Halo, saya Zikri.

Kalau kamu sampai di sini, berarti kamu sudah ambil langkah yang tepat — dan saya apresiasi itu.

Saya mau mulai dengan satu pertanyaan: kenapa kamu beli ini?

Mungkin website kamu pernah kena hack. Mungkin kamu developer yang sadar bahwa security adalah blind spot terbesar di skill set kamu. Mungkin kamu freelancer yang ingin bisa jual layanan security ke klien. Atau mungkin kamu cuma tidak mau jadi korban berikutnya dari serangan yang makin hari makin masif.

Apapun alasannya — kamu ada di tempat yang tepat.

Sedikit Tentang Saya

Perjalanan saya di dunia ini dimulai dari iseng. Waktu kuliah, saya tertarik dengan bagaimana sebuah sistem bisa dibobol — bukan untuk tujuan jahat, saya memang penasaran secara teknis.

Dari situ saya mulai belajar server management, karena untuk bisa memahami serangan dengan benar, kamu harus paham cara kerja sistem dari dalam. Beruntung, dosen saya waktu itu memberi akses ke lab server — sesuatu yang langka di masa itu.

Lulus kuliah, saya langsung kerja sebagai sysadmin di software house. Dari sana saya makin dalam ke DevOps, dan akhirnya ke DevSecOps — gabungan antara development, operations, dan security. Sekarang saya kerja remote sebagai DevSecOps engineer di startup platform kreator berbasis Jakarta. Lebih dari 6 tahun berkutat dengan server, keamanan, dan insiden nyata — dan framework ini adalah distilasi dari semua yang saya pelajari selama itu.

Kenapa Framework, Bukan Sekadar Ebook?

Framework ini punya output konkret di setiap langkah:

• Checklist yang bisa langsung dijalankan
• Template yang bisa langsung diisi
• SOP yang bisa langsung diikuti
• Score card yang bisa dipresentasikan ke klien

Ini bukan materi untuk dibaca sekali lalu disimpan. Ini sistem yang dipakai berulang.

Satu Hal yang Perlu Kamu Tahu Sebelum Mulai

Framework ini dibangun dari dua sudut pandang: hacker dan defender.

Kenapa perlu dua sudut pandang? Karena defender yang tidak pernah berpikir seperti hacker akan selalu selangkah di belakang. Kamu perlu tahu bagaimana penyerang berpikir, apa yang mereka cari, dan bagaimana mereka masuk — supaya kamu bisa menutup pintu-pintu itu sebelum mereka sampai.

Framework ini punya 7 modul dengan total 38 lesson. Kamu bisa baca semuanya dari atas ke bawah secara berurutan — itu valid. Tapi ada cara yang lebih efisien tergantung tujuan kamu.

Tentukan Jalur Kamu

Cara Terbaik Belajar dari Framework Ini

Sebelum mulai praktik, ada beberapa tools yang perlu kamu siapkan. Tidak semuanya wajib dari awal — saya tandai mana yang perlu sekarang dan mana yang bisa belakangan.

🔴 Wajib Sekarang

1. Akses SSH ke Server

Kalau kamu punya server/VPS, pastikan kamu bisa akses via SSH dari laptop kamu. Ini adalah syarat untuk hampir semua praktik di modul server.

bash
# Test koneksi SSH
ssh username@ip-server-kamu

# Kalau belum punya SSH key, generate sekarang
ssh-keygen -t ed25519 -C "email@kamu.com"

Belum punya VPS? Dua provider yang sudah saya pakai sendiri:

• Vultr — mulai $3.50/bulan, infrastruktur solid, datacenter tersebar global
• IDCloudHost — provider lokal Indonesia, bayar pakai rupiah, support bahasa Indonesia

2. SSH Client — Termius

Saya merekomendasikan Termius sebagai SSH client untuk semua platform — Windows, macOS, Linux, bahkan iOS dan Android.

• UI yang bersih dan mudah dipakai
• Bisa simpan semua koneksi server di satu tempat
• Support SSH key management yang rapi
• Bisa akses server dari HP saat darurat

Versi gratis sudah lebih dari cukup untuk semua praktik di framework ini.

🟡 Siapkan Sebelum Modul 2

Di framework ini, kita tidak perlu install Kali Linux atau VM khusus. Semua analisis serangan dilakukan dari perspektif konseptual dan menggunakan tools yang tersedia langsung di browser atau terminal — lebih praktis dan cukup untuk memahami konsepnya.

🟢 Nice to Have

Telegram Bot — Di Modul 5 kita akan setup alerting ke Telegram. Siapkan dari sekarang:

1. Buka Telegram, cari @BotFather
2. Kirim /newbot, ikuti instruksi
3. Simpan Bot Token yang diberikan — kamu butuh ini nanti
4. Cari @userinfobot, kirim pesan apapun, catat Chat ID kamu

Banyak pembeli framework ini yang tidak punya VPS atau server sendiri. Mereka deploy di Vercel, Netlify, Railway, Render, atau shared hosting. Dan pertanyaan pertama mereka biasanya sama:

"Framework ini masih relevan buat saya?"

Jawaban singkatnya: ya, dan justru bagian yang paling penting tetap relevan.

