Banyak pemilik website kecil merasa belum perlu memikirkan keamanan. Alasannya sederhana: trafik belum besar, brand belum terkenal, dan data belum sebanyak perusahaan besar.
Masalahnya, serangan online tidak selalu memilih target secara manual. Banyak serangan dilakukan otomatis: scan port, cari panel admin, coba password lemah, cari plugin rentan, cek file backup terbuka, atau mengirim form spam.
AI membuat beberapa pekerjaan ini lebih cepat dilakukan. Bukan berarti semua orang tiba-tiba menjadi hacker hebat, tapi proses mencari celah, membuat phishing, menulis script, dan memodifikasi payload menjadi lebih mudah.
Checklist ini untuk website kecil: blog, company profile, landing page, admin panel sederhana, WordPress, Laravel, Next.js, atau aplikasi custom di VPS.
Update stack utama
Cek:
- runtime masih didukung
- framework tidak terlalu lama
- dependency punya patch security
- CMS dan plugin terbaru
- panel server tidak usang
- OS server menerima update
Jangan menunggu sampai ada exploit ramai. Update kecil yang rutin lebih ringan daripada recovery setelah website rusak.
Kunci akses admin
Minimal:
- password admin kuat
- email admin aman
- 2FA jika tersedia
- tidak memakai username default seperti
admin - akun lama dihapus
- role user dibatasi
- login attempt dibatasi
Kalau website punya dashboard, bagian ini prioritas tinggi. Banyak serangan tidak perlu celah rumit; cukup menebak password yang lemah.
Batasi area sensitif
Cek URL seperti:
/admin/login/wp-admin/phpmyadmin/setup/api/debug/storage/backup
Kalau tidak perlu publik, batasi akses. Bisa dengan auth, IP allowlist, basic auth, atau minimal rate limit.
Lindungi file upload
File upload sering menjadi pintu masalah.
Cek:
- tipe file dibatasi
- ukuran file dibatasi
- nama file dinormalisasi
- file tidak dieksekusi sebagai script
- hasil upload disimpan di folder aman
- gambar diproses ulang jika perlu
- metadata sensitif dibuang
Jangan hanya percaya extension file. File bernama .jpg belum tentu aman kalau server salah konfigurasi.
Backup yang benar-benar bisa dipakai
Backup bukan hanya "ada file backup". Backup harus bisa dipulihkan.
Checklist:
- backup database rutin
- backup file upload
- backup disimpan di lokasi berbeda
- backup tidak bisa diakses publik
- ada retensi beberapa versi
- pernah dicoba restore
- ada catatan langkah recovery
Backup yang belum pernah dicoba restore masih setengah percaya.
Pantau log
Minimal pantau:
- login gagal berulang
- request ke URL aneh
- error 500
- upload gagal
- perubahan role user
- perubahan file penting
- trafik tiba-tiba naik
Kamu tidak perlu sistem mahal untuk mulai. Log server, PM2, nginx, dashboard hosting, atau plugin keamanan sudah cukup untuk tahap awal.
Rate limit dan proteksi form
Form publik perlu perlindungan:
- komentar
- login
- register
- kontak
- subscribe
- reset password
- search
Tambahkan rate limit, captcha jika perlu, honeypot sederhana, atau validasi server-side. AI bisa membantu spam terlihat lebih natural, jadi form publik jangan terlalu polos.
Jangan bocorkan secret
Cek:
.envtidak bisa diakses publik- secret tidak masuk repo
- error page tidak menampilkan env
- log tidak menyimpan token
- backup tidak berisi credential terbuka
- API key punya permission minimal
- secret lama dirotasi
Kalau secret pernah bocor, jangan hanya menghapus file. Rotate secret-nya.
Checklist cepat 30 menit
Kalau waktu sedikit, lakukan ini:
- update dependency penting
- ganti password admin
- aktifkan 2FA
- cek backup terakhir
- pastikan
/admintidak terbuka tanpa proteksi - cek file upload
- cek
.envdan folder backup - lihat log login gagal
- tambahkan rate limit form utama
- catat langkah restore
Sumber dan catatan
- CISA: Cybersecurity best practices. https://www.cisa.gov/topics/cybersecurity-best-practices
- OWASP Top 10. https://owasp.org/www-project-top-ten/
- UK NCSC: Cyber security guidance. https://www.ncsc.gov.uk/section/advice-guidance/all-topics
- Google Search Central: spam policies. https://developers.google.com/search/docs/essentials/spam-policies
Keamanan website kecil tidak perlu dimulai dari sistem rumit. Mulai dari yang paling sering diserang: login, update, backup, upload, dan secret. Kalau bagian dasar ini rapi, risiko sudah turun banyak.