13 Oct

Panduan Mengamankan Website dari Blokir Google dengan SSL

Penduan mengamankan website dari blokir oleh Google ini penting untuk dilakukan. Jika tidak, dipastikan kita bakal kehilangan banyak kehilangan banyak pengunjung.

Saat ini, Google memang “memaksakan” penggunaan SSL untuk setiap website. Jika ada situs yang tidak memakai SSL, maka Google Chrome akan memperingatkan pengunjung bahwa situs tidak aman.

SSL akan membuat URL kita menjadi https:// dan tidak hanya http:// saja.

Hasilnya jelas, pengunjung tadi mungkin merasa ada virus disana dan pastinya tidak jadi berkunjung.

Kalau pengunjungnya seperti saya, saya tetap datang juga. Tetapi, lebih banyak konsumen kita yang tidak memahami persoalan ini.

Padahal, saat ini website menjadi keperluan kita. Jika mendengan rekomendasi restoran baru, kita akan melihatnya dulu di Google. Dimana lokasi, “penampakan” fisik dan sebagainya.

Jika ternyata resto itu belum ada di internet, pastinya ada rasa kecewa.

Mengapa kita merasa perlu tahu terlebih dahulu suatu hal lewat Google sebelum melihatnya langsung?

Kita browsing tentang daerah Banyuwangi sebelum berkunjung kesana. Kita mencari tahu di Google tentang tempat wisatanya, pantai dan sebagainya.

Sekarang, jika ternyata ada situs kita yang diblokir Google, maka peluang mendapat konsumen dari website kita bisa hilang.

Awalnya, SSL digunakan oleh situs ecommerce dan situs yang memproses transaksi keuangan.

SSL berguna untuk mengenkripsi perjalanan data dari server ke browser kita. Hacker bisa melihat kelemahan situs kita jika perjalanan data ini bisa mereka sadap dijalan. Hacker yang benar – benar hacker itu pintar.

Bagaimana mendapatkan SSL?

Bagi situs yang masih http://, mendapatkan SSL itu mudah. Sebagian besar membayar tetapi sebagian lagi kini sudah gratis dari pihak hosting atau pihak lain.

Jika kita mendapatkan SSL untuk situs yang hostingnya sudah berjalan, kemungkinan besar kita harus membayar.

Untuk mendapatkan SSL, mungkin kita perlu dedicated IP Adress jika server kita shared hosting.

Untuk mendapat SSL, kita perlu memastikan trafik yang dienkripsi hanya masuk ke situs kita.

Jadi, Hosting kita menyediakan SNI dan kita bisa install SSL secara individual di shared hosting dengan 1 IP Adress untuk banyak akun. Jika tidak ada SNI, kita butuh IP Address pribadi.

Untuk pembelian hosting shared baru, kita bisa ikut SSL tanpa IP adress dedicated di beberapa penyedia server di Amerika.  Mereka menggunakan SNI (Server Name Indication).

Masalah dengan SSL

Untuk kita yang akhirnya memilih SSL, masih ada beberapa hal yang perlu diperhatikan.

SSL melayani konten campuran. Disini SSL melayani konten SSL dan non terenkripsi dari website kita.

Untuk konten aktif yang berupa script, browserGoogle Chrome akan bereaksi keras untuk memblokirnya.

Untuk konten pasif yang tanpa script, Google Chrome akan bereaksi juga. Meskipun tidak sekeras yang pertama.

Cara menanganinya, kita harus memastikan bahwa kofigurasi SSL website kita sudah benar.

  • Cara menemukan konten campuran

pertamakali adalah menemukan konten yang masih memiliki protoko0l http://

Buka source code dari halaman apapun.

Gunakan ctrl+F atau pencarian.

Ketik src=http. disini kita mencari sumber konten yang disajikan dengan cara http://.

Jika kita ketemu, kita copy paste link yang ada di browser.

Link tadi pastinya adalah link http://. Sekarang kita tambahkan huruf s si URLnya menjadi https://.

Jika bisa dibuka, maka resource tadi tersedia untuk protokol https://.

Kemudian kita ubah linknya menjadi https://. Semudah itu.

Jika agak bingung, ada cara lain menggunakan tools Whynopadlock.com.

Kita masukkan URL situs kita dan klik Check.

Akan ada laporan menngenai kesalahan SSL jika ada.

  • Error SSL untuk alamat web berbeda.

Akan ada pesan seperti:

“The security certificate presented by this website was issued for a different website’s address”

Masalahnya bisa terletak di:

Alamat website tidak ada di Common name. Misal alamat situs kami https://www.lawangtechno.com.

Tetapi jika saat membeli SSL kami hanya memberi alamat seperti: https://lawangtechno.com, maka akan bisa terjadi error.

