SSL memberikan kepercayaan diri kepada pengunjung situs web Anda untuk berkomunikasi dengan aman melalui sesi terenkripsi. Untuk perusahaan yang ingin melakukan e-commerce yang aman, seperti menerima nomor kartu kredit atau informasi sensitif online lainnya, SSL sangat penting.
Agar SSL berfungsi, sertifikat SSL yang ditandatangani dan sah sangat penting. Sertifikat adalah cara standar untuk mengikat kunci publik ke suatu nama. Enkripsi kunci publik adalah taktik yang menggunakan sepasang kunci asimetris untuk enkripsi dan dekripsi. Setiap pasangan kunci terdiri dari kunci publik dan kunci pribadi. Kunci publik dibuat publik dengan mendistribusikannya secara luas. Kunci pribadi tidak pernah didistribusikan; selalu dirahasiakan. Data yang dienkripsi dengan kunci publik dapat didekripsi hanya dengan kunci pribadi. Sebaliknya, data yang dienkripsi dengan kunci pribadi hanya dapat didekripsi dengan kunci publik. Asimetri ini membuat kriptografi kunci publik sangat berguna.
8 Cara untuk Mencegah Situs Web Anda Diretas [Keamanan Situs Web]
Anda dapat membuat sertifikat yang ditandatangani sendiri dan menggunakannya untuk beberapa waktu hingga sertifikat :ditandatangani: oleh otoritas eksternal tepercaya
Otoritas sertifikat VeriSign
atau
Segel Situs GeoTrust
Dan itu akan siap.
Untuk mengaktifkan SSL untuk situs web Anda dengan sertifikat yang ditandatangani sendiri:
1. Klik pada tab Situs;
2. Pilih Pengaturan Situs Web. Pengaturan Umum situs web Anda muncul di layar;
3. Klik tab Situs Web Aman. Ringkasan situs web aman muncul di layar;
4. Klik tombol Hasilkan Permintaan. Formulir permintaan sertifikat muncul di layar;
5. Isi formulir:
1. Pilih negara tempat tinggal Anda dari menu drop-down Negara. Jika perlu, gulir daftar;
2. Pilih Negara Anda dari menu drop-down Negara (AS atau Kanada);
3. Atau ketikkan Negara Anda di kotak teks Negara (negara lain);
4. Ketikkan kota tempat tinggal Anda di kotak teks Lokalitas;
5. Ketikkan nama perusahaan Anda di kotak teks Nama organisasi;
6. Anda dapat mengetik cabang atau nama afiliasi secara opsional di kotak teks nama unit Organisasi;
7. Ketikkan nama situs web Anda di kotak teks Nama situs;
6. Klik tombol Kirim. Ringkasan situs web aman yang diperbarui muncul di layar: sekarang baik permintaan sertifikat dan kunci pribadi ada, tetapi situs web aman tidak tersedia karena sertifikat SSL tidak ada;
Catatan: Jangan lupa untuk membuat cadangan kunci pribadi Anda: klik tautan Detail kunci pribadi SSL (konten kunci pribadi akan muncul di jendela sembulan) dan salin konten kunci pribadi Anda ke file.
7. Klik tombol Generate the SSL Certificate. Dalam beberapa detik layar memuat ulang dengan ringkasan situs web aman yang diperbarui: sekarang sertifikat sudah ada dan situs web aman tersedia;
8. Klik tombol Enable SSL.
Untuk mengirim permintaan sertifikat ke otoritas sertifikat eksternal (jika permintaan sertifikat sudah dibuat dan kunci pribadi disimpan, seperti dijelaskan dalam langkah 1 -7 di atas):
1. Klik pada tab Situs. Pengaturan umum situs web muncul di layar;
2.Pilih tab Situs Web Aman. Ringkasan situs web aman muncul di layar;
