Saat ini penggunaan website sudah tidak asing dikalangan masyarakat. Masyarakat dapat dengan mudahnya menemukan informasi yang di cari didalam sebuah website. Mulai dari informasi tentang social  network, berita,  jual – beli,  hiburan  dan masih banyak lagi yang lain nya.

            Perkembangan website yang semakin pesat sebaiknya dibarengi dengan penggunaan security yang lebih baik. Hal tersebut sangat dibutuhkan untuk   menjaga   keamanan   sebuah   website   dari   hal-hal   yang   tidak   di   inginkan. Salah satunya agar website yang  dibuat tidak mudah diretas oleh hacker. Biasanya para hacker akan menyasar data pribadi pengunjung, menjual produk ilegal di website tanpa sepengetahuan pemiliknya, mencuri uang dari transaksi yang dilakukan, hingga menampilkan iklan-iklan yang akan membuat website menjadi lambat.

            Kendati demikian, interpreter PHP mempunyai kemampuan untuk mengakses hampir semua host-file system, network interfaces, IPC, dan lain-lain. Konsekuensinya, PHP potensial mendapat serangan dari attacker. Untuk meminimalisir serangan, programmer harus menyadari dan mengetahui hal-hal yang tidak diinginkan saat program dijalankan, yaitu mengetahui tentang kelemahan suatu sistem dan modus serangan secara umum yang diarahkan untuk mengganggu keamanan program tersebut. Lubang keamanan yang paling umum di dalam skrip PHP dan tak terkecuali pada aplikasi web yang manapun, adalah berkaitan dengan User Input. Banyak skrip menggunakan informasi user yang legal dalam bentuk format web dan memproses informasi ini dengan berbagai cara. Jika user input ini dilegalkan tanpa batasan, maka user input berpotensi menyisipkan perintah-perintah yang tidak diinginkan dalam skrip.

Hacking dan hacker adalah istilah yang paling sering kita dengar. Hacking adalah kegiatan memasuki sistem orang lain untuk tujuan mencari lubang atau kelemahan sistem. Dengan menemukan kelemahan sistem maka pelaku hacking bisa mengambil data ataupun merubah bahkan merusak sistem. Istilah untuk aktifitas kejahatan di internet tidak hanya hacking, ada istilah-istilah lain yang juga menunjukkan aktifitas kriminal yang berbeda seperti cracking, defacing, carding. 

Lalu bagaimana pengembang website dapat mencegah kejahatan tersebut?

Berikut adalah 3 teknik sederhana mengamankan web :

1.      FILTER inputan user

            Menyusupkan script (SQL atau javascript) pada inputan adalah cara yang paling sering dicoba dalam meretas keamanan website. sering kali hal ini dilakukan pada halaman login dengan menyisipkan tanda penutup string ( ‘ / ” ) yang akan mengakibatkan query ke database  berhenti dan kemudian penyerang akan menyusupkan query lain untuk dieksekusi. hal ini sangat berbahaya karena dengan mengakses database, penyerang bisa saja melihat data penting seperti username-password bahkan menghapus isi database.

Untuk mengatasinya, gunakan filtering inputan seperti mysql_escape_string dan sejenisnya untuk mencegah script-script yang disisipkan kedalam query.

2.      FILTER upload file

            Jika website anda menyediakan fitur upload foto atau upload file dan sebagainya, anda perlu melakukan filter pada apapun yang diinput user karena jika tidak, penyerang yang bisa mengakses form upload (masuk dengan cara login ataupun langsung akses ke form upload) akan menyispkan file “WebShell“. jika anda tidak tahu tentang WebShell, akan saya jelaskan sedikit tentang Webshell:

Webshell adalah file yang yang dapat mengeksekusi shell atau command seperti shell_exec, exec, system dsb. File ini sangat berbahaya jika sudah berhasil dimasukkan kedalam server karena dengan file ini penyerang bisa melihat seluruh isi server kita dan dapat melakukan apapun dengan hanya mengakses file tersebut.

