Defaults.Exposed › Perbaikan › CDN / WAF & hosting
Cara memperbaiki CDN / WAF & hosting
Dua pembacaan pipa di balik website Anda: apakah Anda duduk di belakang perisai pelindung (CDN dengan Web Application Firewall, seperti Cloudflare) yang menyaring serangan dan menyerap lonjakan traffic, dan peta tentang siapa yang sebenarnya menjalankan DNS, website, dan email Anda. Keduanya bersifat informatif dalam penilaian kami — mereka tidak mengubah nilai Anda — tapi mereka menggambarkan seberapa terekspos server asal Anda terhadap serangan dan pemadaman, dan seberapa kusut penyedia Anda. Perisai di depan dan kumpulan penyedia yang terpisah dengan wajar adalah apa yang terlihat seperti bisnis yang tangguh.
Intinya bagi bisnis Anda: Website tanpa perisai di depannya mengambil setiap serangan dan setiap lonjakan traffic langsung ke server asal — sehingga banjir bot, lonjakan hari peluncuran, atau satu serangan otomatis bisa membuat Anda offline selama berjam-jam, dan pemulihan ada pada Anda. Menempatkan CDN/WAF di depan (tier gratis tersedia) menyaring sebagian besar serangan otomatis, menyerap lonjakan, dan mempercepat website di seluruh dunia — biasanya pekerjaan sore hari untuk orang IT Anda, tanpa biaya lisensi. Terpisah, jika DNS, website, dan email Anda semua tinggal dengan satu penyedia, satu pemadaman atau pelanggaran di sana membawa seluruh kehadiran online Anda turun sekaligus; mengetahui peta penyedia Anda adalah hal pertama yang Anda butuhkan dalam insiden. Tidak satu pun pemeriksaan mengubah nilai Anda — tapi keduanya menggambarkan eksposur nyata terhadap downtime, kehilangan penjualan, dan pemulihan yang lambat dan menyakitkan.
Kerugian yang dapat ditimbulkan
- Ledakan traffic bot atau DDoS kecil menghantam server yang tidak terlindungi Anda pada pagi hari promosi besar — website merangkak atau jatuh, pelanggan mendapatkan error di checkout, dan Anda kehilangan penjualan hari itu sementara host Anda berjuang. CDN/WAF di depan akan menyerapnya.
- DNS, website, dan email Anda semua berjalan melalui satu penyedia; penyedia itu mengalami pemadaman dan website, sistem pemesanan DAN email Anda semuanya gelap pada saat yang sama — Anda bahkan tidak bisa mengirim 'kami menyadari masalah ini' karena kotak masuk sudah turun.
- Serangan otomatis menyelidiki website Anda sepanjang malam — skrip injeksi SQL dan penebak login yang memukul asal Anda langsung karena tidak ada lapisan firewall untuk menyaringnya — dan Anda hanya mengetahuinya ketika sesuatu rusak. WAF memblokir sebagian besar noise itu sebelum mencapai kode Anda.
- Insiden terjadi dan tidak ada yang bisa menjawab pertanyaan dasar 'siapa yang bahkan harus kami hubungi?' — apakah website di host yang sama dengan email? Siapa yang menjalankan DNS? Jam-jam berdarah hanya untuk memetakan pipa sementara website tetap turun.
- Tim IT calon pelanggan memindai Anda sebelum menandatangani dan melihat server asal yang tidak terlindungi tanpa CDN/WAF dan header versi-server yang bocor yang mengiklankan persis perangkat lunak (dan versi) apa yang Anda jalankan — sinyal kecil 'orang-orang ini belum mengeraskan dasar-dasar' di saat yang paling buruk.