3. Klik tautan detail permintaan sertifikat SSL. Konten permintaan sertifikat muncul di jendela sembulan;
4. Salin konten permintaan sertifikat dalam file dan kirimkan ke otoritas sertifikat.
Untuk mengimpor sertifikat SSL yang ditandatangani oleh otoritas sertifikat:
1. Klik pada tab Situs;
2. Pilih Pengaturan Situs Web. Pengaturan umum situs web Anda muncul di layar;
3. Klik tab Situs Web Aman. Ringkasan situs web aman muncul di layar;
4. Klik tombol Instal Sertifikat SSL. Formulir untuk mengimpor sertifikat SSL muncul di layar;
5. Lakukan salah satu dari yang berikut:
1. Ketikkan jalur ke file yang berisi sertifikat SSL di kotak teks nama file Sertifikat atau klik tombol Browse untuk menemukan file;
2. Atau tempel konten sertifikat di kotak teks konten Sertifikat;
6. Klik tombol Kirim. Ringkasan situs web aman muncul di layar;
7. Klik tombol Aktifkan SSL.
Untuk mengimpor sertifikat SSL cadangan dan kunci pribadi Anda:
1. Klik pada tab Situs;
2. Pilih Pengaturan Situs Web. Pengaturan umum situs web Anda muncul di layar;
3. Klik tab Situs Web Aman. Ringkasan situs web aman muncul di layar;
4. Klik tombol Instal File SSL. Formulir untuk kunci SSL dan impor sertifikat muncul di layar;
5. Kirimkan kunci dan sertifikat:
1. Ketikkan jalur ke file yang berisi kunci privat, kotak teks nama file kunci Privat (klik tombol Browse untuk menemukan file), atau rekatkan konten kunci privat di kotak teks konten kunci Privat;
2. Ketikkan jalur ke file yang berisi sertifikat SSL di kotak teks nama file Sertifikat (klik tombol Browse untuk menemukan file) atau tempelkan konten sertifikat di kotak teks konten Sertifikat;
6. Klik tombol Kirim. Ringkasan situs web aman muncul di layar;
7. Klik tombol Aktifkan SSL.
Catatan:
Browser Netscape dan Mozilla secara otomatis mendeteksi apakah suatu situs web menggunakan enkripsi data yang dikirimkan atau tidak (seperti untuk Internet Explorer, harap dorong pengunjung situs web Anda yang menggunakan IE untuk menggunakan Internet Explorer 5.0 atau yang lebih baru). Jadi, jika Anda menggunakan sertifikat yang ditandatangani sendiri, pengunjung situs web Anda akan diberi tahu bahwa situs web Anda menggunakan enkripsi, tetapi otoritas yang menandatangani sertifikat tidak dikenali. Jadi, jika Anda berniat melakukan e-commerce di situs web Anda, lebih baik mendapatkan sertifikat SSL yang ditandatangani oleh VeriSign orThawte.
Situs web aman hanya dapat diaktifkan untuk situs web berbasis IP (mis., Situs web yang tidak berbagi alamat IP dengan situs web lain). Jadi, jika Anda memiliki beberapa situs web di server Anda dan hanya satu alamat IP - salah satu dari situs-situs ini (tetapi hanya satu dari mereka) yang dapat memiliki kemampuan SSL. Pergi untuk Sertifikat Wildcard ID Server GeoTrust Power.
Jika Anda memiliki pertanyaan, pertanyaan, atau umpan balik daripada harap kirimkan kepada kami di TheSSLStore.com Cara Mengamankan Situs Web Anda Kebanyakan orang di internet adalah orang-orang yang baik dan jujur. Namun, ada beberapa orang yang menjelajah internet yang mendapatkan kesenangan dari mengaduk-aduk situs web dan menemukan celah keamanan. Beberapa tips sederhana dapat membantu Anda mengamankan situs web Anda dengan cara-cara dasar. Sekarang, jelas, subjek keamanan data adalah rumit dan jauh melampaui cakupan kolom ini. Namun, saya akan membahas dasar-dasar yang harus dilakukan yang akan meringankan banyak masalah potensial yang memungkinkan orang untuk melihat hal-hal yang tidak seharusnya mereka lakukan..
Direktori yang Melindungi Kata Sandi
Jika Anda memiliki direktori di server Anda yang harus tetap pribadi, jangan bergantung pada orang untuk tidak menebak nama direktori. Lebih baik melindungi folder dengan kata sandi di tingkat server. Lebih dari 50% situs web di luar sana didukung oleh server Apache, jadi mari kita lihat cara melindungi direktori dengan kata sandi di Apache.