Kita klik “Ignore Certificate Mismatch” di GlobalSign SSL Checker. Kita akan mendapatkan analisis yang lengkap tentang SSL di domain yang disebutkan.

Kita cek apakah Common Name dan SAN sudah sesuai.

Situs website tidak menggunakan SSL. Tetapi berbagi alamat IP dengan situs SSL.

Ini tergantung konfigurasi yang dilakukan penyedia hosting. Jika penyedia hosting menyediakan fasilitas SNI (Server Name Indicataion) maka kita bisa memasang SSL untuk masing – masing website yang berbagi IP adress.

Bagaimana cara kerja SNI?

Pada jaman dahulu, tahun 2007. Server shared menggunakan http heder untuk mengarahkan klien atau pengunjung web ke website yang dituju.

Pada SSL,  SSL meninta “jabat tangan” terlebih dahulu sebelum semua informasi dikirim. Informasi ini termasuk intormasi http header. Nah, akhirnya server shared tidak tahu mana website yang dituju.

SNI memperbaiki hal ini.

SNI menyisipkan (insert) http header ke SSL handsake (jabat tangan) tadi. Jadi server bisa tahu website tujuan dari banyak website di server tersebut.

Jika tanpa SNI, maka biaya yang ada menjadi mahal. Setiap situs akan perlu IP pribadi.

Bahkan akan cepat menghabiskan alamat IPv4.

Mengapa? ini karena alamat IP IPv4 hanya ada 4 milliar saja.

Kalau IP IPv6 jauh lebih banyak.

Situs sudah tidak ada tapi masih menggunakan alamat IP lama.

Kita harus seting DNS yang benar. Pastikan hanya menunjuk IP yang baru.

Penyedia hosting memiliki aturan dan SSL sendiri yang mengharuskan semua situs menggunakannya.

Ini adalah praktek tidak fair. Kita semestinya bisa memebeli domain di tempat berbeda dari di hosting kita. Kita juga semestinya bisa memasang SSL tanpa membelinya di hosting kita

  • Konfigurasi server dan firewall yang benar

Firewall bisa diseting hanya mengambil SSL dari satu server meskipun tujuannya beberapa server. Hal ini perlu kita konfigurasi dengan benar.

  • Certificate is not issued by a trusted certificate authority

Masalah bisa datang jika kita menggunakan SSL gratis. Jika SSL ini self signed atau “ditandatangani sendiri.” Maka browser kita bisa tidak percaya dengan SSL website.

pesan SSL site security not trusted

Solusi, kita minta browser untuk percaya. Kita seting browsernya.

Tetapi, orang lain belum tentu mau melakukannya.

Jadi akhirnya kita perlu SSL dari perusahaan terpercaya.

SSL kita ternama tetapi tidak ada intermediate/ Chain certificate.

Jika kita tidak menginstal dengan benar SSL intermediate dengan benar.

Kesimpulan

  • SSL sangat penting. Situs kita bisa diblokir Google tanpa SSL

  • Ada beberapa masalah yang biasa dihadapi pengguna SSL dan cara penyelesaiannya.