Mengapa ini penting. Kedua pemeriksaan di sini bersifat informatif dalam metodologi kami — terdaftar dengan nol poin dan tidak pernah mengubah nilai Anda — karena mereka menggambarkan infrastruktur Anda daripada menguji kontrol keamanan lulus/gagal. Kami menampilkannya karena mereka memetakan eksposur bisnis nyata. Website tanpa CDN/WAF mengambil setiap serangan dan lonjakan traffic di asal secara langsung, tanpa penyaringan dan tanpa penyerapan lonjakan; menambahkan satu (tier gratis Cloudflare adalah rute umum) adalah salah satu peningkatan ketahanan paling berpengaruh dan berbiaya terendah yang bisa dilakukan bisnis kecil. Dan peta penyedia yang jelas — mengetahui apakah DNS, web, dan email Anda dibagi atau ditumpuk pada satu penyedia — adalah hal pertama yang Anda butuhkan ketika sesuatu salah dan perbedaan antara insiden yang terkandung dan pemadaman total.
Apa ini, dalam bahasa sederhana
Setiap website berjalan di server di suatu tempat. Pertanyaan yang dijawab halaman ini adalah: apa yang berdiri antara internet terbuka dan server itu — dan siapa yang sebenarnya menjalankan potongan-potongan kehadiran online Anda?
Ada dua bagian:
-
CDN / WAF — perisai di depan. CDN (Content Delivery Network) adalah jaringan global yang duduk di depan website Anda, menyajikan konten Anda dengan cepat ke pengunjung di mana saja, dan menyerap lonjakan traffic. WAF (Web Application Firewall) adalah filter yang memeriksa permintaan masuk dan memblokir yang berbahaya sebelum menjangkau server Anda. Layanan populer (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri, dan lainnya) menggabungkan ini bersama. Kami melihat respons website Anda dan melaporkan apakah kami bisa melihat perisai di depan — dan kami juga mencatat server web apa yang Anda jalankan.
-
Peta hosting / penyedia — siapa yang menjalankan pipa Anda. Kami membaca record publik yang mengatakan siapa yang menangani DNS (direktori yang mengubah domain Anda menjadi alamat), dan siapa yang menangani email Anda. Dari situ kami bisa memberi tahu apakah DNS, website, dan email Anda dibagi di seluruh penyedia (tangguh) atau ditumpuk pada satu (nyaman, tapi satu titik kegagalan).
Hal terpenting yang harus diketahui di depan: dalam penilaian kami, keduanya bersifat informatif. Mereka tidak mempengaruhi nilai Anda. Kami menampilkannya karena mereka menggambarkan seberapa terekspos bisnis Anda terhadap downtime dan serangan — yang merupakan pertanyaan yang berbeda dan sangat praktis dari nilai.
Dampak finansial yang perlu diketahui
Ini bukan risiko abstrak — ini adalah cara sehari-hari pengaturan yang tidak terlindungi dan kusut mengubah masalah kecil menjadi hari yang buruk.
-
Dijatuhkan offline pada hari yang paling penting. Website Anda duduk di server asal tanpa apa pun di depannya. Pada pagi peluncuran atau promosi, traffic melonjak — atau banjir bot sedang menghantam — dan server tidak bisa mengatasi. Halaman waktu habis, checkout error, dan Anda kehilangan pendapatan hari itu sementara host Anda berjuang. CDN menyerap lonjakan dan WAF menyaring traffic sampah; bersama mereka adalah perbedaan antara “hari yang sibuk” dan “turun sepanjang pagi.”
-
Semuanya gelap sekaligus. DNS, website, dan email Anda semua berjalan melalui satu penyedia. Penyedia itu mengalami pemadaman (itu terjadi pada semua dari mereka akhirnya) dan website, sistem pemesanan, dan email Anda menghilang secara bersamaan. Anda tidak bisa memproses pesanan, dan Anda bahkan tidak bisa mengirim email pelanggan untuk mengatakan Anda menyadarinya — karena kotak masuk juga turun. Membagi penyedia berarti satu kegagalan terkandung, bukan total.