Apache mengambil perintah konfigurasi melalui file bernama .htaccess yang berada di direktori. Perintah dalam .htaccess memiliki efek pada folder itu dan sub-folder apa pun, kecuali jika sub-folder tertentu memiliki file .htaccess sendiri di dalamnya. Untuk melindungi folder dengan kata sandi, Apache juga menggunakan file bernama .htpasswd. File ini berisi nama dan kata sandi akses yang diberikan pengguna. Kata sandi dienkripsi, jadi Anda harus menggunakan program htpasswd untuk membuat kata sandi. Untuk mengaksesnya, buka baris perintah server Anda dan ketik htpasswd. Jika Anda menerima kesalahan :perintah tidak ditemukan: maka Anda harus menghubungi admin sistem Anda. Juga, ingatlah bahwa banyak host web menyediakan cara-cara berbasis web untuk mengamankan direktori, sehingga mereka mungkin memiliki hal-hal yang diatur agar Anda melakukannya dengan cara itu alih-alih sendiri. Cegah ini, mari kita lanjutkan.
Ketik :htpasswd -c .htpasswd myusername: di mana :myusername: adalah nama pengguna yang Anda inginkan. Anda kemudian akan diminta kata sandi. Konfirmasikan dan file akan dibuat. Anda dapat memeriksa ini melalui FTP. Juga, jika file ada di dalam folder web Anda, Anda harus memindahkannya sehingga tidak dapat diakses oleh publik. Sekarang, buka atau buat file .htaccess Anda. Di dalam, sertakan yang berikut:
AuthUserFile /home/www/passwd/.htpasswd
AuthGroupFile / dev / null
AuthName :Folder Aman:
AuthType Basic
membutuhkan pengguna yang valid
Pada baris pertama, sesuaikan jalur direktori ke mana pun file .htpasswd Anda berada. Setelah ini diatur, Anda akan mendapatkan dialog sembulan ketika mengunjungi folder itu di situs web Anda. Anda akan diminta untuk masuk untuk melihatnya.
Matikan Daftar Direktori
Secara default, direktori apa pun di situs web Anda yang tidak memiliki file beranda yang dikenali (index.htm, index.php, default.htm, dll.) Akan menampilkan daftar semua file dalam folder itu. Anda mungkin tidak ingin orang melihat semua yang Anda miliki di sana. Cara paling sederhana untuk melindungi dari ini adalah dengan hanya membuat file kosong, beri nama index.htm dan kemudian unggah ke folder itu. Opsi kedua Anda adalah, sekali lagi, gunakan file .htaccess untuk menonaktifkan daftar direktori. Untuk melakukannya, cukup sertakan baris :Opsi -Indeks: dalam file. Sekarang, pengguna akan mendapatkan kesalahan 403 daripada daftar file.
Hapus Instal File
Jika Anda menginstal perangkat lunak dan skrip ke situs web Anda, sering kali disertai dengan instalasi dan / atau peningkatan skrip. Membiarkan ini di server Anda membuka masalah keamanan besar karena jika orang lain terbiasa dengan perangkat lunak itu, mereka dapat menemukan dan menjalankan skrip instal / pemutakhiran Anda dan dengan demikian mengatur ulang seluruh basis data, file konfigurasi, dll. Paket perangkat lunak yang ditulis dengan baik akan memperingatkan Anda menghapus item-item ini sebelum mengizinkan Anda menggunakan perangkat lunak. Namun, pastikan ini sudah dilakukan. Hapus saja file dari server Anda.
Bersaing dengan Pembaruan Keamanan
Mereka yang menjalankan paket perangkat lunak di situs web mereka harus tetap terhubung dengan pembaruan dan peringatan keamanan yang berkaitan dengan perangkat lunak itu. Tidak melakukannya dapat membuat Anda terbuka lebar untuk peretas. Bahkan, berkali-kali lubang keamanan mencolok ditemukan dan dilaporkan dan ada jeda sebelum pencipta perangkat lunak dapat merilis patch untuk itu. Siapa pun yang cenderung dapat menemukan situs Anda menjalankan perangkat lunak dan mengeksploitasi kerentanan jika Anda tidak memutakhirkan. Saya sendiri telah dibakar oleh ini beberapa kali, setelah seluruh forum hancur dan harus memulihkan dari cadangan. Itu terjadi.
