halo semua, mau sedikit nanya buat para suhu dan ngerti sama perihal security. saya punya temen yan ngelola website besar dan trafficnya tinggi dan mereka suka cerita kalau websitenya sering kena serangan dari para bot2. sebagaian besar memang sukses diatasi, tapi beberapa kali juga pernah gagal. berhubung saya punya website yang lebih kecil dan gak begitu ramai, apa saya harus waspada akan hal ini juga?
sampai sekarang saya gak begitu peduli sama jenis traffic yang dateng ke website. mungkin karena memang website saya memang dibangun kecil2an sebagai proyek sampingan, dan traffic yang seandainya dateng dari bot juga gak sampai bikin masalah. (sepertinya sih begitu).
yang mau saya tanya, bagaimana cara tahunya kalo ada bot yang mau nyerang website? bagaimana cara efektif buat mencegah bot2 itu berhasil menyusup masuk? mohon petunjuknya. trims
cara hack itu banyak. intinya dari hampir semua tekniknya adalah buat cari login username dan password. cara lain adalah man-in-the-middle.
teknik lain juga seperti sql injection atau xss, dll.
dan bot juga banyak niat aneh. ada yang memang buat flooding ada juga memang buat ngambil link atau bisa juga cari celah. bot gak bisa dicegah masuk ke website karena dia itungannya traffic sama seperti visitor. cara ngamanin dari bot biasanya pake captcha.
misalnya di halaman login, atau kalo orang bisa posting di website tanpa login. form2 dan tempat2 lain yang masukin data, terutama yang bakal ngubah database.
cara lain jg banyak.
numpang nanya. bot sama visitor manusia sama2 kehitung 1 ya? cara tahu siapa bot dan siapa yang manusia dari mana ya?
bot bisa dicegah masuk ke tempat2 tertentu di website dengan cara pake captcha. ngebedainnya bisa dari ip
amanin halaman login. buat aman, misalnya buat blog, jangan biarin orang komen sebelum login... atau gak pake plugin google atau facebook biar lebih aman.
bisa dibilang banyak dari traffic datengnya dari bot. jadi jangan heran kalo traffic gede itu bukan semuanya manusia. ambil aja perbandingannya 60:40 buat website biasa, dan 40:60 buat website yang rada gedean. ini dengan asumsi halaman utamanya langsung halaman login seperti facebook - twitter.
untuk website kecil traffic bot belum seberapa jadi gak perlu khawatir. buat tau aktifitas user (manusia dan bot) sering2 liat log. dari sana bisa ketauan celah2 yang gak aman.
bot sama manusia sama2 visitor. masing2 kehitung 1.
nyusup masuk itu maksudnya bot gak boleh berkunjung atau bot supaya gak cari celah buat ngerusak?
kalo bisa sih mencegah bot2 tertentu yang memang ngerusak untuk akses website. dan juga mencegah bot2 buat mencari kelemahan website. bisa gak?
setau saya bot itu kerjanya saka kayak manusia. jadi apa yang bot bisa lakuin manusia juga bisa. semua kecuali captcha atau kuis2 dan baca isi yang bentuknya gambar.
jadi klik, ketik, kopas, dll dia bisa.
kalo saya bener, mencegah bot nyari kelemahan sama aja bikin website aman dari manusia.
cari IPnya terus block :)
mungkin dengan tau ip si bot terus di block?
jangan lupa juga pake HTTPS
HTTPS bisa block bot?
bot2 jahat gak patuh sama robots.txt. tapi bisa aja di block pake IP, walaupun sering juga bisa lolos karena dia bisa aja pake IP berbeda, ngerjain banyak IP secara manual itu kerjaan.
ada solusinya: pake "bot trap". cara ini ngebuat bot2 jahat yang gak patuh sama robots.txt bakal terperangkap. istilahnya gitu.
perangkap ini kerjanya dengan cara otomatis ngeblock IP si bot. jadi di file robots.txt, ada perintah yang bilang "jangan masuk ke ...". bot yang gak patuh sama perintah robots.txt akan ngescan file itu seperti dia diijinin. karena dia melanggar perintah tadi, dan masuk ke tempat yang dia dilarang, dia otomatis masuk ke bot trap.
sekalinya dia masuk, IPnya akan di simpan, dan kalau dia mau masuk lagi, gak bakal diijinin.
baru denger nih. thx bos :)
terus kalau botnya banyak, itu list bakal numpuk dong ya? satu bot belum tentu ip-nya satu kan?
nice info pak ramli +1
bot itu baru setengah dari sumber masalah. gak semua hacker pake bot untuk nyari celah buat ngehack. dan ngamanin website dari bot itu bukan solusi sih. yang harus lebih diperhatiin itu lobang2 hacker bisa masuk. misalnya bikin user administratornya susah ditembus, atau selalu update software2 yang dipake di website. pake https seperti pak agung bilang dan masih banyak lagi.
setuju. bot memang masalah dan bisa ngebongkar keamanan website. tapi lebih baik ngeliat pengamanan website secara global, bukan fokus ke bot.
bot punya nama. bisa liat di log. ada ip-nya juga. perangkap bot kayaknya menarik juga :) tapi ngurangin visitor dong. hehee... wqlaupun yang dateng bot, ngeliat traffic tinggi kan enak :)
bot cuma visitor semu. kalo bot bagus sih gpp. tapi bot jelek, atau bot yang kerjaannya buat scrapping ngapain juga diijinin masuk ngeberat2in server doang.
http://www.eyerys.com/articles/relentless-social-bots-command-social-internet-conquering-flow">http://www.eyerys.com/articles/relentless-social-bots-command-social-internet-conquering-flow[/embed]