Lalu untuk mengamankan website anda dari WebShell anda perlu melakukan filter pada form upload yang ada di website. cara yang biasa dilakukan adalah dengan mengecek extensi file (.jpg, .pdf, .doc, dsb.) namun cara ini bisa diakali oleh penyerang dengan merubah filenya menjadi ekstensi yang diijinkan masuk dan setelah file tersebut berhasil diupload kedalam server, file dapat berubah nama menjadi ekstensi awal (.php, .asp, dsb.). Maka untuk melakukan filter file upload gunakan fungsi finfo_file atau mime_content_type. fungsi tersebut berguna untuk megecek file tidak berdasarkan ekstensi namun dari isi file. Untuk menggunakan fungsi php ini, anda perlu mengaktifkasn extention nya pada file php.ini (jika menggunakan apache web server dan windows).

3.      htaccess directory

            Gunakan htaccess yang membantu mengamankan website anda. salah satu cara adalah dengan tidak membiarkan orang lain melihat isi file dalam sebuah folder, karena dengan terlihatnya isi folder, penyerang website bisa mencoba file-file yang ada di folder tersebut dan jika dilihat terdapat celah akan digunakan hacker untuk mengakses database bahkan mengupload Webshell. Selain itu htaccess juga bisa mengamankan folder-folder tertentu agar tidak dapat diakses, juga ada fungsi rewrite url yang bisa membantu menyamarkan url yang sesungguhnya.

Ketahuilah bahwa bahkan kesalahan kecil di htaccess dapat menyebabkan perubahan besar pada situs Anda, jadi lacak semua perubahan yang Anda buat sehingga Anda dapat membatalkannya jika perlu.

-       Buat daftar hitam untuk mencegah akses situs dari alamat IP tertentu. Situs web dibuat untuk memiliki pengunjung. Namun, para tamu tersebut terkadang bisa menjadi masalah. Terkadang, ada pengunjung situs tertentu yang tidak diterima lagi. File htaccess dapat digunakan untuk memblokir pengunjung tertentu tersebut. Ini juga berguna untuk menjauhkan bot dari situs Anda. Kode yang digunakan untuk membuat daftar hitam Anda adalah sebagai berikut:

            <limit get = "GET" post = "POST" put = "PUT">

               order allow, deny

 bolehkan dari semua

 menyangkal dari 123.456.789

 menyangkal dari 93.121.788

 menyangkal dari 223.956.789

 menyangkal dari 128.456.780

 </limit>

Anda dapat menambahkan alamat IP sebanyak yang Anda inginkan dengan cara ini agar situs Anda bebas dari pembuat onar. Jika seseorang mengirim spam ke situs Anda, potongan kecil kode ini adalah sahabat baru Anda.

-       Buat pengalihan saat melakukan pemeliharaan situs.

            Saat Anda melakukan pemeliharaan situs, Anda ingin pengunjung dialihkan ke halaman yang memungkinkan mereka sekarang tentang apa yang terjadi dan mungkin saat situs Anda diharapkan terbuka untuk pengunjung lagi. Anda dapat menggunakan file htaccess untuk melakukannya menggunakan kode berikut:

 RewriteEngine aktif

 RewriteCond% {REQUEST_URI}! /Maintenance.html$

 RewriteCond% {REMOTE_ADDR}! ^ 123.123.123.123

 Aturan Tulis Ulang $ /maintenance.html [R = 302, L]

Pastikan Anda telah membuat dokumen html untuk ditampilkan selama pemeliharaan situs dan Anda telah memberi label itu. Itu adalah halaman yang akan dikirimi pengunjung kode ini saat Anda melakukan pembaruan situs rutin dan membuat cadangan. Karena ini adalah pengalihan sementara, kami menyajikan respons header 302.

Demian Teknik sederhana, semoga bermanfaat.

fandi/red : konsultan ahli ethicalheacking