pastikan mendukung SSL dan periksa seberapa mudah untuk mengaturnya.

Cadangkan dan Pulihkan

Jika Anda pernah mengalami serangan malware di WordPress, kemungkinan besar Anda harus memulihkan cadangan lama yang bebas dari kode yang terinfeksi. Untuk itu, pastikan penyedia hosting Anda melakukan backup rutin dan otomatis situs WordPress Anda .

Pastikan Anda tahu:

  • Frekuensi backup,
  • Berapa banyak cadangan situs Anda yang dapat Anda akses,
  • Apakah Anda dapat dengan mudah memulihkan semuanya sendiri atau Anda harus meminta pemulihan dan membayar layanan,
  • Apakah Anda dapat melakukan pengembalian sebagian file, folder, akun email, atau database,
  • Apakah Anda dapat mengakses riwayat pemulihan.

Perlindungan Terhadap Serangan DDoS

Serangan Distributed Denial of Service (DDoS) adalah jenis serangan yang mencoba menjatuhkan server web dengan memicu "satu ton" permintaan hingga server kelebihan beban dan mogok.

Ilustrasi serangan DDoS
Ilustrasi serangan DDoS (sumber: Anti DDoS)

Untuk mencegahnya, beberapa penyedia hosting seperti SiteGround dan Bluehost bekerja dengan Jaringan Pengiriman Konten (CDN) seperti Cloudflare. CDN mengoperasikan jaringan server global yang membuatnya lebih mudah untuk melayani data lebih cepat dan menyerap serangan intensif sumber daya seperti DDoS. Ini membantu perusahaan hosting mengurangi beban pada server mereka sendiri tanpa harus banyak berinvestasi dalam infrastruktur tambahan. Sangat disarankan agar Anda memeriksa apakah perusahaan hosting Anda bekerja dengan CDN.

Pastikan juga mereka memiliki protokol yang disiapkan untuk jenis serangan ini, seperti:

  • Perangkat keras firewall yang menyaring lalu lintas banjir,
  • Perangkat lunak firewall berdasarkan iptables dengan fungsi kompleks dan pemantauan lalu lintas,
  • Mereka membatasi jumlah koneksi yang dapat dibuat dari jarak jauh,
  • Mereka memeriksa tingginya jumlah upaya koneksi yang gagal dari host dan untuk melakukan penyaringan.

Pemindaian Malware

Malware, seperti yang telah kita lihat dalam kasus GoDaddy, adalah perangkat lunak berbahaya yang dapat memengaruhi server. Mereka dapat menyebabkan infeksi kecil, seperti pencurian data tertentu, atau menghapus seluruh database.

Penting untuk mengetahui bagaimana penyedia hosting Anda mengontrol dan memeriksa jenis serangan ini. Seberapa sering mereka melakukan pemindaian? Apakah mereka memiliki sistem isolasi akun sehingga, jika terjadi infeksi, dapat dikendalikan?

Ketersediaan dan Waktu Aktif

Tiga pilar keamanan informasi dikenal sebagai triad CIA (Kerahasiaan, Integritas, dan Ketersediaan). Ketersediaan dan waktu aktif situs web Anda (persentase waktu situs web aktif dan tersedia) sangat penting di situs web mana pun.

Perusahaan hosting memiliki banyak cara untuk memastikan ketersediaan ini. Misalnya, beberapa menggunakan teknologi RAID, redundansi perangkat keras, redundansi jaringan, dan bahkan lokasi cermin alternatif. Pastikan penyedia hosting Anda menjamin ketersediaan minimum dalam perjanjian tingkat layanan (SLA) dari syarat dan ketentuan mereka. Misalnya, dalam kasus Siteground, mereka menjamin:

5.2. Kami menjamin uptime jaringan 99,9% pada basis tahunan. Jika kami jatuh di bawah waktu aktif jaringan yang dijamin, kami akan memberikan kompensasi kepada Anda sebagai berikut ;

  • 99,9% – 99,00% waktu aktif: hosting gratis 1 bulan
  • Satu bulan tambahan hosting gratis untuk setiap 1% waktu aktif yang hilang di bawah 99,00% .

SLA adalah indikator lain dari investasi infrastruktur yang dibuat oleh penyedia hosting Anda dan komitmen yang mereka buat untuk menjamin layanan.

Kesimpulan

Keamanan, seperti yang telah saya sebutkan, sama seperti kesehatan. Meskipun Anda tidak pernah dapat menjamin kendali mutlak atas hal itu, semakin sedikit risiko yang Anda ambil, semakin baik. Melindungi situs Anda dan menjaga keamanannya dapat mencegah konsekuensi besar yang tidak diinginkan. Dan perlindungan itu dimulai dengan memilih penyedia hosting yang bagus untuk situs WordPress Anda.

Gambar unggulan Liam Tucker di Unsplash.