Banda Aceh – Sebanyak tiga artikel (bukan dua artikel seperti diberitakan sebelumnya) di website MPU Banda Aceh disusupi link yang mengarah ke iklan judi online. Ketika judul artikel diklik, bukan isi artikel yang tampak, melainkan mengarah ke link judi online.
Penelusuran Line1.News, website MPU Banda Aceh dibangun dengan Content Management System atau CMS WordPress. CMS ini sekarang sangat populer. Tak hanya dipakai oleh personal, perusahaan komersil, instansi pemerintah juga memakai WordPress.
Situs MPU beralamat di subdomain–bukan domain seperti diberitakan sebelumnya–mpu.bandaacehkota.go.id. Sedangkan domain utama atau induknya berada di bandaacehkota.go.id yang merupakan situs resmi Pemerintah Kota Banda Aceh.
Sama halnya dengan website MPU, situs resmi Pemerintah Banda Aceh juga dibuat dengan WordPress.
Baca Juga: Kacau! Dua Tautan Artikel di Situs MPU Banda Aceh Disusupi Judi Online
Menurut Surabaya Hacker Link (SHL), kejadian yang menimpa situs MPU Banda Aceh semacam aksi “blackhat SEO”.
SEO merupakan teknik optimasi mesin pencari yang bertujuan meningkatkan trafik website. Ada banyak cara legal untuk melakukannya. Tapi, “blackhat SEO” dilakukan secara ilegal yang salah satunya dimanfaatkan tim situs judi online tertentu untuk mempromosikan website judi mereka.
Domain go.id, kata SHL, menarik minat para “blackhat SEO” karena memiliki nilai tinggi dalam pencarian. Tautan website berdomain go.id juga kerap dicantumkan di situs lain, seperti portal berita.
“Tapi, menurut kami alasan utamanya adalah karena proteksi yang lemah. Karena banyaknya domain dan subdomain yang dikelola, hal ini menimbulkan kurangnya proteksi atau pengawasan, ditambah hal-hal yang bersifat birokrasi sering kali memperburuk keadaan,” tulis SHL di situsnya, dikutip Jumat, 14 Juni 2024.
Akibat kurangnya pengawasan dan lemahnya keamanan, banyak celah yang membuat situs rentan terhadap serangan siber. Penjahat SEO kemudian memanfaatkan celah tersebut untuk menyusupi situs-situs tersebut dan melakukan kegiatan ilegal seperti menaikkan kunjungan ke situs judi.
“Namun, tidak menutup kemungkinan mereka akan melakukan kegiatan merugikan lainnya seperti malware host, botnet, spam, drop database, dan lebih banyak lagi hal lain yang dapat merugikan pemilik server atau hosting.”
Menurut SHL, 90 persen peretasan menimpa situs berbasis WordPress. Tak sedikit pula pengguna CMS tersebut yang disusupi landing page judi online.
“Seperti yang kita tahu juga pada umumnya directory /wp-content digunakan untuk tempat menyimpan file atau folder plugin, tema dan file-file lainnya yang ada di WordPress. Namun di sini dimanfaatkan juga oleh pelaku blackhat SEO untuk meng-upload landing page iklan judi,” tulis SHL.
Namun, serangan juga bisa terjadi pada website non-Wordpress. SHL menyarankan subdomain yang tidak terpakai sebaiknya dihapus. Selain itu, pengawasan terhadap subdomain juga ditingkatkan lagi. “Subdomain yang tidak terpakai dapat menimbulkan suatu serangan, dan ingat, semakin banyak pintu yang kamu buka semakin banyak juga potensi celah untuk dieksploitasi oleh penjahat.”
Tips lain yang bisa dilakukan adalah selalu memperbarui server ataupun aplikasi yang terpasang pada server secara berkala.
Jangan pernah memberikan informasi sensitif seputar server ke orang lain yang tidak berhak ataupun tertulis secara publik. Gunakan juga antivirus yang memiliki peringkat positif, firewall yang terkonfigurasi dengan baik sehingga dapat menimalisir serangan. “Bangun Security Information and Event Management (SIEM) dan lalukan konfigurasi dengan baik dan benar agar server dapat dimonitor.”[]
Komentar
Tanggapilah dengan bijak dan bertanggung jawab. Setiap tanggapan komentar di luar tanggung jawab redaksi. Privacy Policy