-
Kode Anda mengambil setiap serangan secara langsung. Tanpa WAF, setiap probe otomatis — upaya injeksi, penebak login, pemindai eksploitasi yang dikenal — menghantam kode aplikasi Anda tanpa penyaringan. Anda bertaruh bahwa perangkat lunak Anda sempurna dan sepenuhnya ter-patch, selamanya. WAF memblokir sebagian besar noise otomatis itu sebelum mencapai Anda, mengubah “serangan latar belakang yang konstan” menjadi “sebagian besar disaring.”
-
Insiden yang lambat dan panik karena tidak ada yang memiliki peta. Sesuatu rusak dan jam pertama terbuang pada “tunggu, siapa yang menjalankan DNS kami? Apakah email di host yang sama? Siapa yang kami hubungi?” Ketika peta penyedia Anda tidak jelas, setiap insiden mulai dari nol. Mengetahui peta di muka mengubah kekacauan menjadi satu panggilan telepon.
-
Kesan pertama yang buruk kepada pembeli yang teliti. Tim IT calon pelanggan memindai Anda sebelum menandatangani dan melihat asal yang tidak terlindungi tanpa CDN/WAF — dan header server yang secara terbuka mengiklankan perangkat lunak persis dan versi Anda. Ini adalah sinyal kecil, tapi menempatkan Anda di kolom “belum mengeraskan dasar-dasar” di saat yang paling buruk.
Apa sebenarnya itu
CDN / WAF — lapisan pelindung
Ketika pengunjung (atau penyerang) meminta website Anda, permintaan tersebut bisa langsung ke server asal Anda, atau bisa melalui CDN/WAF terlebih dahulu. Jika ada perisai di depan, perisai itu bisa:
- Menyaring permintaan berbahaya (bagian WAF): memblokir upaya injeksi, serangan bot, dan pola eksploitasi yang dikenal sebelum mereka pernah mencapai kode Anda.
- Menyerap traffic (bagian CDN): menyajikan konten yang di-cache dari server dekat setiap pengunjung dan menyerap lonjakan, sehingga lonjakan — yang sah atau bermusuhan — tidak menghancurkan asal Anda.
- Mempercepat website: konten yang dikirimkan dari server edge terdekat dimuat lebih cepat untuk pengunjung di seluruh dunia.
Kami mendeteksi perisai dengan melihat sidik jari yang ditinggalkan layanan ini di header respons website Anda — misalnya header cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), atau x-sucuri-id (Sucuri). Kami juga membaca header Server untuk mengidentifikasi server web dasar Anda (nginx, Apache, IIS, LiteSpeed, Caddy, dan sebagainya), dan menandai header X-Powered-By mana pun yang berbagi berlebihan.
Seperti apa “baik” itu: CDN/WAF terdeteksi di depan asal Anda, dan header Server yang tidak mengiklankan nomor versi spesifik.
Peta hosting / penyedia — dependensi infrastruktur Anda
Domain Anda secara diam-diam menunjuk ke beberapa layanan berbeda:
- DNS — direktori yang mengubah
yourbusiness.commenjadi alamat server yang sebenarnya. Kami membaca record nameserver (NS) Anda dan mengenali penyedia umum (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode, dan registrar regional di antaranya). - Email — di mana email Anda ditangani. Kami membaca record MX Anda dan mengenali penyedia umum (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho, dan lainnya).
Dari ini kami bisa melihat apakah tanggung jawab ini dibagi di seluruh penyedia (kegagalan di satu tidak menonaktifkan yang lain) atau ditumpuk pada satu penyedia (nyaman, tapi satu pemadaman atau pelanggaran menonaktifkan segalanya).
Seperti apa “baik” itu: minimal, DNS yang dipegang oleh penyedia yang khusus dan andal daripada dibundel ke dalam akun yang sama dengan segalanya — sehingga direktori domain Anda tidak berbagi nasib dengan website dan kotak masuk Anda.
