Blog Spaceship

Keamanan shared hosting: cara tetap terlindungi

Untuk setiap jenis proyek online, keamanan itu penting. Namun selain biaya finansial, masalah keamanan dapat menyebabkan downtime yang mengganggu proyek Anda dan membahayakan data pelanggan. Hal ini juga dapat memengaruhi penjualan/bisnis serta citra merek dan kredibilitas situs web Anda.

Saat memulai, ada berbagai ancaman keamanan bagi bisnis online yang perlu diingat. Di sini kami membahas tantangan keamanan yang mungkin dihadapi pengguna shared hosting, serta cara mencegah dan mengatasinya.

Keamanan shared hosting

Karena sifat shared hosting dan cara kerjanya dibangun, ada beberapa area yang dapat menjadi sasaran. Dan meskipun sebagian besar pengaturan keamanan dikelola oleh penyedia hosting, pengguna dapat secara proaktif mengelola dan memitigasi beberapa risiko keamanan. Area shared hosting yang paling berisiko termasuk dalam kategori berikut:

  • Tingkat penyedia hosting

  • Tingkat server (terkait produk dan server bersama)

  • Kontrol pengguna (terkait perangkat lunak yang diinstal, pengaturan, dan penggunaan sehari-hari)

Keamanan tingkat penyedia hosting

Selalu yang terbaik adalah memilih penyedia hosting dengan langkah-langkah keamanan yang tepat untuk memitigasi potensi masalah pada akun, layanan hosting, dan data Anda.

Beberapa hal yang perlu diperhatikan:

  • Keamanan akun tingkat tinggi dan privasi data (autentikasi multi-faktor & platform aman).

  • Mitigasi serangan DDoS pada tingkat server.

  • Pencadangan rutin untuk perangkat lunak (dengan notifikasi).

Hal lain yang perlu diingat adalah bahwa dengan shared hosting, Anda tidak terisolasi. Jadi jika satu situs web menggunakan praktik keamanan yang lemah, seperti tidak mengenkripsi data sensitif, hal itu dapat menimbulkan risiko bagi pengguna lain. Serangan yang mendapatkan akses ke database satu situs mungkin menemukan koneksi atau skrip yang berinteraksi dengan akun lain di server.

Ada juga risiko penyebaran malware, ketika satu situs terinfeksi dan menyebar ke situs lain di server melalui file bersama, skrip, atau koneksi database. Setelah malware menginfeksi beberapa situs, hal itu dapat menyebabkan pelanggaran data atau eksploitasi lebih lanjut.

Perlu diketahui bahwa penyedia shared hosting mungkin tidak memperbarui perangkat lunak dan konfigurasi server segera setelah pembaruan tersedia secara default. Hal ini dapat menciptakan kerentanan yang kemudian dapat dieksploitasi. Misalnya, penjahat siber sering menargetkan versi PHP atau MySQL yang sudah usang.

Ini berarti Anda perlu memastikan bahwa semua pembaruan pada server dilakukan dengan segera. Sebaiknya periksa juga apakah penyedia hosting mendukung atau menawarkan hal-hal berikut:

  • Sertifikat SSL

  • Firewall

  • Dukungan pelanggan

Di bawah kendali pengguna

Infrastruktur perangkat lunak shared hosting

Penyedia hosting bertanggung jawab atas keamanan infrastruktur perangkat lunak, tetapi pengguna hosting perlu mengelola keamanan untuk perangkat lunak tambahan dan kode kustom apa pun.

Plugin dan tema yang tidak aman

Salah satu pertimbangan keamanan adalah pemilihan plugin, alat, dan layanan. Jika ini tidak sah atau tidak aman, semua pengguna shared hosting di server dapat berisiko terkena berbagai serangan atau infeksi malware.

Ada juga kemungkinan perangkat lunak yang sah dan resmi digunakan tetapi tidak diperbarui, sehingga dapat menjadi kerentanan keamanan. Ini mungkin terjadi pada pembaruan WordPress, yang perlu Anda perhatikan melalui email dan notifikasi karena tidak selalu diterapkan secara otomatis.

Ketika Anda perlu menerapkan pembaruan secara aktif, akan lebih mudah untuk melewatkannya. Ini adalah hal yang perlu diingat saat memilih penyedia Anda.