Kurangi Tingkat Pelaporan Kesalahan Anda
Terutama berbicara untuk PHP di sini karena itulah yang saya kerjakan, kesalahan dan peringatan yang dihasilkan oleh PHP, secara default, dicetak dengan informasi lengkap ke browser Anda. Masalahnya adalah bahwa kesalahan ini biasanya berisi jalur direktori lengkap ke skrip yang bersangkutan. Ini memberikan terlalu banyak informasi. Untuk mengatasi ini, kurangi tingkat pelaporan kesalahan PHP. Anda dapat melakukan ini dengan dua cara. Salah satunya adalah menyesuaikan file php.ini Anda. Ini adalah konfigurasi utama untuk PHP di server Anda. Cari arahan error_reporting dan display_errors. Namun, jika Anda tidak memiliki akses ke file ini (banyak di hosting bersama tidak), Anda juga dapat mengurangi tingkat pelaporan kesalahan menggunakan fungsi error_reporting () dari PHP. Sertakan ini dalam file global skrip Anda sehingga akan berfungsi di seluruh papan.
Amankan Formulir Anda
Formulir membuka lubang lebar ke server Anda untuk peretas jika Anda tidak mengkodekannya dengan benar. Karena formulir ini biasanya dikirimkan ke beberapa skrip di server Anda, kadang-kadang dengan akses ke database Anda, formulir yang tidak memberikan perlindungan dapat menawarkan akses langsung ke semua jenis peretas. Perlu diingat ... hanya karena Anda memiliki bidang alamat dan tertulis :Alamat: di depannya tidak berarti Anda dapat mempercayai orang untuk memasukkan alamat mereka di bidang itu. Bayangkan formulir Anda tidak dikodekan dengan benar dan naskah yang dikirimkannya juga tidak. Apa yang menghentikan seorang hacker memasukkan kueri SQL atau kode skrip ke dalam bidang alamat itu? Dengan mengingat hal itu, berikut adalah beberapa hal yang harus dilakukan dan dicari:
Gunakan MaxLength. Bidang input dalam formulir dapat menggunakan atribut maxlength di HTML untuk membatasi panjang input pada formulir. Gunakan ini untuk mencegah orang memasukkan WAY terlalu banyak data. Ini akan menghentikan kebanyakan orang. Seorang peretas dapat mem-bypassnya, jadi Anda juga harus melindungi informasi yang dibanjiri pada tingkat skrip.
Sembunyikan EmailJika menggunakan skrip formulir-ke-mail, jangan sertakan alamat email ke dalam formulir itu sendiri. Itu mengalahkan intinya dan spider spam masih dapat menemukan alamat email Anda.
Gunakan Validasi Formulir. Saya tidak akan masuk ke pelajaran tentang pemrograman di sini, tetapi skrip mana pun yang diajukan formulir harus memvalidasi input yang diterima. Pastikan bidang yang diterima adalah bidang yang diharapkan. Periksa apakah data yang masuk memiliki panjang yang masuk akal dan diharapkan dan dalam format yang sesuai (dalam hal email, telepon, ritsleting, dll.).
Hindari SQL Injection. Pelajaran lengkap tentang injeksi SQL dapat dicadangkan untuk artikel lain, namun dasar-dasarnya adalah bahwa input formulir diizinkan untuk dimasukkan secara langsung ke dalam kueri SQL tanpa validasi dan, dengan demikian, memberikan kemampuan hacker untuk mengeksekusi query SQL melalui formulir web Anda. Untuk menghindari hal ini, selalu periksa tipe data dari data yang masuk (angka, string, dll.), Jalankan validasi formulir yang memadai per di atas, dan tulis kueri sedemikian rupa sehingga peretas tidak dapat memasukkan apa pun ke dalam formulir yang akan membuat kueri melakukan sesuatu selain yang Anda inginkan.
Kesimpulan
Keamanan situs web adalah subjek yang agak terlibat dan mendapatkan BANYAK yang lebih teknis dari ini. Namun, saya telah memberi Anda primer dasar tentang beberapa hal mudah yang dapat Anda lakukan di situs web Anda untuk mengurangi sebagian besar ancaman terhadap situs web Anda..