Cara memperbaikinya (gratis, ~1 sore hari)
Berikan ini kepada orang IT atau pengembang web Anda — perbaikannya gratis. Menempatkan CDN/WAF di depan website Anda tidak ada biaya pada tier gratis umum, dan menekan versi server Anda adalah pengaturan satu baris. Tidak ada lisensi yang perlu dibeli. (Opsi berbayar di sini hanya pemantauan, pelacakan portofolio, dan audit — tidak pernah perbaikannya sendiri.) Satu-satunya keputusan pemilik adalah: ya, taruh perisai di depan website.
Karena kedua pemeriksaan bersifat informatif, tidak satu pun dari ini dinilai — tapi CDN/WAF adalah salah satu peningkatan ketahanan nilai tertinggi yang bisa dilakukan bisnis kecil, jadi layak dilakukan.
1. Taruh CDN/WAF di depan website Anda
Rute paling umum dan gratis adalah Cloudflare:
- Buat akun Cloudflare gratis dan tambahkan domain Anda.
- Cloudflare membaca record DNS yang ada; periksa bahwa mereka diimpor dengan benar.
- Ubah nameserver domain Anda (di registrar Anda) ke dua yang diberikan Cloudflare. Ini adalah sakelar yang merutekan traffic melalui Cloudflare.
- Atur mode SSL/TLS ke Full (strict) sehingga enkripsi tetap end-to-end antara pengunjung → Cloudflare → asal Anda. (Hindari “Flexible,” yang membiarkan leg terakhir tidak terenkripsi.)
- CDN dan WAF baseline sekarang aktif. Anda bisa menyetel aturan WAF nanti, tapi default sudah menyaring banyak.
Rute lain, tergantung stack Anda:
- AWS CloudFront — buat distribusi yang menunjuk ke asal Anda; pasangkan dengan AWS WAF untuk penyaringan. Terbaik jika Anda sudah menggunakan AWS.
- Sucuri WAF — berbasis DNS, tidak memerlukan perubahan di server Anda; baik jika Anda tidak bisa menyentuh asal.
- Fastly / Akamai — CDN/WAF tingkat enterprise, biasanya untuk website yang lebih besar atau lalu lintas tinggi.
Setelah beralih, uji website, konfirmasi HTTPS berfungsi di mana-mana, dan perhatikan selama sehari. Jangan agresif meng-cache halaman yang harus tetap personal atau langsung (area yang sudah login, keranjang, checkout).
2. Hentikan iklan versi server Anda
Apakah Anda menambahkan CDN atau tidak, tekan versi yang diumumkan server Anda — itu adalah informasi gratis yang Anda berikan kepada penyerang.
Nginx:
server_tokens off;
Apache (di konfigurasi utama):
ServerTokens Prod
ServerSignature Off
Hapus header X-Powered-By yang berbagi berlebihan (misalnya dari PHP atau framework aplikasi) di tingkat server atau CDN — di Cloudflare Anda bisa menghapusnya dengan aturan transform response header.
3. Periksa kewarasan peta penyedia Anda (opsional, ~10 menit)
Lihat di mana DNS, website, dan email Anda sebenarnya tinggal:
- Jika semua tiga duduk di satu akun penyedia, pertimbangkan setidaknya memindahkan DNS ke penyedia khusus (Cloudflare DNS gratis dan cepat). Pemisahan tunggal itu berarti direktori domain Anda selamat dari pemadaman hosting.
- Tuliskan peta — penyedia DNS, host web, penyedia email, registrar, dan kontak login/dukungan untuk masing-masing. Satu halaman ini adalah hal paling berguna yang bisa Anda miliki di depan Anda selama insiden.
Catatan platform
- Google Workspace / Microsoft 365: ini adalah penyedia email Anda, bukan website Anda. Menempatkan CDN/WAF di depan website tidak menyentuh email, dan sebaliknya — mereka adalah keputusan terpisah. (Memiliki email di Google/Microsoft dan website di belakang Cloudflare adalah pengaturan yang sengaja dibagi dengan baik.)