Pahami Dulu: Apa yang Vercel Jaga

Modul yang 100% Relevan untuk Kamu

Website Itu Seperti Toko di Pinggir Jalan Raya

Bayangkan kamu punya toko fisik. Toko itu ada di gang kecil, hanya orang-orang tertentu yang tahu lokasinya, dan buka hanya jam 9 pagi sampai 5 sore.

Sekarang bandingkan dengan toko yang ada di pinggir jalan raya besar, buka 24 jam, dan siapapun di seluruh dunia bisa masuk kapan saja.

Website kamu adalah toko kedua itu. Dan konsekuensinya: selain pelanggan yang baik-baik, ada juga yang masuk dengan niat lain.

Siapa yang Menyerang dan Kenapa?

Apa yang Sebenarnya Mereka Cari?

Yang lebih sering mereka cari:

• Server kamu sebagai alat — Server yang dikompromis bisa dipakai untuk kirim spam, serang website lain, atau mining cryptocurrency. Yang bayar tagihan listrik dan bandwidth: kamu.
• Traffic kamu — Redirect user kamu ke website judol atau phishing. Setiap klik dari pengunjung website kamu = pemasukan buat mereka.
• Reputasi domain kamu — Domain berumur dengan reputasi baik di Google sangat berharga untuk pasang backlink judol. Setelah mereka pakai, domain kamu masuk blacklist.
• Data user kamu — Kalau website kamu punya form login, email pelanggan, atau data apapun — itu punya nilai di dark web.

OWASP adalah organisasi yang mengumpulkan data dari ribuan insiden keamanan di seluruh dunia, lalu merangkumnya jadi daftar 10 jenis celah yang paling sering ditemukan dan dieksploitasi. Anggap ini sebagai kartu rapor keamanan web global.

Kalau website kamu aman dari 10 jenis ini, kamu sudah jauh lebih aman dari mayoritas website di internet.

Ada perbedaan besar antara dokter yang pernah belajar tentang penyakit, dan dokter yang benar-benar mengerti bagaimana virus bekerja dari dalam. Yang kedua jauh lebih baik dalam mencegah dan mengobati.

Hal yang sama berlaku untuk keamanan web. Defender yang tidak pernah melihat dunia dari sudut pandang penyerang akan selalu reaktif — selalu selangkah di belakang.

Lima Prinsip Dasar Mindset Hacker

1. "No System is Safe" — Hacker memulai dengan asumsi: tidak ada yang sempurna. Yang berbeda hanya seberapa sulit celah itu ditemukan. Sebagai defender, asumsi yang sama harus kamu pegang: bukan apakah ada celah, tapi di mana letak celahnya.
2. Cari jalan yang paling mudah, bukan yang paling keren — Hacker seperti pencuri yang lebih sering masuk lewat jendela tidak terkunci daripada membobol pintu besi. Kalau kamu punya login berlapis tapi form pencarian bisa di-SQLi, semua verifikasi itu tidak ada gunanya.
3. Informasi adalah segalanya sebelum menyerang — Fase recon — mengumpulkan informasi — adalah yang paling memakan waktu tapi paling penting. Implikasinya: kurangi informasi yang bisa dikumpulkan tentang sistemmu.
4. Manusia adalah celah terbesar — Sistem paling canggih pun bisa jatuh karena satu orang yang klik link phishing. Social engineering — manipulasi psikologis — lebih sering dipakai dari exploit teknis.
5. Persistence beats talent — Hacker yang berhasil bukan selalu yang paling pintar. Mereka adalah yang paling sabar, yang terus mencoba dengan pendekatan berbeda secara sistematis.

Dual POV — Satu Skenario, Dua Sudut Pandang

Skenario: Website toko online dengan form login.

Jenis-Jenis Hacker

Skill yang akan kamu pelajari di framework ini adalah skill yang sama yang dipakai oleh hacker jahat. Satu-satunya yang membedakan antara ethical hacker dan kriminal siber adalah izin dan niat.

Bukan skillnya. Toolsnya sama. Tekniknya sama.

UU ITE di Indonesia

Indonesia memiliki UU ITE yang mengatur aktivitas digital termasuk keamanan siber. Secara umum, UU ITE melarang akses, intersepsi, dan gangguan terhadap sistem elektronik tanpa hak atau izin. Pelanggarannya bisa berujung pada pidana penjara dan denda yang tidak kecil.

Kata kunci: "tanpa hak". Pastikan kamu melakukan pengujian keamanan pada sistem yang kamu miliki atau yang kamu punya izin tertulis untuk test.

Bug Bounty — Cara Legal Uji Skill di Sistem Nyata

Banyak perusahaan punya program di mana mereka secara eksplisit mengizinkan peneliti keamanan untuk mencari celah di sistem mereka, dengan imbalan reward finansial.

• HackerOne — platform global terbesar
• Bugcrowd — populer untuk program enterprise
• BSSN — program disclosure untuk sistem pemerintah Indonesia

Sebelum satu baris perintah pun diketik, hacker profesional menghabiskan waktu yang jauh lebih lama hanya untuk mengumpulkan informasi. Fase ini disebut reconnaissance — atau disingkat recon.

