Mari saya mulai dengan kebenaran yang tidak menyenangkan tentang keamanan situs web untuk bisnis kecil: Anda hampir pasti tidak akan diretas oleh seorang jenius. Anda akan diretas oleh bot yang menemukan plugin Anda sudah usang, atau oleh seseorang yang mencoba membocorkan kata sandi dari situs lain, dan berhasil karena Anda menggunakan kembali kata sandi.
Itu sebenarnya kabar baik. Artinya pertahanannya bukanlah konsultan mahal atau firewall perusahaan. Ini adalah kebersihan. Lima kebiasaan, sebagian besar merupakan pengaturan satu kali, yang menutup pintu yang dilalui bot.
Saya telah menghabiskan lebih dari satu dekade membangun dan memelihara sistem web, dan saya telah dipanggil lebih dari sekali setelah situs bisnis kecil dirusak, dimasukkan ke dalam daftar hitam oleh Google, atau diam-diam diubah menjadi pengirim spam. Dalam setiap kasus, titik masuknya ada pada daftar di bawah. Ini dia, dengan perkiraan waktu yang jujur.
Langkah 1: HTTPS di mana saja (30 menit, sekali)
Jika situs Anda masih dimuat melalui HTTP biasa pada tahun 2022, perbaiki sekarang. HTTPS mengenkripsi lalu lintas antara pengunjung dan server Anda, dan browser kini secara aktif memperingatkan pengguna agar menjauh dari situs tanpa HTTPS. Chrome memberi label halaman HTTP "Tidak Aman" tepat di bilah alamat. Untuk sebuah bisnis, label tersebut harus Anda percayai sebelum pengunjung membaca satu kata pun.
Alasannya dulu adalah biaya. Alasan itu sudah mati bertahun-tahun yang lalu. Let's Encrypt mengeluarkan sertifikat secara gratis, sebagian besar panel hosting mengaktifkannya dengan satu klik, dan layanan seperti Cloudflare menempatkan HTTPS di depan situs Anda tanpa biaya. Jika vendor web Anda memberi tahu Anda bahwa HTTPS adalah add-on berbayar, ajukan pertanyaan yang lebih sulit.
Saat Anda berada di sana, pastikan HTTP dialihkan ke HTTPS secara otomatis. Sertifikat yang ada tetapi tidak diberlakukan tidak melindungi siapa pun.
Langkah 2: pembaruan, 80 persen yang tidak menarik (15 menit setiap bulan)
Sebagian besar situs bisnis kecil berjalan di WordPress atau CMS serupa, dan sebagian besar penyusupan situs tersebut berasal dari plugin dan tema yang sudah ketinggalan zaman. Bukan perangkat lunak inti, pluginnya. Plugin galeri yang dipasang pada tahun 2019 oleh pekerja lepas yang tidak lagi Anda ajak bicara adalah kemungkinan besar pintu masuk ke situs Anda.
Rutinitasnya:
- Bulanan, masuk dan terapkan semua pembaruan yang tertunda: inti, tema, plugin.
- Hapus plugin atau tema apa pun yang tidak Anda gunakan secara aktif. Dinonaktifkan tidak sama dengan dihapus; kode yang dinonaktifkan masih dapat dieksploitasi.
- Audit tahunan: untuk setiap plugin, periksa kapan terakhir kali diperbarui oleh pembuatnya. Plugin yang ditinggalkan tidak pernah menerima perbaikan keamanan. Gantikan mereka.
Lima belas menit sebulan. Letakkan di kalender di samping membayar tagihan listrik, karena tugas seperti itulah yang harus dilakukan: membosankan, berulang, dan berbahaya jika dilewatkan selama setahun.
Langkah 3: cadangan yang sebenarnya sudah Anda pulihkan (2 jam, sekali, lalu otomatis)
Semua orang bilang mereka punya cadangan. Sangat sedikit yang telah menguji pemulihan. Cadangan yang belum teruji adalah sebuah harapan, bukan rencana.
Seperti apa penyiapan pencadangan sebenarnya untuk situs bisnis kecil:
- Otomatis, harian atau mingguan tergantung seberapa sering situs berubah. Manusia lupa; jadwal tidak.