- Website builder terkelola (Wix, Squarespace, Shopify): ini menyertakan CDN mereka sendiri dan tingkat perlindungan WAF sebagai bagian dari platform, sehingga Anda mungkin sudah terlindungi meskipun pemeriksaan header kami tidak menyebutkan penyedia. Anda biasanya tidak bisa menambahkan Cloudflare sendiri di depan; tidak apa-apa — platform menanganinya.
- WordPress di hosting Anda sendiri: kandidat ideal untuk lapisan Cloudflare gratis di depan. Kombinasikan dengan firewall plugin keamanan untuk aturan tingkat aplikasi.
Kesalahan umum
- Menjalankan asal yang tidak terlindungi “karena websitenya kecil.” Website kecil mendapatkan serangan otomatis dan banjir bot yang sama seperti yang besar — bot tidak memeriksa pendapatan Anda terlebih dahulu. Tier CDN/WAF gratis ada tepat untuk website kecil; tidak menggunakannya adalah meninggalkan kemenangan mudah di atas meja.
- Menggunakan Cloudflare SSL “Flexible.” Ini menampilkan gembok tapi membiarkan koneksi antara Cloudflare dan asal Anda tidak terenkripsi. Selalu gunakan Full (strict) sehingga terenkripsi end-to-end.
- Meng-cache hal yang salah. Agresif meng-cache halaman yang sudah login, keranjang atau checkout bisa menampilkan konten satu pelanggan atau harga basi kepada yang lain. Cache konten statis; biarkan halaman yang dipersonalisasi dan transaksional tidak di-cache.
- Menumpuk segalanya pada satu penyedia tanpa menyadarinya. Kenyamanan itu baik jika itu pilihan yang sadar — tapi banyak bisnis baru mengetahui DNS, web, dan email berbagi satu akun selama pemadaman yang menonaktifkan ketiganya. Jadikan itu keputusan, bukan penemuan.
- Meninggalkan versi server yang ditampilkan. Ini adalah langkah pengerasan gratis dan satu baris yang mudah dilupakan. Matikan.
Catatan tentang nilai
Untuk benar-benar jelas: tidak satu pun dari dua pemeriksaan ini mempengaruhi nilai Anda. Mereka terdaftar dalam metodologi kami sebagai informatif, dengan nol poin, dan kami tidak pernah menghukum Anda untuk asal yang tidak terlindungi atau pengaturan penyedia tunggal. Kami melaporkan mereka karena mereka menggambarkan eksposur nyata terhadap downtime, serangan, dan pemulihan insiden yang lambat — dan karena menambahkan CDN/WAF gratis adalah salah satu peningkatan nilai terbaik yang bisa dilakukan bisnis kecil. Jika Anda tidak melakukan apa pun di sini, nilai Anda tidak berubah. Jika Anda menempatkan perisai di depan website Anda dan memisahkan DNS Anda, Anda telah membuat bisnis secara bermakna lebih tangguh secara gratis. Itulah cara yang tepat untuk membaca halaman ini: bukan angka yang harus dipertahankan, tapi peningkatan ketahanan yang layak diambil.
FAQ
Ini tidak mempengaruhi nilai saya — jadi mengapa saya harus peduli?
Karena nilai mengukur kontrol keamanan tertentu (enkripsi, anti-spoofing email, header keamanan), sementara dua pemeriksaan ini menggambarkan ketahanan Anda — seberapa terekspos Anda terhadap downtime dan serangan. Server yang tidak terlindungi masih bisa mendapat skor baik pada pemeriksaan yang dinilai dan masih bisa dijatuhkan oleh banjir bot pada hari peluncuran. Nilai dan ketahanan adalah pertanyaan yang berbeda; halaman ini tentang yang kedua. Menambahkan CDN/WAF adalah salah satu peningkatan nilai terbaik yang bisa Anda buat, nilai atau tidak.