Analoginya seperti perencana perampokan bank: mereka tidak langsung masuk. Mereka duduk di kafe seberang selama beberapa hari, mengamati jam buka, berapa banyak satpam, pergantian shift, di mana pintu keluar darurat.

Dua Jenis Recon

Teknik Recon dan Implikasinya untuk Defender

Kalau recon adalah "menonton dari jauh", scanning dan enumeration adalah "berjalan keliling gedung dan catat semua pintu, jendela, dan ventilasi yang ada".

Apa yang Di-Scan

Port dan Service

Setiap server punya "pintu-pintu" yang disebut port. Setiap service mendengarkan di port tertentu. Dari perspektif penyerang: setiap port terbuka adalah potensi titik masuk.

Web Application Fingerprinting

Dari response header, penyerang bisa tahu banyak:

• Header Server — Server: nginx/1.18.0 → langsung cari CVE-nya di exploit-db
• X-Powered-By — X-Powered-By: PHP/7.4.3 → versi spesifik = bisa dicari celahnya
• Cookie names — PHPSESSID = PHP, laravel_session = Laravel
• Error messages — Stack trace yang tampil ke publik adalah goldmine informasi

Directory & File Discovery

Proses mencoba URL satu per satu menggunakan wordlist ribuan path umum. Yang sering ditemukan:

• Panel admin yang tidak diproteksi dengan benar
• File backup yang tertinggal: .sql, .zip, .tar.gz
• File konfigurasi yang terekspos: .env, config.php, wp-config.php.bak
• Halaman test atau development yang tidak sempat dihapus

SQL Injection — Menyusup Lewat Bahasa Database

SQLi bekerja persis seperti itu. Penyerang memasukkan karakter khusus yang "menutup" bagian username dari query, lalu menambahkan kondisi: "ATAU kondisi yang selalu benar." Hasilnya: login berhasil tanpa password yang benar.

Apa yang Bisa Dilakukan Penyerang via SQLi

• Bypass autentikasi — login tanpa password
• Dump seluruh database — semua data: username, password hash, data pelanggan
• Modifikasi data — ubah harga produk, saldo akun, konten halaman
• Hapus data — drop table atau hapus semua records
• Di kasus terburuk — eksekusi perintah di sistem operasi server

Pencegahan

php — BERBAHAYA
// ❌ JANGAN — rentan SQLi
$query = "SELECT * FROM users WHERE email = '" . $_POST['email'] . "'";

php — AMAN
// ✅ SELALU — prepared statement dengan PDO
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");
$stmt->execute([$_POST['email']]);
$user = $stmt->fetch();

XSS (Cross-Site Scripting) — Menyisipkan Script di Halaman Orang Lain

XSS adalah ketika penyerang berhasil menyisipkan script JavaScript ke halaman website yang legitimate dan script itu dieksekusi di browser user lain.

Yang Bisa Dilakukan Penyerang via XSS

• Mencuri session cookie — login sebagai user lain tanpa password
• Keylogging — merekam semua yang diketik user di halaman itu
• Phishing — menampilkan form login palsu di dalam halaman legitimate

Pencegahan

php
// ❌ BERBAHAYA — langsung echo data dari user
echo $_GET['name'];

// ✅ AMAN — selalu escape untuk HTML
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');

Laravel / Blade
{{-- ✅ Auto-escape --}}
{{ $variable }}

{{-- ❌ Tidak di-escape — hati-hati pakai ini --}}
{!! $variable !!}

File Upload Abuse — Pintu Masuk Lewat Fitur Biasa

Hampir semua website punya fitur upload. Fitur ini terlihat sepele tapi kalau tidak dijaga dengan benar, ini adalah salah satu celah paling berbahaya. Kalau penyerang berhasil mengupload file PHP dan file itu bisa dieksekusi — mereka punya webshell: akses penuh ke server dari browser.

nginx — Blokir PHP di folder uploads
location /uploads/ {
    location ~* \.php$ {
        deny all;
        return 403;
    }
}

Bruteforce — Coba Ribuan Kombinasi Sampai Berhasil

Bruteforce adalah pendekatan paling sederhana: coba semua kemungkinan username/password sampai ada yang cocok. Dengan komputer modern dan koneksi cepat, ribuan kombinasi bisa dicoba per menit.

• Dictionary attack: Pakai daftar password paling umum — "password123", "admin", nama+tahun lahir. Tingkat keberhasilannya mengejutkan karena banyak orang masih pakai password lemah.
• Credential stuffing: Pakai database username/password yang bocor dari breach lain. Kalau seseorang pakai password sama di mana-mana, ini sangat efektif.

Cara mencegah: Rate limiting di halaman login (setup di M04), Fail2ban, password yang kuat dan unik, 2FA aktif.

Open Redirect — Menyalahgunakan Kepercayaan Domain

URL terlihat berasal dari domain yang dipercaya user — tapi setelah diklik, langsung diarahkan ke situs phishing.

Contoh: domainmu.com/login?redirect=https://situs-phishing.com

Pencegahan: Jangan pernah redirect ke URL eksternal berdasarkan input user. Kalau perlu, validasi bahwa URL tujuan adalah domain kamu sendiri — atau gunakan whitelist URL yang diizinkan.

