skip to content
Personal Blog

Cara Hacker Menyerang Website dan Cara Mencegahnya

/ 3 min read

Updated:
View more blogs with the tag cara hacker , View more blogs with the tag keamanan website
Daftar Isi

cara-hacker-menyerang-website

sekarang ini banyak yang ngerasa website aman asal tampilannya rapi dan fiturnya jalan. padahal dari sisi keamanan, celah bisa ada di mana-mana kalau kita lengah. buat saya, diserang itu bukan soal “mungkin” atau “nggak”, tapi lebih ke “kapan”.

ada beberapa pola serangan yang paling sering kejadian:

  1. SQL injection lewat input yang tidak divalidasi.
  2. XSS lewat output yang tidak disanitasi.
  3. brute force dan credential stuffing di halaman login.
  4. phishing untuk nyolong akun admin atau user.
  5. DDoS buat bikin layanan down.
  6. malware/backdoor lewat plugin, tema, atau upload file.
  7. CSRF dan penyalahgunaan sesi pengguna.

Disclaimer: tulisan ini buat edukasi dan pencegahan, bukan buat ngajarin nyerang website orang.

sql-injection-celah-klasik-yang-masih-sering-dipakai

serangan ini biasanya terjadi waktu input user langsung disambung ke query database tanpa filter yang benar. contoh paling umum ada di form login atau fitur search.

dari luar website kelihatan normal, tapi di belakang layar attacker bisa baca data, ubah data, bahkan hapus data.

cara mencegah:

  • jangan gabungin input user langsung ke query SQL, wajib pakai prepared statement.
  • validasi input dari awal, misalnya umur harus angka dan email harus format email.
  • akun database untuk aplikasi jangan dikasih hak akses full admin.
  • nyalain log dan alert kalau ada query aneh atau percobaan berulang.

xss-saat-browser-pengunjung-jadi-pintu-serangan

XSS terjadi waktu aplikasi nampilin input user tanpa di-escape dulu. akibatnya script jahat bisa jalan di browser korban, nyolong cookie, atau ngelakuin aksi atas nama user.

yang bikin ngeri, celah ini sering muncul di fitur sederhana kayak komentar, bio, profil, atau rich text editor.

cara mencegah:

  • anggap semua input user itu teks biasa dulu, jangan langsung dianggap HTML.
  • pasang CSP biar script sembarangan tidak bisa jalan.
  • kalau harus terima HTML, bersihin tag berbahaya dulu sebelum disimpan.
  • lindungi cookie pakai HttpOnly, Secure, dan SameSite.

brute-force-dan-credential-stuffing-serangan-volume

di serangan ini hacker tidak butuh teknik ribet. mereka tinggal nebak password berkali-kali atau pakai data akun bocor dari layanan lain, apalagi kalau user pakai password yang sama di banyak tempat.

makanya halaman login sering jadi target pertama.

cara mencegah:

  • batasi percobaan login per IP atau per akun.
  • kalau gagal berkali-kali, lock sementara.
  • wajibkan password kuat dan unik.
  • aktifkan MFA, terutama untuk admin.

phishing-yang-diserang-bukan-servernya-tapi-manusianya

banyak kasus akun jebol justru mulai dari email palsu, halaman login tiruan, atau pesan yang bikin panik. sistem secanggih apa pun bakal percuma kalau kredensial admin sudah keambil.

cara mencegah:

  • edukasi tim buat cek pengirim email dan link sebelum klik.
  • aktifkan SPF, DKIM, dan DMARC untuk nahan email palsu.
  • tetap pakai MFA biar password doang tidak cukup.
  • pakai password manager supaya tidak asal ketik kredensial di situs palsu.

ddos-layanan-tumbang-karena-dibanjiri-trafik

DDoS bikin website lemot atau down karena server dibanjiri trafik. ini bukan cuma ganggu user, tapi bisa ngaruh ke reputasi dan transaksi juga.

cara mencegah:

  • gunakan CDN/WAF yang punya proteksi DDoS.
  • pisahin layanan penting dan layanan pendukung.
  • siapin autoscaling buat antisipasi lonjakan trafik.
  • punya runbook insiden biar tim tidak panik saat serangan beneran terjadi.

malware-dan-backdoor-masuk-lewat-rantai-pasok

nggak semua serangan datang dari endpoint publik. kadang attacker masuk lewat plugin jadul, dependency rentan, upload file tanpa filter, atau akses server yang bocor.

kalau backdoor sudah masuk, attacker bisa ngumpet lama tanpa ketahuan.

cara mencegah:

  • rutin update CMS, plugin, tema, dan dependency.
  • batasi tipe file upload dan scan dulu sebelum disimpan.
  • lakuin vulnerability scanning secara berkala.
  • pisahin environment dev, staging, dan production.

csrf-dan-sesi-aksi-tanpa-sadar-atas-nama-user

CSRF memanfaatkan sesi login user yang masih aktif buat ngirim request tanpa disadari user. kalau endpoint sensitif tidak dilindungi, aksi berbahaya bisa kejadian tanpa korban sadar.

cara mencegah:

  • pasang CSRF token di semua form penting.
  • cek Origin/Referer buat request sensitif.
  • pakai SameSite di cookie sesi.
  • untuk aksi penting, minta login ulang atau OTP.

kesimpulannya

hacker bisa nyerang dari banyak arah, dari celah teknis kayak SQL injection/XSS sampai jalur manusia kayak phishing. jadi pendekatan keamanannya juga harus menyeluruh, tidak cukup pasang satu tools lalu merasa aman.

fokus ke perkuat login, update sistem, pantau anomali, dan latih tim internal. kalau alurnya gini, website kamu bukan cuma kelihatan bagus, tapi juga lebih siap ngadepin serangan beneran.