Posted on

Yang Harus Dilakukan/Syarat Sebelum Mengimplementasikan HSTS

wpJakarta – Yang Harus Dilakukan (Syarat) Sebelum Mengimplementasikan HSTS. Jika diartikel kami sebelumnya dibahas tentang Cara Mengaktifkan HSTS Website WordPress melalui plugin really simple SSL, layanan CDN cloudflare dan melalui file htaccess. Maka pada artikel ini dibahas tentang langkah apa/syarat yang harus dilakukan sebelum mengimplementasikan HSTS. Maklum “syarat” sebelum mengimplementasikan HSTS jauh lebih “sulit” ketimbang “mengaktifkan” HSTS itu sendiri. Salah-salah website jadi tidak bisa diakses oleh pengunjung dalam waktu yang lama. Tapi sebenarnya, syarat awal sebelum mengaktifkan HSTS juga tidak susah-susah amat.

wp jakarta tips-trik wordpresswp jakarta tips-trik wordpress

“syarat” yang harus dilakukan sebelum mengimplementasikan HSTS terhadap website anda.

  • Aktifkan SSL/HTTPS secara full dan valid. Full artinya untuk domain utama maupun subdomain. Valid bahwa konfigurasi dan settingnya secara benar dan dalam masa yang aktif (berlaku). Baik SSL berbayar atau SSL gratis juga tidak masalah. (Baca : Cara pasang SSL gratis di cPanel). (Cek validitas SSL website https://globalsign.ssllabs.com/).
  • Redirect http ke https. (Baca juga : Membuat Redirect Website WordPress).
  • Sampai kiamat HTTPS ini harus selalu aktif selamanya. SSL yang habis periode berlakunya akan mengembalikan domain ke HTTP dan dengan HSTS yang aktif maka website tidak akan dapat diakses pengunjung. Untuk SSL berbayar pastikan untuk diperpanjang jika waktunya sudah habis. Untuk SSL gratis pun sama, atau bisa juga dengan konfigurasi auto update untuk mencegah lupa.

Nah tidak susah bukan ? syarat sebelum mengimplementasikan HSTS cuma harus “HTTPS selamanya…sampe kiamat dunia maya…”. Lalu bagaimana jika terdapat content mixer pada website yang mengaktifkan HSTS ? Maka akan tetap di serve HTTPS, lagian tidak sulit untuk mengatasi masalah “content mixer” pada halaman website. (Baca : Mengatasi Masalah Mixed Content Di WordPress).

Apa itu HSTS dan keuntungannya ?

Beberapa opini berpendapat bahwa HSTS hanya efektif untuk website dengan transaksi keuangan (kartu kredit, paypal dan sejenisnya) seperti toko online, internet banking dan lain-lain. Eits… nanti dulu HSTS adalah metode “keamanan web” untuk melindungi website dari metode serangan hacking “protocol downgrade” atau SSL stripping. Artinya berlaku universal untuk segala jenis website, bukan hanya website semacam toko online atau banking saja.

Hacker pro mungkin hanya akan menarget website-website besar sebagai targetnya. Bagaimana dengan hacker newbie yang sedang coba-coba dan baru belajar hacking, kemungkinannya akan mentarget secara random dan tentunya menargetkan website yang “terlihat” mudah diserang.