DDoS — Distributed Denial of Service

Penyerang tidak punya ribuan komputer sendiri — mereka mengendalikan botnet: jaringan komputer yang terinfeksi malware tanpa sepengetahuan pemiliknya. Dan server yang tidak aman bisa menjadi bagian dari botnet tanpa kamu sadari.

Mitigasi: Tidak ada cara mencegah DDoS sepenuhnya di level server sendiri. Mitigasi harus dilakukan di depan server — dan Cloudflare adalah jawabannya. Setup lengkap di M04.

Social Engineering — Serangan ke Manusianya, Bukan Sistemnya

Ini yang paling sering diabaikan. Targetnya bukan kode, bukan server — targetnya adalah manusia. Kevin Mitnick (salah satu hacker paling terkenal dalam sejarah) berkata bahwa social engineering adalah teknik paling efektif yang pernah ia gunakan — bukan exploit teknis.

Cara mitigasi: Verifikasi out-of-band (konfirmasi via jalur berbeda dari yang diminta), skeptisisme terhadap urgensi, prinsip least privilege, dan jangan berbagi info sensitif secara tidak perlu. Support yang legitimate tidak akan pernah minta password kamu.

Ada dua tipe penyerang yang berhasil masuk: yang langsung bikin kerusakan terlihat — cepat ketahuan. Dan yang masuk dengan diam, pasang pintu cadangan, ambil perlahan, hapus jejak — ini yang jauh lebih berbahaya.

Maintaining Access — Cara Mereka Memastikan Bisa Kembali

Covering Tracks — Cara Mereka Menghapus Jejak

• Manipulasi Log — Hapus baris log yang berisi aktivitas mereka, atau modifikasi timestamp. Inilah kenapa log harus di-backup ke lokasi terpisah yang tidak bisa diakses dari server yang dikompromis.
• Manipulasi Timestamp File — Ubah timestamp file backdoor agar terlihat seperti file lama. Implikasi: jangan hanya cari file yang baru dibuat — cari juga file yang dimodifikasi di waktu tidak wajar.
• Obfuscation — Kode backdoor dibuat tidak terbaca manusia menggunakan encoding, enkripsi, atau variabel dinamis. Tanda mencurigakan: eval(), base64_decode(), str_rot13() di konteks tidak wajar.

Tanda yang Terlihat Langsung

• Deface — tampilan website berubah, halaman depan diganti konten judol atau pesan dari penyerang
• Redirect ke website lain — user diarahkan ke website judol atau phishing. Sering hanya terjadi untuk traffic dari Google, bukan akses langsung — supaya lebih susah terdeteksi pemilik
• Konten asing muncul — link, teks, atau iklan yang tidak pernah kamu pasang, biasanya tersembunyi di footer atau halaman yang jarang dikunjungi
• Email dari Google Search Console atau hosting — notifikasi bahwa website kamu terdeteksi mengandung malware atau konten berbahaya

Tanda yang Tersembunyi — Ini yang Lebih Berbahaya

• Performa server menurun tanpa sebab jelas — website tiba-tiba lambat, atau tagihan server melonjak padahal traffic tidak naik. Kemungkinan server dipakai untuk mining, mengirim spam, atau menyerang target lain.
• Ada file baru yang tidak kamu buat — file dengan nama random seperti x7f2k.php atau file yang mirip nama sistem tapi ada di folder yang tidak seharusnya
• Ada akun admin baru yang tidak kamu buat — di CMS atau panel admin, tiba-tiba ada user baru dengan level akses tinggi
• Login dari lokasi atau waktu yang tidak wajar — riwayat login dari negara yang tidak pernah kamu kunjungi, atau jam 3 pagi saat kamu tidur
• Traffic aneh di log — banyak request ke URL seperti /etc/passwd atau string panjang yang terlihat seperti kode injeksi
• Email server masuk blacklist — user laporan email dari domain kamu masuk ke spam. Kemungkinan server sudah dipakai untuk spam.

SOP DICER — Urutan yang Benar

Saya pakai akronim ini untuk mudah diingat saat kondisi panik:

Forensik digital hanya berarti satu hal: mencari tahu apa yang terjadi berdasarkan bukti yang ada. Kamu tidak butuh tools canggih — kamu hanya perlu tahu di mana bukti tersimpan dan cara membacanya.

Tiga Pertanyaan yang Ingin Dijawab

1. Bagaimana mereka masuk? — Celah apa yang dieksploitasi? Kalau tidak tahu ini, tidak bisa mencegahnya terjadi lagi.
2. Sudah seberapa jauh mereka masuk? — Apakah hanya melihat-lihat, atau sudah mengambil data? Menentukan scope pemulihan.
3. Kapan ini dimulai? — Sejak kapan mereka ada di sistem? Penting untuk tahu backup mana yang masih bersih.