Anda dapat mengetahui pembaruan hosting dengan cara-cara berikut:

  • Email

  • Peringatan di dasbor

  • Catatan rilis dari penyedia content management system (CMS)

  • Forum

Manajemen kata sandi

Ketika manajemen kata sandi tidak ditangani dengan aman, hal itu dapat memungkinkan akses tidak sah di lingkungan hosting. Pelanggaran keamanan dapat disebabkan oleh kata sandi yang lemah atau mudah ditebak, atau ketika kredensial keamanan dibagikan di antara pengguna yang berbeda.

Serangan brute-force

Ini melibatkan malware yang mencoba banyak kombinasi kata sandi hingga akses diperoleh. Ketika kata sandi tidak cukup kuat, akses dapat diperoleh dengan lebih mudah.

Izin file

Kesalahan dalam izin file dapat menyebabkan kebocoran informasi sensitif, seperti kredensial database. Jenis pelanggaran ini juga dapat menjadi risiko bagi pengguna lain di server, bukan hanya situs web yang menjadi target serangan.

Keamanan tingkat server

Seperti yang telah disebutkan, pengguna berbagi sumber daya server dengan pengguna Shared Hosting lainnya. Jika tidak dikelola dengan benar, lingkungan bersama berpotensi menimbulkan berbagai risiko keamanan yang harus diperhitungkan.

Serangan DDoS

Akun shared hosting rentan terhadap serangan distributed denial-of-service (DDoS), di mana sistem online, server, atau jaringan dibanjiri dengan permintaan koneksi (lalu lintas Internet). Serangan ini sering dilakukan oleh jaringan bot (botnet), dan mencegah pengguna Internet biasa mengakses situs web untuk jangka waktu tertentu.

Keterbatasan sumber daya dan dampaknya

Ketika akun hosting tetangga menerima serangan, akun ini akan menggunakan lebih banyak sumber daya sehingga tidak tersedia bagi pengguna lain. Hasil akhirnya adalah situs web akan lambat atau tidak tersedia.

Penyedia hosting dapat menerapkan langkah pemantauan, seperti firewall dan pemantauan lalu lintas otomatis, serta bertindak pada kasus DDoS untuk menghentikan pengguna lain terdampak ketika tetangga diserang.

Langkah-langkah untuk mencegah atau mengurangi dampak serangan pada server yang sama meliputi:

  • Router berkapasitas tinggi

  • Sistem anti-DDoS

  • Isolasi akun

  • Firewall

  • Sistem deteksi dan pencegahan intrusi (IDPS)

  • Pembatasan lalu lintas

Bahkan dengan langkah-langkah keamanan yang sudah diterapkan, web hosting di lingkungan bersama sedikit lebih rentan karena struktur akun shared hosting.

Keamanan alamat IP bersama

Dalam beberapa kasus, akun shared hosting yang mungkin mencakup beberapa paket dan situs web, semuanya berbagi alamat IP yang sama. Ini berarti bahwa jika satu alamat IP di server ini terkena serangan siber, berbagai paket hosting dan situs web dapat terdampak — bahkan yang bukan target yang dimaksud.

Pelanggaran data shared hosting

Dengan lingkungan shared hosting, jika satu situs web disusupi maka penyerang berpotensi menemukan cara untuk mengakses file atau database situs lain di server yang sama. Ini berarti bahwa server yang tidak dikonfigurasi dengan baik lebih rentan terhadap pelanggaran data, sehingga memungkinkan akses tidak sah ke akun pengguna lain.

Situs web tertentu di server mungkin sedang diserang, seperti serangan DDoS, injeksi SQL, atau cross-site scripting. Gangguan sumber daya yang dihasilkan dapat memudahkan penyerang mengeksploitasi kerentanan lain di server, yang dapat berarti data beberapa situs disusupi.

Kustomisasi keamanan shared hosting

Dengan produk shared hosting, Anda tidak perlu mengelola keamanan server Anda tetapi Anda tidak dapat melakukan konfigurasi sefleksibel opsi hosting yang menyediakan akses root.

Penyedia hosting biasanya menawarkan konfigurasi keamanan standar yang mengontrol fitur keamanan paling penting, yang mungkin tidak memenuhi kebutuhan spesifik sebagian pengguna. Jika Anda memerlukan pengaturan keamanan yang lebih dapat dikonfigurasi, mungkin akan lebih baik memilih server khusus atau layanan hosting Virtual Machine (VPS).

