Blog Security ini merupakan salah satu materi yang dibahas dalam seminar
semi-workshop Blogilicious de Surabaya. Materi ini dipaparkan
oleh Frenavit Putra, mantan Ketua Komunitas Blogger Surabaya. Blog security
menjadi bagian paling penting dalam kegiatan blogging karena blog yang
menggunakan free CMS seperti WordPress self host, aura CMS, drupal, atau Joomla
sangat rentan terhadap serangan para hacker ataupun attacker.
Dalam internet, blog diibaratkan sebagai sebuah rumah atau tempat hunian.
Rumah merupakan sasaran empuk para pencuri untuk menjarah barang elektronik,
perhiasan, atau barang mewah lainnya. Untuk itulah, diperlukan suatu pengaman
agar para pencuri tidak dapat masuk ke dalam rumah dengan bebas dan mudah.
Begitu pula blog, diperlukan sebuah pengaman agar para hacker dan attacker
masuk ke dalam sistem blog kita dengan mudah.
Serangan para hacker dan attacker pada blog biasanya menyebabkan berubahnya
username dan password, susah untuk login masuk, hilangnya data penting,
pencurian data penting atau juga munculnya pesan pengakuan/pernyataan pada
halaman yang mengalami deface. Serangan tersebut dapat berupa pembobolan akun,
SQL Injection, Cross-site Scripting (XSS), Komentar Spam, Deface, ataupun DOS
Attack (Denial of Service).
Metode dalam pembobolan akun sangat banyak, salah satunya dengan cara Brute
Force. Brute Force merupakan salah satu cara (trial and error atau coba-coba)
menggenerate satu per satu karakter sehingga terbentu suatu frase kata kemudian
mencocokkannya dengan kata sandi yang sebenarnya. Brute Force dapat dilakukan
menggunakan machine otomatis. Akun yang mudah dibobol biasanya disebabkan oleh beberapa
hal seperti: penggunaan password dan username yang mudah ditebak, adanya bug
pada CMS yang kita pakai, terjebak oleh iklan/komentar palsu (phissing), atau
sedang dimata-matai oleh seseorang di dalam satu area jaringan internet lokal.
SQL Injection merupakan salah satu teknik untuk menjebol sistem keamanan
dengan cara memanfaatkan celah pada database. Kebanyakan para korban adalah
pengguna yang menggunakan CMS buatan sendiri tanpa filtering data inputan.
Ketika kita menginputkan karakter bebas seperti : ‘/”[]^,. dll maka halaman
akan menampilkan pesan error. Nah, dengan munculnya pesan error tersebut para
hacker dan attacker memanfaatkannya untuk mendapatkan password sekaligus
username.
XSS atau Cross Site Scripting merupakan suatu teknik untuk menjebol sistem
keamanan dengan cara menambahkan suatu script pada sebuah website atau blog.
Bentuk script yang biasa ditambahkan antara lain: HTML/JavaScript, VBScript,
ActiveX, Java, Flash, dll. Celah keamanan ini kebanyakan terdapat pada bagian
kotak komentar di mana pengunjung dapat menulis bebas.
Komentar Spam merupakan komentar sampah yang terus membanjiri pesan
komentar pada blog. Biasanya komentar span digenerate oleh sebuah mesin
sehingga komentar spam dapat masuk dan menyebar dengan cepat. Kebanyakan komentar
spam berasal dari luar negeri, jarang sekali ditemukan komentar spam
menggunakan bahasa Indonesia.
Deface, ya istilah ini sering kita dengar di mana-mana. Deface artinya
merubah tampilan halaman website atau blog menjadi tidak semestinya. Isi halaman
yang terdeface biasanya berupa kalimat pernyataan ataupun pengakuan terhadap
suatu yang dianggap benar oleh para hacker atau attacker, bahkan mereka tidak
sungkan menyantumkan nama atau initialnya.
Yang terakhir ini merupakan cara terakhir jika para hacker dan attacker
tidak menembus celah kemanan, yakni dengan DOS Attack. Para hacker dan attacker
melakukan serangan sehingga server atau blog tidak dapat menjalankan sumber
daya yang ada. Dampaknya, para pengunjung tidak dapat mengakses blog karena
Bandwidth Exceeded (kehabisan bandwidth). Bagaimana caranya?? ya dengan
melakukan ping pada web kita secara terus menerus menggunakan beberapa komputer
atau PC yang terhubung internet.