Membaca Log dengan Cepat

bash — Access Log Analysis
# Top 20 IP yang paling banyak akses
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -20

# Request ke file sensitif
grep -E "(\.env|wp-config|phpmyadmin|\.git|backup\.sql)" /var/log/nginx/access.log | tail -20

# Scanning tools di User-Agent
grep -iE "sqlmap|nikto|masscan|nmap|zgrab" /var/log/nginx/access.log

# Failed SSH login dari satu IP
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn | head -10

Mencari File Mencurigakan

bash — File Integrity Check
# File PHP baru yang muncul di folder uploads/tmp
find /var/www -name "*.php" -newer /var/www/html/index.php 2>/dev/null

# File yang berubah dalam 48 jam terakhir
find /var/www -type f -mtime -2 -ls 2>/dev/null

# Tanda webshell — fungsi eksekusi obfuscated
find /var/www -name "*.php" | xargs grep -l "eval(base64_decode" 2>/dev/null
find /var/www -name "*.php" | xargs grep -l "system\|exec\|passthru\|shell_exec" 2>/dev/null

Template Dokumentasi Temuan

Dua Pendekatan Recovery

Checklist Sebelum Kembali Online

• Semua file backdoor/webshell sudah dihapus dan terverifikasi
• Database dibersihkan dari injeksi dan user asing
• Celah yang dipakai masuk sudah ditutup
• Semua password sudah diganti (server, DB, CMS, panel)
• SSH key lama sudah dihapus, key baru sudah dipasang
• API key sudah di-revoke dan diganti
• 2FA sudah diaktifkan di semua akun penting
• Semua software sudah di-update ke versi terbaru
• Security headers sudah dikonfigurasi (M04)
• Log monitoring aktif
• Backup otomatis sudah berjalan
• Scan malware eksternal: sitecheck.sucuri.net
• Cek Google Safe Browsing: transparencyreport.google.com

Empat Pertanyaan Utama

1. Apa yang sebenarnya terjadi? — Tulis timeline lengkap. Gap antara "penyerang masuk" dan "kamu menyadari ada masalah" adalah angka paling penting — makin kecil gap, makin baik sistem deteksi kamu.
2. Bagaimana mereka masuk? — Dari sini langsung keluar action item konkret: celah apa yang dieksploitasi, apakah bisa dicegah dengan kontrol yang ada?
3. Kenapa tidak terdeteksi lebih cepat? — Kalau insiden terdeteksi dari laporan user, bukan dari monitoring kamu, itu adalah temuan penting. Ada gap di monitoring yang perlu ditutup.
4. Apa yang bisa dilakukan berbeda? — Untuk pencegahan, deteksi, dan response. Ini yang menghasilkan perubahan nyata.

Action Items Post-Incident

Whitelist vs Blacklist

Validasi Berdasarkan Tipe Data

php — String Validation
$username = trim($_POST['username']);
// Panjang 3-50 karakter
if (strlen($username) < 3 || strlen($username) > 50) {
    throw new Exception("Username harus 3-50 karakter");
}
// Hanya huruf, angka, underscore, dash
if (!preg_match('/^[a-zA-Z0-9_-]+$/', $username)) {
    throw new Exception("Username mengandung karakter tidak valid");
}

php — File Upload Validation
function validateFileUpload($file, $allowedTypes, $maxSizeMB = 5) {
    // 1. Cek MIME type yang sebenarnya (bukan dari header — bisa dipalsukan)
    $finfo = new finfo(FILEINFO_MIME_TYPE);
    $mimeType = $finfo->file($file['tmp_name']);
    if (!in_array($mimeType, $allowedTypes)) {
        throw new Exception("Tipe file tidak diizinkan: {$mimeType}");
    }
    // 2. Generate nama file baru — jangan pakai nama asli dari user
    $ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
    $newFilename = bin2hex(random_bytes(16)) . '.' . $ext;
    return $newFilename;
}

nginx — Blokir PHP di folder uploads
location /uploads/ {
    location ~* \.php$ {
        deny all;
        return 403;
    }
}

Sanitasi Output — Escape Sesuai Konteks

php — Output Escaping
// ❌ BERBAHAYA
echo $_GET['name'];

// ✅ AMAN — escape untuk HTML
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');

// ✅ AMAN — prepared statement untuk SQL
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");
$stmt->execute([$_POST['email']]);

Security headers adalah instruksi yang kamu kirim ke browser: "Ini aturan mainnya di website saya." Validasi input melindungi server dari serangan. Security headers melindungi user dari serangan yang terjadi di browser mereka.

Template Lengkap — security-headers.conf

nginx — /etc/nginx/snippets/security-headers.conf
# Sembunyikan versi Nginx
server_tokens off;

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

# CSP — sesuaikan dengan kebutuhan website kamu
add_header Content-Security-Policy "
  default-src 'self';
  script-src 'self' 'unsafe-inline' https://cdn.jsdelivr.net;
  style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
  font-src 'self' https://fonts.gstatic.com;
  img-src 'self' data: https:;
  connect-src 'self';
  frame-ancestors 'self';
" always;

bash — Test dan reload Nginx
nginx -t && systemctl reload nginx

# Verifikasi headers sudah aktif
curl -I https://domainmu.com | grep -E "X-Frame|X-Content|Strict|Content-Security"

Kalau validasi input adalah pagar di dalam rumah, WAF adalah satpam di pintu gerbang.

