Blog Security Ala Blogilicious de Surabaya (Bagian 1)

Blog Security ini merupakan salah satu materi yang dibahas dalam seminar semi-workshop Blogilicious de Surabaya. Materi ini dipaparkan oleh Frenavit Putra, mantan Ketua Komunitas Blogger Surabaya. Blog security menjadi bagian paling penting dalam kegiatan blogging karena blog yang menggunakan free CMS seperti WordPress self host, aura CMS, drupal, atau Joomla sangat rentan terhadap serangan para hacker ataupun attacker.

Dalam internet, blog diibaratkan sebagai sebuah rumah atau tempat hunian. Rumah merupakan sasaran empuk para pencuri untuk menjarah barang elektronik, perhiasan, atau barang mewah lainnya. Untuk itulah, diperlukan suatu pengaman agar para pencuri tidak dapat masuk ke dalam rumah dengan bebas dan mudah. Begitu pula blog, diperlukan sebuah pengaman agar para hacker dan attacker masuk ke dalam sistem blog kita dengan mudah.

Serangan para hacker dan attacker pada blog biasanya menyebabkan berubahnya username dan password, susah untuk login masuk, hilangnya data penting, pencurian data penting atau juga munculnya pesan pengakuan/pernyataan pada halaman yang mengalami deface. Serangan tersebut dapat berupa pembobolan akun, SQL Injection, Cross-site Scripting (XSS), Komentar Spam, Deface, ataupun DOS Attack (Denial of Service).

Metode dalam pembobolan akun sangat banyak, salah satunya dengan cara Brute Force. Brute Force merupakan salah satu cara (trial and error atau coba-coba) menggenerate satu per satu karakter sehingga terbentu suatu frase kata kemudian mencocokkannya dengan kata sandi yang sebenarnya. Brute Force dapat dilakukan menggunakan machine otomatis. Akun yang mudah dibobol biasanya disebabkan oleh beberapa hal seperti: penggunaan password dan username yang mudah ditebak, adanya bug pada CMS yang kita pakai, terjebak oleh iklan/komentar palsu (phissing), atau sedang dimata-matai oleh seseorang di dalam satu area jaringan internet lokal.

SQL Injection merupakan salah satu teknik untuk menjebol sistem keamanan dengan cara memanfaatkan celah pada database. Kebanyakan para korban adalah pengguna yang menggunakan CMS buatan sendiri tanpa filtering data inputan. Ketika kita menginputkan karakter bebas seperti : ‘/”[]^,. dll maka halaman akan menampilkan pesan error. Nah, dengan munculnya pesan error tersebut para hacker dan attacker memanfaatkannya untuk mendapatkan password sekaligus username.

XSS atau Cross Site Scripting merupakan suatu teknik untuk menjebol sistem keamanan dengan cara menambahkan suatu script pada sebuah website atau blog. Bentuk script yang biasa ditambahkan antara lain: HTML/JavaScript, VBScript, ActiveX, Java, Flash, dll. Celah keamanan ini kebanyakan terdapat pada bagian kotak komentar di mana pengunjung dapat menulis bebas.

Komentar Spam merupakan komentar sampah yang terus membanjiri pesan komentar pada blog. Biasanya komentar span digenerate oleh sebuah mesin sehingga komentar spam dapat masuk dan menyebar dengan cepat. Kebanyakan komentar spam berasal dari luar negeri, jarang sekali ditemukan komentar spam menggunakan bahasa Indonesia.

Deface, ya istilah ini sering kita dengar di mana-mana. Deface artinya merubah tampilan halaman website atau blog menjadi tidak semestinya. Isi halaman yang terdeface biasanya berupa kalimat pernyataan ataupun pengakuan terhadap suatu yang dianggap benar oleh para hacker atau attacker, bahkan mereka tidak sungkan menyantumkan nama atau initialnya.

Yang terakhir ini merupakan cara terakhir jika para hacker dan attacker tidak menembus celah kemanan, yakni dengan DOS Attack. Para hacker dan attacker melakukan serangan sehingga server atau blog tidak dapat menjalankan sumber daya yang ada. Dampaknya, para pengunjung tidak dapat mengakses blog karena Bandwidth Exceeded (kehabisan bandwidth). Bagaimana caranya?? ya dengan melakukan ping pada web kita secara terus menerus menggunakan beberapa komputer atau PC yang terhubung internet.

Begitulah yang saya cerna saat mendengarkan penjelasan dari mas Bodrex saat acara Blogilicious de Surabaya yang diadakan oleh IdBlogNetwork. Bagaimana mengatasi celah keamanan tersebut, insya Allah akan saya bahas pada artikel saya berikutnya.

NB: Artikel ini saya tulis dengan bahasa saya sendiri dengan menambah atau mengurangi materi yang dipaparkan pada saat Blogilicious de Surabaya.