Di balik performa website yang cepat dan desain yang menawan, ada satu aspek yang tak boleh diabaikan: keamanan. Karena seindah apapun tampilan web Anda, satu celah keamanan saja bisa menjadi pintu masuk bagi ancaman serius mulai dari pencurian data, deface, hingga pembobolan sistem.
Audit keamanan website bukan hanya tugas tim IT besar. Bahkan, pemilik bisnis kecil sekalipun bisa (dan seharusnya) melakukannya, setidaknya secara manual. Artikel ini akan membimbing Anda untuk memahami bagaimana melakukan audit keamanan manual, dengan pendekatan yang sistematis, tidak rumit, dan bisa langsung diterapkan.
Apa Itu Audit Keamanan Website?
Audit keamanan website adalah proses pemeriksaan menyeluruh terhadap struktur, konfigurasi, dan komponen website untuk menemukan celah atau kelemahan yang bisa dimanfaatkan penyerang.
Audit manual berarti dilakukan tanpa tools otomatis (seperti scanner atau pentest tool), melainkan dengan observasi, pengujian langsung, dan checklist keamanan dasar.
Meskipun terdengar sederhana, audit manual bisa mengidentifikasi banyak isu yang sering luput dari scanner otomatis khususnya yang berkaitan dengan kesalahan konfigurasi, praktik buruk dalam pengembangan, atau kelalaian manusia.
Checklist Audit Manual yang Wajib Dilakukan
Cek Struktur URL dan Parameter
Periksa URL yang menggunakan parameter, misalnya:
bashCopyEdithttps://websiteanda.com/detail.php?id=123
Uji dengan input tidak valid seperti ' OR 1=1 -- untuk melihat apakah sistem merespons dengan error atau data mencurigakan. Ini bisa mengindikasikan kerentanan SQL Injection.
Uji juga parameter dengan script HTML seperti:
php-templateCopyEdit<script>alert(1)</script>
Jika muncul alert, bisa jadi ada celah XSS.
Lihat Source Code HTML Website
Klik kanan > View Source > Cari:
- Script inline yang tidak perlu
- Komentar yang menyebutkan konfigurasi server, kredensial, atau email admin
- Path direktori atau file backend (
/admin/,/config.php, dll)
Ini bisa menjadi informasi yang sangat berharga bagi penyerang.
Uji Form Input
Coba isian tidak wajar di form login, register, dan contact form:
- Input terlalu panjang
- Karakter khusus (
',",<,>) - Payload HTML atau script
Lihat bagaimana sistem merespons—apakah ada error, atau malah script dieksekusi?
Cek Header Keamanan HTTP
Gunakan browser extension seperti Security Headers, atau buka DevTools > Network untuk melihat apakah header seperti berikut tersedia:
Content-Security-PolicyStrict-Transport-SecurityX-Frame-OptionsX-Content-Type-Options
Jika tidak ada, berarti website Anda kehilangan lapisan perlindungan penting.
Coba Akses Folder Tanpa Index
Ketik URL ke folder tertentu seperti:
arduinoCopyEdithttps://websiteanda.com/images/
Jika Anda bisa melihat daftar file dalam folder, maka directory listing aktif dan harus dimatikan.
Tes Halaman Login
- Apakah ada rate limiting? (Coba beberapa password salah)
- Apakah ada CAPTCHA?
- Apakah URL login bisa ditebak? (seperti
/admin,/login) - Apakah form login menggunakan HTTPS?
Semua ini berkontribusi pada keamanan identitas pengguna dan akses sistem.
Periksa File Upload
Jika website memiliki fitur upload (gambar, dokumen), coba:
- Upload file besar
- Upload file berekstensi aneh (
.php,.html) - Upload file dengan nama panjang atau karakter aneh
Apakah file difilter? Apakah langsung bisa diakses publik?
Kesimpulan
Audit keamanan manual bukan pengganti pentest profesional, tapi ia adalah pondasi. Dengan melakukan audit manual secara berkala, Anda bisa mencegah banyak serangan sebelum terjadi. Terutama untuk bisnis skala kecil-menengah, ini adalah langkah awal yang strategis dan hemat biaya.
Ingin keamanan web yang tidak setengah-setengah? Webklik siap menjadi mitra Anda membangun website yang bukan hanya terlihat profesional, tapi juga tahan dari ancaman dunia maya. Dari audit hingga pengembangan, keamanan adalah prinsip dasar kami.