WAF — Pilihan dan Setup

Cloudflare WAF — Rekomendasi Utama

Cloudflare Dashboard — Custom Rules
# Block request dengan User-Agent kosong (hampir selalu bot/scanner)
Rule: (http.user_agent eq "")
Action: Block

# Block akses ke file sensitif
Rule: (http.request.uri.path contains "/.env" or
       http.request.uri.path contains "/wp-config.php" or
       http.request.uri.path contains "/.git")
Action: Block

Rate Limiting — Batasi Jumlah Request

nginx — Rate Limiting Setup
# Di nginx.conf, dalam blok http {}
limit_req_zone $binary_remote_addr zone=general:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;
limit_req_zone $binary_remote_addr zone=api:10m rate=30r/m;

# Terapkan di location block
location /login {
    limit_req zone=login burst=3 nodelay;
    limit_req_status 429;
}

location /api/ {
    limit_req zone=api burst=10 nodelay;
    limit_req_status 429;
}

Amankan Akun Registrar

• Aktifkan 2FA — gunakan authenticator app (Google Authenticator, Authy), bukan SMS yang bisa di-intercept via SIM swap
• Aktifkan Domain Lock — mencegah transfer domain tanpa otorisasi eksplisit dari kamu
• Gunakan email registrar yang aman — email dengan password unik dan 2FA aktif, bukan email bisnis umum

SSL/TLS — Konfigurasi yang Benar

bash — Setup Let's Encrypt
# Install Certbot
apt install certbot python3-certbot-nginx -y

# Generate certificate
certbot --nginx -d domainmu.com -d www.domainmu.com

# Verifikasi auto-renewal
certbot renew --dry-run

Email Security — SPF, DKIM, DMARC

Tanpa konfigurasi ini, siapapun bisa kirim email yang seolah-olah berasal dari domain kamu.

DNS Records
# SPF — server mana yang boleh kirim email atas nama domain kamu
Name: @  Type: TXT
Value: v=spf1 include:_spf.google.com ~all

# DMARC — policy untuk email yang gagal SPF/DKIM
Name: _dmarc  Type: TXT
Value: v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@domainmu.com; pct=100

Server yang baru diprovision itu seperti rumah baru tanpa kunci, tanpa pagar, pintu terbuka semua. Hardening adalah proses memasang semua pengamanan itu.

1. Update Sistem Pertama Kali

bash
apt update && apt upgrade -y
apt install -y ufw fail2ban unattended-upgrades curl git

2. Hardening SSH

sshd_config — Konfigurasi yang Direkomendasikan
# Ganti port dari default 22
Port 2222

# Nonaktifkan login root via SSH
PermitRootLogin no

# Nonaktifkan password authentication — hanya key
PasswordAuthentication no
PubkeyAuthentication yes

# Maksimum percobaan auth per koneksi
MaxAuthTries 3

# Hanya izinkan user tertentu SSH
AllowUsers namauser

3. Setup Firewall dengan UFW

bash
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp comment 'SSH custom port'
ufw allow 80/tcp comment 'HTTP'
ufw allow 443/tcp comment 'HTTPS'
ufw enable
ufw status verbose

4. Setup Fail2ban

jail.local
[DEFAULT]
bantime  = 3600   # Ban 1 jam
findtime = 600    # Dalam 10 menit
maxretry = 5      # Kalau gagal 5 kali

[sshd]
enabled  = true
port     = 2222   # Sesuaikan dengan port SSH kamu
maxretry = 3      # Lebih ketat untuk SSH
bantime  = 86400  # Ban 24 jam untuk SSH

Apa yang Perlu Di-Patch

bash — OS & Web Server Update
# Cek security updates yang tersedia
apt list --upgradable 2>/dev/null | grep -i security

# Apply semua update
apt update && apt upgrade -y

bash — Dependency Audit
# PHP/Composer — cek CVE di dependencies
composer audit
composer outdated

# Node.js/npm
npm audit
npm audit fix

# Kalau ada critical/high severity — ini prioritas

Banyak yang lupa: halaman-halaman internal seperti staging site, panel admin, phpMyAdmin, tools internal — semua ini butuh proteksi khusus yang lebih dari sekadar basic auth.

Cloudflare Access adalah solusi Zero Trust yang bisa dipasang di depan URL apapun tanpa mengubah kode aplikasi — dan gratis untuk 50 user pertama.

Cara Kerjanya

Filosofi lesson ini: hardening maksimal, perubahan kode minimal. Cloudflare sebagai firewall layer pertama sebelum request sampai ke server kamu.

Setiap hari, bot scanner mencoba akses ke /.env, /wp-config.php, /phpinfo.php, /.git/config, dan ratusan path lainnya. Dengan Cloudflare Custom Rules, semua ini diblokir di edge Cloudflare — tidak pernah sampai ke server kamu.