Saya tidak teknis — apa yang sebenarnya perlu saya lakukan?
Satu keputusan dan satu serah terima. Keputusan: apakah Anda menginginkan perisai pelindung (CDN/WAF) di depan website Anda? Untuk hampir setiap bisnis jawabannya ya, dan rute umum — tier gratis Cloudflare — tidak ada biaya. Serah terima: berikan bagian 'Cara memperbaikinya' kepada siapa pun yang mengelola website atau domain Anda. Menyiapkan CDN/WAF gratis biasanya pekerjaan sore hari dan tidak ada biaya lisensi. Perbaikannya gratis; hanya pemantauan opsional dan alat portofolio yang berbayar.
Apa perbedaan antara CDN dan WAF — apakah saya membutuhkan keduanya?
CDN (Content Delivery Network) adalah jaringan global server yang duduk di depan website Anda, meng-cache konten Anda dekat dengan pengunjung sehingga halaman dimuat lebih cepat, dan menyerap lonjakan traffic sehingga lonjakan tidak menghancurkan asal Anda. WAF (Web Application Firewall) adalah lapisan penyaringan yang memeriksa permintaan masuk dan memblokir yang berbahaya — upaya injeksi, serangan bot, pola eksploitasi yang dikenal — sebelum menjangkau server Anda. Kabar baiknya adalah layanan populer menggabungkan keduanya: aktifkan Cloudflare (atau serupa) dan Anda mendapatkan CDN dan WAF baseline bersama. Jadi praktisnya, itu satu pengaturan, dua manfaat.
Apakah buruk bahwa semua layanan saya dengan satu penyedia?
Ini adalah risiko konsentrasi, bukan dosa. Kenyamanan nyata — satu tagihan, satu login, satu baris dukungan. Tapi trade-off-nya adalah bahwa satu pemadaman atau satu kompromi akun bisa membuat DNS, website, dan email Anda turun bersama, dan membuat Anda tidak bisa bahkan berkomunikasi tentang itu. Banyak bisnis kecil menerima ini secara sadar. Tujuan pemeriksaan ini hanya untuk membuat dependensi terlihat sehingga itu adalah keputusan, bukan kejutan. Peningkatan yang umum dan rendah usaha adalah memindahkan DNS ke penyedia khusus (DNS Cloudflare gratis), sehingga setidaknya direktori domain Anda tidak berbagi nasib dengan hosting.
Kami mendeteksi perangkat lunak server dan versi Anda — mengapa itu penting?
Ketika server Anda mengiklankan persis perangkat lunak apa yang dijalankannya dan versi mana (di header 'Server' atau 'X-Powered-By'), itu memberi penyerang pintasan: mereka bisa mencari kerentanan yang diketahui untuk versi persis itu dan langsung mengincar. Itu tidak membuat Anda tidak aman dengan sendirinya, tapi itu adalah pengungkapan informasi yang tidak perlu — seperti meninggalkan merek dan model kunci Anda di pintu depan. Menekan versi (pengaturan server satu baris, gratis) adalah langkah pengerasan kecil dan bijak. Ini dicakup dalam langkah perbaikan di bawah.
Apakah menempatkan CDN di depan website saya akan merusak apa pun atau memperlambatnya?
Dilakukan dengan benar, itu mempercepat website — itulah seluruh tujuan CDN. Hal utama yang harus tepat selama pengaturan adalah: pastikan HTTPS tetap end-to-end (gunakan mode 'Full (strict)' di Cloudflare, bukan 'Flexible'), dan jangan agresif meng-cache halaman yang perlu bersifat personal atau langsung (dasbor yang sudah login, checkout). Penyedia yang terpercaya default ke pengaturan yang masuk akal. Uji website setelah beralih nameserver, perhatikan selama sehari, dan Anda akan memiliki website yang lebih cepat dan terlindungi tanpa kekurangan.