- Di luar server. Cadangan yang disimpan di server yang sama yang disusupi atau mati bukanlah cadangan. Dorong ke penyimpanan cloud, atau minimal unduh secara berkala.
- Ditahan setidaknya selama 30 hari. Kompromi sering kali ditemukan beberapa minggu setelah terjadi. Jika Anda hanya menyimpan cadangan tadi malam, Anda mungkin setia mencadangkan versi yang diretas.
- Pemulihan telah diuji sekali. Benar-benar melakukannya, pada salinan pementasan atau subdomain sementara. Atur waktu Anda sendiri. Angka tersebut adalah berapa lama situs Anda akan down jika terjadi kejadian nyata.Total biaya: biasanya gratis hingga Rp100.000 per bulan. Bandingkan dengan waktu henti selama seminggu selama promosi.
Langkah 4: kontrol akses, atau siapa yang masih bisa login? (1 jam, sekali)
Buatlah daftar semua orang yang pernah memiliki akses ke admin situs web Anda, panel hosting Anda, dan registrar domain Anda. Bagi sebagian besar bisnis, daftar ini mencakup setidaknya satu mantan karyawan dan dua mantan vendor, semuanya memiliki kredensial kerja.
Pembersihan:
- Satu akun per orang. Login bersama berarti Anda tidak akan pernah bisa menghapus akses satu orang tanpa mengganggu semua orang.
- Hak istimewa paling rendah. Orang yang menulis postingan blog memerlukan akun editor, bukan administrator. Sebagian besar platform CMS menjadikan ini sebagai pilihan dropdown.
- Offboarding sebagai kebiasaan. Saat hubungan anggota staf atau vendor berakhir, mencabut akses adalah bagian dari daftar periksa, sama seperti mengumpulkan kunci kantor.
- Ketahui di mana domain Anda berada. Saya telah melihat sebuah bisnis kehilangan domainnya sendiri karena terdaftar menggunakan akun pribadi pekerja lepas yang telah meninggal. Verifikasi hari ini bahwa akun registrar adalah milik bisnis tersebut.
Langkah 5: kata sandi dan 2FA, jam leverage tertinggi yang akan Anda habiskan
Di sinilah sebagian besar pelanggaran dimulai. Serangan pengisian kredensial mengambil kata sandi yang bocor dari satu layanan dan mencobanya di tempat lain. Jika kata sandi admin Anda sama dengan kata sandi Yahoo lama Anda, bot mungkin sudah mencobanya.
Cara mengatasinya bersifat mekanis:
- Gunakan pengelola kata sandi (Bitwarden gratis dan solid) dan buat kata sandi unik untuk setiap akun.
- Aktifkan autentikasi dua faktor untuk panel hosting, pendaftar domain, admin CMS, dan akun email yang menerima pengaturan ulang kata sandi. Akun email itu adalah kunci utama dari segalanya; lindungi dulu.
- Jangan pernah mengirimkan kata sandi melalui WhatsApp atau email dalam bentuk teks biasa. Pengelola kata sandi memiliki fitur berbagi untuk hal ini.
Satu jam pengaturan. Ini menetralisir serangan paling umum terhadap usaha kecil.
Kesimpulannya: jadwalkan seperti latihan kebakaran
Tak satu pun dari lima langkah ini memerlukan spesialis keamanan, dan jika digabungkan, biayanya kurang dari satu kali makan malam yang menyenangkan per bulan. Pola yang perlu diperhatikan adalah bahwa keamanan bagi usaha kecil bukanlah produk yang Anda beli, melainkan daftar singkat kebiasaan yang Anda pertahankan. Hal ini mencerminkan argumen saya dalam [Mengapa Bisnis Anda Membutuhkan Strategi Teknologi, Bukan Hanya Situs Web] (/blog/why-your-business-needs-a-technology-strategy): pemikiran lebih penting daripada alatnya.
Blokir dua jam minggu ini. Lakukan HTTPS, audit akses, dan pengelola kata sandi. Masukkan sesi pembaruan bulanan dan tes pemulihan cadangan di kalender. Kemudian kembali menjalankan bisnis Anda, yang merupakan inti dari menyelesaikan masalah ini.