Keamanan shared hosting vs. jenis hosting lainnya

Shared hosting vs. VPS dan hosting dedicated

Dengan shared hosting, Anda dapat mengikuti praktik terbaik dan memastikan bahwa Anda berada pada risiko minimal. Namun jika Anda memiliki persyaratan keamanan yang lebih tinggi, mungkin Anda harus memilih VPS atau hosting server dedicated. Dengan opsi ini, kemungkinan besar Anda akan memiliki akses root dan kemampuan untuk mengelola serta mengonfigurasi pengaturan keamanan sesuai preferensi Anda.

Keunggulan keamanan hosting dedicated

Manfaat keamanan tambahan yang ditawarkan oleh hosting dedicated adalah isolasi total. Sementara pengguna shared hosting mungkin rentan terhadap risiko yang disebabkan oleh pengguna lain di server yang sama, pengguna hosting memiliki seluruh server untuk diri mereka sendiri dan kontrol penuh atas keamanan mereka sendiri. Hal yang sama berlaku bagi pemilik virtual private server, tetapi karena isolasinya bersifat virtual, pengguna VPS tidak sepenuhnya seindependen pengguna hosting dedicated.

Perlu diingat bahwa kustomisasi dan kontrol keamanan tambahan dari hosting dedicated dan VPS juga membawa tanggung jawab tambahan. Jika pengguna tidak memiliki keterampilan teknis untuk menyesuaikan dan mengelola pengaturan keamanan sendiri, mereka mungkin perlu menyewa profesional TI.

10 strategi untuk mengamankan shared hosting

Bagi pengguna shared hosting, ada risiko keamanan yang perlu diperhatikan, tetapi ada juga praktik terbaik yang perlu diingat yang dapat meminimalkan risiko ini.

1. Buat pencadangan rutin

Mencadangkan file situs web dan database secara rutin mencegah kehilangan data jika terjadi pelanggaran data atau masalah pada perangkat lunak yang diinstal. Ini juga memungkinkan pengguna kembali ke operasi normal lebih cepat dengan memulihkan keadaan situs web sebelumnya yang tidak terinfeksi.

Biasanya merupakan ide yang baik untuk menggunakan layanan autobackup, karena menerapkan pencadangan secara manual dapat dengan mudah terlewat atau tidak dilakukan cukup rutin.

2. Hindari sumber yang tidak tepercaya

Selalu ekstra waspada saat menggunakan plugin atau perangkat lunak apa pun, sehingga Anda dapat menghindari sumber yang tidak tepercaya dan meminimalkan risiko keamanan.

3. Gunakan kata sandi yang aman dan 2FA/MFA

Penting untuk hanya menggunakan kata sandi yang kuat dan unik untuk akun hosting, panel admin CMS, dan akun FTP/SFTP Anda. Untuk lapisan keamanan tambahan, aktifkan autentikasi dua faktor (2FA) atau autentikasi multi-faktor (MFA) kapan pun memungkinkan.

4. Atur izin, peran pengguna, dan akses

Untuk menghindari siapa pun mendapatkan akses tidak sah, tetapkan peran pengguna dan izin yang sesuai, serta pastikan Anda menyimpan dan membagikan kredensial dengan aman kepada mitra.

Merupakan praktik yang baik untuk membatasi jumlah orang yang memiliki akses ke akun hosting dan situs web Anda. Pantau log akses dan aktivitas akun Anda secara rutin untuk perilaku yang tidak biasa atau tidak sah.

Ingatlah untuk menetapkan izin file dan folder yang benar guna mencegah akses tidak sah. Ini termasuk 644 untuk file dan 755 untuk direktori. Hindari 777, yang memungkinkan izin baca/tulis/eksekusi penuh untuk semua pengguna — kecuali Anda yakin itu diperlukan.

5. Gunakan web application firewall (WAF)

WAF menganalisis lalu lintas situs web yang masuk, mengidentifikasi dan menyaring permintaan berbahaya sebelum mencapai aplikasi web. Ini membantu mencegah berbagai jenis serangan, seperti injeksi SQL, cross-site scripting (XSS), dan penyertaan file jarak jauh.