Custom Rules yang Perlu Dibuat

Cloudflare Expression — Rule 1: Config & Credential Files
(http.request.uri.path contains "/.env") or
(http.request.uri.path contains "/wp-config.php") or
(http.request.uri.path contains "/.htpasswd") or
(http.request.uri.path contains "/config.php") or
(http.request.uri.path contains "/.aws/credentials")
Action: Block

Cloudflare Expression — Rule 2: PHP Execution di Upload Dirs
(http.request.uri.path matches "(?i)/uploads?/.*\.(php|php3|phtml|shtml|cgi|sh)$") or
(http.request.uri.path matches "(?i)/files?/.*\.(php|phtml)$") or
(http.request.uri.path matches "(?i)/wp-content/uploads/.*\.(php|phtml)$")
Action: Block

Cloudflare Expression — Rule 3: WordPress Attack Surface
(http.request.uri.path contains "/xmlrpc.php") or
(http.request.uri.path contains "/wp-json/wp/v2/users") or
(http.request.uri.path eq "/readme.html") or
(http.request.uri.path eq "/license.txt")
Action: Block

Tiga Lapis Monitoring

Log adalah blackbox pesawat kamu. Kamu akan paham betapa pentingnya ini saat crash terjadi.

Tiga Log yang Wajib Dipantau

nginx — Format Log yang Informatif
http {
    log_format detailed '$remote_addr - $remote_user [$time_local] '
                        '"$request" $status $body_bytes_sent '
                        '"$http_referer" "$http_user_agent" '
                        '$request_time';

    access_log /var/log/nginx/access.log detailed;
    error_log  /var/log/nginx/error.log warn;
}

Backup Log ke Lokasi Terpisah

bash — Backup log harian ke cloud storage
cat > /usr/local/bin/backup-logs.sh << 'EOF'
#!/bin/bash
DATE=$(date +%Y-%m-%d)
HOSTNAME=$(hostname)
tar -czf /tmp/logs-${HOSTNAME}-${DATE}.tar.gz /var/log/nginx/
aws s3 cp /tmp/logs-${HOSTNAME}-${DATE}.tar.gz s3://nama-bucket/logs/
rm -f /tmp/logs-${HOSTNAME}-${DATE}.tar.gz
EOF

# Jalankan setiap hari jam 1 pagi
echo "0 1 * * * root /usr/local/bin/backup-logs.sh" >> /etc/cron.d/log-backup

Membaca Log dengan Cepat

bash — Quick Log Analysis
# Top 20 IP yang paling banyak akses
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -20

# Scanning tools di User-Agent
grep -iE "sqlmap|nikto|masscan|nmap|zgrab" /var/log/nginx/access.log

# Probing ke file sensitif
grep -E "(\.env|wp-config|phpmyadmin|\.git|backup\.sql)" /var/log/nginx/access.log | tail -20

# Failed SSH login
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn | head -10

Monitoring yang tidak punya alerting sama saja dengan alarm kebakaran yang tidak berbunyi.

Setup Telegram Bot

1. Buka Telegram, cari @BotFather
2. Kirim /newbot, masukkan nama dan username bot
3. Simpan Bot Token yang diberikan
4. Chat bot kamu, lalu buka https://api.telegram.org/botTOKEN/getUpdates untuk dapat Chat ID

bash — Script Alert Telegram
cat > /usr/local/bin/telegram-alert.sh << 'SCRIPT'
#!/bin/bash
TELEGRAM_TOKEN="ISI_TOKEN_KAMU"
TELEGRAM_CHAT_ID="ISI_CHAT_ID_KAMU"
LEVEL="${1:-INFO}"
MESSAGE="${2:-Test}"

case $LEVEL in
  "CRITICAL") EMOJI="🔴" ;;
  "WARNING")  EMOJI="🟡" ;;
  "INFO")     EMOJI="🟢" ;;
esac

TEXT="${EMOJI} [${LEVEL}] $(hostname)
━━━━━━━━━━━━━━━━━
${MESSAGE}
━━━━━━━━━━━━━━━━━
🕐 $(date '+%d/%m/%Y %H:%M:%S')"

curl -s -X POST "https://api.telegram.org/bot${TELEGRAM_TOKEN}/sendMessage" \
  -d chat_id="${TELEGRAM_CHAT_ID}" \
  -d text="${TEXT}" > /dev/null 2>&1
SCRIPT

chmod +x /usr/local/bin/telegram-alert.sh

5 Alert Rules yang Perlu Aktif

Uptime Monitoring — Setup dalam 5 Menit

Anomaly Detection

bash — Traffic Spike Detection
# Hitung request dalam 5 menit terakhir
CURRENT=$(awk -v d="$(date --date='5 minutes ago' '+%d/%b/%Y:%H:%M')" \
  '$4 > "["d' /var/log/nginx/access.log | wc -l)

# Alert kalau traffic 3x lebih tinggi dari baseline
if [ "$CURRENT" -gt "$(( BASELINE * 3 ))" ]; then
  /usr/local/bin/telegram-alert.sh "WARNING" "Traffic Spike: ${CURRENT} req/5min"
fi

Strategi 3-2-1

bash — Script Backup Otomatis Harian
cat > /usr/local/bin/daily-backup.sh << 'SCRIPT'
#!/bin/bash
DATE=$(date +%Y%m%d-%H%M)
BACKUP_DIR="/backup"

# 1. Database backup
mysqldump --all-databases -u root -p"PASSWORD" 2>/dev/null | \
   gzip > "${BACKUP_DIR}/db-${DATE}.sql.gz"

# 2. Files backup
tar -czf "${BACKUP_DIR}/files-${DATE}.tar.gz" \
   /var/www/html/uploads /var/www/html/.env /var/www/html/storage

