Menurut laporan IDC tahun 2024, lebih dari 72% server publik dan VPS yang beroperasi di internet memiliki setidaknya satu celah keamanan kritis yang dapat dieksploitasi hacker. Kebanyakan kasus peretasan bukan terjadi karena hacker jenius, melainkan karena kesalahan sederhana yang dilakukan administrator server. Banyak orang yang baru membeli VPS langsung memasang aplikasi tanpa melakukan hardening keamanan sama sekali, padahal dalam waktu 15 menit setelah server online, scanner bot hacker sudah akan mendeteksi dan mencoba menyerang server anda.
Mengapa Keamanan Server Tidak Boleh Diabaikan?
Server yang berhasil diretas dapat digunakan untuk menyebarkan malware, melakukan serangan DDoS, mencuri data pengguna, menambang crypto diam-diam, atau bahkan dijadikan pangkalan untuk menyerang sistem lain. Kerugian yang ditimbulkan bukan hanya materi, tapi juga reputasi anda jika anda menjalankan layanan publik di server tersebut. Keamanan server bukanlah fitur tambahan, ini adalah syarat dasar sebelum anda menjalankan apapun di server.
12 Tips Terbukti Mengamankan Server & VPS Anda
1. Ganti Port SSH Default Segera
Port 22 adalah target pertama seluruh scanner bot hacker di dunia. Setiap menit ada ribuan upaya brute force yang diarahkan ke port ini di seluruh alamat IP internet. Ganti port SSH ke nomor acak di atas 1024, contoh 21987. Jangan gunakan port umum pengganti seperti 2222 atau 22222 yang juga sudah menjadi target scanner.
Catatan sangat penting: Selalu test koneksi SSH di tab terminal baru sebelum menutup sesi lama anda. Ribuan admin terkurung keluar dari server setiap hari karena kesalahan langkah ini.
2. Nonaktifkan Login SSH Sebagai Root
User root memiliki akses penuh tanpa batas ke seluruh sistem. Jika anda mengizinkan login langsung sebagai root, hacker hanya perlu menebak password saja untuk menguasai seluruh server. Buat user biasa terlebih dahulu, berikan hak sudo, lalu ubah nilai PermitRootLogin menjadi no di konfigurasi SSH.
3. Gunakan Autentikasi SSH Key, Bukan Password
Password dengan panjang apapun masih bisa dipecahkan dengan brute force modern. Sebaliknya kunci SSH 4096 bit secara matematis tidak dapat dipecahkan dengan teknologi yang ada saat ini. Matikan seluruh sistem login password di server, hanya izinkan autentikasi menggunakan kunci publik. Simpan kunci private anda di tempat aman dan jangan pernah mengirimkannya lewat internet.
4. Aktifkan Dan Konfigurasi Firewall Dengan Benar
Firewall adalah gerbang pertama pertahanan server. Hanya buka port yang benar-benar anda butuhkan. Untuk sistem Linux anda bisa menggunakan UFW untuk Debian/Ubuntu atau Firewalld untuk RHEL/CentOS. Jika anda hanya menjalankan website dan SSH, maka cukup buka port custom SSH, 80 dan 443 saja. Tutup seluruh port lain tanpa terkecuali.
5. Pasang Fail2Ban Untuk Melawan Brute Force
Fail2Ban adalah tool ringan yang akan memblokir alamat IP secara otomatis setelah melakukan beberapa kali upaya login gagal. Tool ini dapat menghentikan 99% upaya brute force bot hacker. Konfigurasi agar IP diblokir selama 7 hari setelah 3 kali upaya login gagal. Anda juga bisa mengaktifkan proteksi untuk layanan lain seperti database, panel admin dan FTP.
6. Selalu Update Sistem Dan Paket Secara Rutin
Lebih dari 80% serangan berhasil dilakukan menggunakan celah keamanan yang sudah dirilis patchnya selama berbulan-bulan. Aktifkan update keamanan otomatis, tapi tetap lakukan pengecekan manual seminggu sekali. Jangan pernah menjalankan versi sistem operasi yang sudah tidak mendapatkan dukungan keamanan resmi lagi.
7. Terapkan Prinsip Hak Akses Minimal
Setiap user dan layanan hanya mendapatkan izin yang dibutuhkan saja untuk bekerja. Jangan pernah memberikan hak sudo ke seluruh user. Pisahkan user untuk setiap layanan: user khusus untuk web server, user khusus untuk database, user khusus untuk backup. Jangan pernah menjalankan layanan apapun sebagai user root.
8. Nonaktifkan Layanan Yang Tidak Digunakan
Setiap layanan yang berjalan di server adalah potensi celah keamanan. Cek semua service yang berjalan, matikan dan hapus paket yang tidak anda butuhkan. Semakin sedikit layanan yang berjalan, semakin sedikit permukaan serangan yang dimiliki server anda.
9. Pasang Sistem Deteksi Intrusi
Intrusion Detection System akan memantau seluruh aktivitas server dan memberikan peringatan jika ada perilaku mencurigakan. Untuk pemula anda bisa menggunakan CrowdSec yang modern dan ringan, atau untuk tingkat lanjut gunakan Suricata sebagai IPS penuh yang dapat memblokir serangan secara otomatis.
10. Lakukan Backup Secara Rutin Dan Offsite
Seaman apapun server anda, selalu ada kemungkinan serangan berhasil. Backup adalah pertahanan terakhir anda. Lakukan backup setiap hari, simpan backup di server terpisah atau penyimpanan cloud yang berbeda, dan yang paling penting: secara rutin coba mengembalikan backup tersebut untuk memastikan backup berfungsi dengan baik.
11. Aktifkan Logging Dan Monitoring
Catat seluruh aktivitas login, perubahan file sistem, dan akses layanan. Pasang monitoring sederhana seperti Netdata untuk melihat anomali trafik. Periksa log server setidaknya seminggu sekali. Kebanyakan serangan tidak terjadi dalam satu hari, ada tanda-tanda yang bisa anda deteksi jauh sebelumnya.
12. Gunakan Password Kuat Dan Aktifkan 2FA
Gunakan password minimal 16 karakter dengan kombinasi huruf, angka dan simbol. Aktifkan Two Factor Authentication untuk seluruh akun di server, panel kontrol, dan akun penyedia VPS anda. Bahkan jika hacker berhasil mendapatkan password anda, mereka tidak akan bisa masuk tanpa kode 2FA.
Kesalahan Umum Yang Sering Dilakukan Admin Baru
Banyak admin baru melakukan kesalahan fatal seperti: mematikan firewall karena malas konfigurasi, menggunakan password yang sama untuk seluruh akun, tidak pernah melakukan update, dan menjalankan perintah acak dari internet tanpa memahami fungsinya. Jangan pernah menjalankan perintah di terminal yang anda tidak mengerti sepenuhnya.
Kesimpulan
Keamanan server bukanlah hal yang anda lakukan satu kali saja, ini adalah proses berkelanjutan. Tidak ada server yang 100% aman, tapi dengan menerapkan semua tips diatas anda akan membuat server anda menjadi target yang sangat sulit, sehingga hampir semua hacker akan melewati server anda dan mencari target lain yang lebih lemah.
Mulailah terapkan langkah demi langkah mulai dari yang paling mudah terlebih dahulu. Bahkan hanya mengganti port SSH dan memasang Fail2Ban saja sudah akan mengurangi resiko peretasan lebih dari 90%.