Share this
29 Jan

Amankan WordPress Dengan All In One WP Security dan Firewall

Hingga saat ini, wordfence dikenal sebagai plugin security terbaik untuk wordpress dan merupakan yang paling banyak digunakan. Tetapi, ada beberapa fitur yang hanya aktif pada versi berbayar saja. jika anda ingin melengkapi plugin wordfence, maka anda bisa menggunakan plugin All In One WP Security and Firewall. Plugin ini tersedia gratis selain versi berbayar. Untuk yang versi gratis, ada beberapa fitur yang bisa melengkapi wordfence yang gratis juga.
Jika anda berfikir memasang dua plugin akan terlalu berat bagi server anda, mungkin bisa benar.
Tetapi, penulis memiliki alasan mengapa menyarankan plugin ini untuk dipasang bersamaan.
All In One WP Security and Firewall (AIOWSF) adalah plugin yang tidak menggunakan database. Hal ini akan meringankan beban server.
Plugin ini yang versi gratis juga tidak bisa digunakan untuk men scan malware. fitur ini tersedia hanya untuk versi berbayar saja. Jadi, sekalian saja untuk scan kita gunakan wordfence.
untuk seting, kita bisa menggunakan 3 macam seting keamanan. Kita bisa mulai dari seting “Basic”, “Intermediate” dan “Advance”.
Beberapa fitur yang bisa kita dapatkan dari plugin ini adalah:
User Account Security
Jika anda masih menngunakan username ADMIN untuk login di wordpress, anda bisa mudah mengubah username ini menjadi username yang sulit ditebak.
User Login Security
Anda bisa memonitor user yang sedang login dan melihat apabila ada yang berusaha melakukan serangan “Brute Force Attack”.
User Registration Security
Anda bisa mengamankan registrasi user dan membuat supaya semua user menggunakan username dan password yang aman.
Database Security
anda bisa mengubah database standar wordpress yang biasanya berupa prfix wp_ tanpa harus melalui Cpanel. Cara ini akan mempersulit hacker menyerang database anda.
Anda juga bisa melakukan backup database dengan plugin ini.
File Security System
Fitur ini memungkinkan kita mengamankan file – file wordpress kita sekaligus bisa memonitor adanya error log saat instalasi wordpress.
Backup file wp-config.php dan .htaccess
kedua file ini pasti menjadi sasaran hacker jika ada serangan. mereka bisa mengubah akses ke wordpress dan konfigurasi wordpress kita sesuai keinginan. Jika kedua file ini telah diubah, mereka bisa kembali mengakses wordpress kita tanpa halangan.
Untuk keperluan tersebut. kedua file ini bisa dibackup dan di restore kembali seperti saat sebelum terkena serangan.
Blacklist
Bisa menbacklist IP atau IP range. Bisa memutus akses dari orang yang terpantau jahil atau dari IP server dari website yang melakukan hotlink ke wordpress kita.
Firewall
terdapat cukup banyak seting firewall untuk plugin ini. Untuk seting firewall, rule nya ditulis di file .htaccess sehingga anda bisa membackup file ini terlebih dahulu sebelum melakukan seting. Seting yang terlalu strict bisa membuat anda sendiri terkunci.
Fungsi preventif Brute Force Attack
Fitur ini bisa melakukan blokir brute force attact berdasar cookie atau cache. Fitur ini memberikan URL baru untuk login dan mampu membuat capcha untuk login.
Fitur Whois Lookup
Bisa digunakan untuk mencari host yang diblokir. Caranya yaitu dengan lookup IP pada domain tersebut.
Security Scanner
Untuk versi gratis ada scanner untuk deteksi file yang berubah. Untuk malware scan, sementara hanya ada di plugin versi berbayar dan scan Database masih dalam pengembangan.
Untuk website wordpress yang diserang hacker, maka database ini akan diubah oleh penyerang. Jika anda ingin scanner untuk file wordpress, theme dan sebagainya, anda bisa gunakan wordfence terlebih dahulu.
Comment Spam Security
Bisa memberikan capcha untuk komentar dan mem blokir IP address yang sering mengirimkan komentar spam.
Text dan front Copy Protection
Fitur ini berguna apabila anda tidak ingin tulisan anda di copy paste ke website lain. Cara ini juga melindungi gambar dari hotlink di website lain.
Copy paste artikel akan merusak SEO kita karena Google tidak menyukai konten duplikat.
Hotlink gambar akan membebani server dan banwidth kita karena gambar kita dibuka di website lain dengan bandwidth dan server kita tanpa didownload dan upload lagi.
Support yang Baik
Meskipun kita menggunakan versi gratis, kita bisa submit bug kepada pengembang plugin ini. Ini ksrena mereka memang berniat membangun plugin yang handal untuk digunakan para penggunanya.
Untuk plugin ini, secara mendasar kita akan mendapatkan fungsi untuk melindungi login kita, melindungi dari pembuatan username yang tidak aman serta kemampuan melakukan blokir kepada IP atau IP range tertentu.
Kita juga mendapat kemampuan untuk melakukan backup database dan file – file penting yang berguna untuk merestore wordpress kita ke keadaan sebelum diserang hacker.
Untuk semuanya itu, kita bisa melakukannya melalui user interface yang mudah digunakan dan kemampuan monitoring terhadap hal hal yang sedang terjadi.
Selebihnya, plugin ini memberikan kita kemampuan untuk mengamankan tulisan dan gambar kita dari copy paste dan hotlink yang merugikan SEO dan mengurangi bandwidth website kita.

Ini adalah cara men-seting dan menggunakan plugin All In One WP Security dan Firewall. Apapun website wordpress anda dan berapapun ukurannya. Entah baru berumur satu minggu atau sudah 3 tahun, selalu gunakan plugin keamanan yang handal untuk situs anda terutama jika anda belum bisa menghandle keamanan sendiri.
Penulis pernah mengalami dari situs kena hack, terkena virus dan mendapat peringatan oleh Google di webmaster tools hingga gangguan hotlink dan sebagainya. Semuanya bukanlah pengalaman yang menyenangkan. Anda tidak perlu mengalaminya sendiri juga dan persiapkan diri anda sekarang dengan plugin All In One WP Security and Firewall.

Share this

© 2019 Lawang Techno Jasa Pembuatan Website . All rights reserved.