# 3. Upload ke cloud
aws s3 cp "${BACKUP_DIR}/db-${DATE}.sql.gz" s3://nama-bucket/ --quiet

# 4. Hapus backup > 30 hari
find "$BACKUP_DIR" -name "*.gz" -mtime +30 -delete

# 5. Alert sukses
/usr/local/bin/telegram-alert.sh "INFO" "✅ Backup harian selesai"
SCRIPT

# Jalankan setiap hari jam 2 pagi
echo "0 2 * * * root /usr/local/bin/daily-backup.sh" >> /etc/cron.d/backup

Test Restore — Wajib Dilakukan

bash — Test Restore Database
# 1. Buat database test
mysql -u root -p -e "CREATE DATABASE test_restore;"

# 2. Restore dari backup
gunzip -c /backup/db-20240115-0200.sql.gz | mysql -u root -p test_restore

# 3. Verifikasi data ada
mysql -u root -p test_restore -e "SHOW TABLES; SELECT COUNT(*) FROM users;"

# 4. Hapus database test
mysql -u root -p -e "DROP DATABASE test_restore;"

Gunakan checklist ini setiap kali launch website baru, atau setiap kali deploy fitur besar. 🔴 Wajib tidak ada alasan untuk skip. 🟡 Sangat direkomendasikan. 🟢 Nice to have.

Bagian 1 — Domain & SSL

Bagian 2 — Security Headers

Bagian 3 — Konfigurasi Server

Bagian 4 — Aplikasi & Kode

Bagian 5 — Backup & Monitoring

Keamanan bukan event. Keamanan adalah kebiasaan. Jadwalkan satu jam di awal setiap bulan, masukkan ke kalender, dan treat ini seperti meeting penting — karena memang penting.

Estimasi waktu: 30-60 menit per bulan untuk website ukuran sedang.

Bagian 1 — Akun & Akses

Bagian 2 — Update & Patch

Bagian 3 — SSL & Domain

Bagian 4 — Log Review (10 menit)

bash — Monthly Log Review Commands
# IP yang paling banyak hit (potensi scanner)
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -20

# Request ke URL mencurigakan
grep -E "(\.\.\/|wp-admin|phpmyadmin|eval\(|base64)" /var/log/nginx/access.log | tail -50

# Failed SSH login
grep "Failed password" /var/log/auth.log | tail -50

# Successful SSH login — siapa yang masuk?
grep "Accepted" /var/log/auth.log | tail -20

Bagian 5 — File Integrity

Template Dokumentasi Audit Bulanan

Definisi Tingkat Keparahan

FASE 1 — Deteksi & Dokumentasi (0–15 menit)

FASE 2 — Containment (15–45 menit)

• Blokir IP penyerang yang teridentifikasi dari log via UFW atau Cloudflare
• Evaluasi: perlu offline atau tidak? (lihat kriteria di atas)
• Aktifkan "Under Attack" mode di Cloudflare kalau ada serangan aktif
• Jangan hapus log — ini bukti forensik

FASE 3 — Ganti Semua Kredensial

FASE 4 — Investigasi & Eradikasi

FASE 5 — Recovery

• Scan malware: sitecheck.sucuri.net (dari luar)
• Cek Google Safe Browsing sebelum online
• Kembalikan online secara bertahap — monitor log real-time selama 2 jam pertama
• Kirim notifikasi ke klien bahwa layanan sudah pulih

Kontak Darurat — Isi Sekarang, Sebelum Terjadi

Security Score Card adalah cara mengukur kondisi keamanan website secara objektif — tidak berdasarkan perasaan, tapi berdasarkan checklist yang terstruktur.

Sistem Penilaian

Isi setiap item dengan nilai: 2 = sudah ada dan berfungsi baik, 1 = ada tapi belum optimal, 0 = belum ada.

Interpretasi Skor

Template A — Laporan Vulnerability Assessment

Untuk sebelum/sesudah audit keamanan rutin.

Template B — Laporan Insiden

Digunakan setelah insiden terjadi dan sudah ditangani.

Tips Menulis Laporan yang Baik

1. Tulis untuk dua audiens sekaligus — Ringkasan eksekutif untuk pemilik bisnis (non-teknis), detail teknis untuk developer yang akan implementasi.
2. Fokus ke dampak bisnis, bukan jargon teknis — Bukan: "HSTS header tidak terkonfigurasi menyebabkan vulnerability terhadap SSL stripping attack." Tapi: "Koneksi ke website ini bisa disadap di jaringan publik seperti WiFi kafe, memungkinkan pencurian password pengguna."
3. Berikan rekomendasi yang actionable — Bukan: "Perbaiki konfigurasi keamanan." Tapi: "Tambahkan baris server_tokens off; di file /etc/nginx/nginx.conf, lalu restart nginx."
4. Sertakan estimasi effort — Klien perlu tahu berapa lama dan berapa biaya untuk fix setiap item. Ini juga membantu mereka prioritize.
5. Follow up setelah implementasi — Tawarkan audit ulang setelah semua rekomendasi diimplementasikan. Ini kesempatan untuk tunjukkan improvement.