WAF dapat memblokir alamat IP berbahaya yang diketahui dan sumber spam atau serangan DDoS, mencegah permintaan tersebut memengaruhi performa situs web.

Gunakan WAF untuk menyaring dan memblokir lalu lintas berbahaya ke situs Anda. Beberapa penyedia hosting menawarkan WAF sebagai bagian dari layanan mereka, atau Anda dapat menggunakan solusi pihak ketiga seperti Cloudflare atau Sucuri.

6. Gunakan sertifikat SSL untuk keamanan situs web

Untuk keamanan situs web dan perlindungan data pengguna, sertifikat SSL adalah langkah yang penting. Protokol HTTPS mengamankan komunikasi antara situs web Anda dan pengunjung. Banyak penyedia hosting, seperti Let’s Encrypt, menawarkan sertifikat SSL gratis untuk semua situs web.

7. Perbarui patch, CMS, dan plugin secara rutin

Selalu perbarui platform content management system (CMS), plugin, dan tema Anda secara rutin untuk meminimalkan kerentanan keamanan.

Pastikan penyedia hosting Anda selalu memperbarui semua perangkat lunak server, seperti Apache, PHP, dan MySQL, sepenuhnya.

8. Pindai dan pantau aktivitas mencurigakan

Pantau secara rutin tanda-tanda aktivitas mencurigakan untuk memeriksa ancaman keamanan. cPanel Virus Scanner disertakan dalam paket Spaceship Shared Hosting. Ada juga layanan pemantauan gratis seperti ImunifyAV, dan pemindai online gratis, seperti Sucuri.

Alat pemindaian malware mendeteksi dan menghapus malware dari situs web, dan banyak penyedia hosting menawarkan pemindaian malware bawaan. Anda juga dapat dengan mudah memasang plugin keamanan untuk platform CMS populer seperti WordPress.

9. Gunakan secure file transfer protocol (SFTP)

Terapkan SFTP untuk file transfer protocol (FTP) Anda, agar transfer file situs web menjadi lebih aman. Sementara FTP mengirimkan data (termasuk kata sandi) dalam teks biasa, SFTP mengenkripsi transmisi data. Alternatif FTP aman lainnya adalah file transfer protocol secure (FTPS).

10. Isolasi akun yang kuat

Sebaiknya pilih penyedia hosting dengan isolasi akun pengguna yang kuat, seperti CageFS dari CloudLinux, untuk mengisolasi lingkungan setiap pengguna dan mencegah akun pengguna memengaruhi yang lain.

Pertimbangan keamanan tambahan

Selalu periksa bahwa penyedia hosting Anda mengikuti kebijakan dan standar keamanan yang masuk akal, serta memiliki teknologi seperti CloudLinux dan cageFS. Ingat bahwa prinsip dasar keamanan dimulai dari pengguna, jadi pastikan Anda menerapkan langkah-langkah keamanan yang kuat, seperti pencadangan otomatis, enkripsi SSL, serta patch dan pembaruan perangkat lunak server secara otomatis.

Produk keamanan yang dapat Anda pertimbangkan untuk dibeli meliputi:

  • Alat autoscan dan pembersihan untuk deteksi malware

  • Akses terminal secure shell (SSH) terenkripsi

  • Perlindungan serangan terhadap serangan bervolume tinggi

  • WAF

  • Perlindungan DDoS

  • CDN (untuk mengurangi dampak serangan DDoS)

Tetap aman dan terlindungi

Baik untuk individu maupun bisnis dari semua ukuran, keamanan siber harus selalu menjadi prioritas utama. Sebagai pelanggan shared hosting ada beberapa masalah keamanan yang perlu diperhatikan, tetapi dengan membuat keputusan yang tepat dan mengikuti praktik terbaik, Anda dapat menjaga risiko tetap terkendali.


Artikel yang disarankan

Bagikan pemikiran Anda

Diperlukan lebih dari 10 karakter.
Identitas Anda untuk tampilan publik.
Memberikan alamat email Anda adalah opsional. Itu tidak akan dibagikan dengan pihak ketiga.

Bantu kami meningkatkan blog kami

Bagikan pemikiran Anda dalam survei singkat dua menit.

Email yang valid diperlukan