Cara Mengamankan VPS: 7 Langkah Hardening untuk Pemula
Oleh
Ratna Patria
Cara mengamankan VPS dimulai dengan tujuh tindakan utama: memperbarui perangkat lunak, memperkuat autentikasi, menutup layanan yang tidak digunakan, mengatur firewall, melakukan hardening SSH, menjalankan pemindaian malware, dan menyimpan backup yang sudah diuji.
Ketujuh langkah tersebut menjadi tanggung jawab pengguna pada unmanaged VPS. Pada Managed Cloud VPS DomaiNesia, beberapa alat dan konfigurasi keamanan disiapkan pada tahap awal. Namun, setelah proses setup selesai, pemeliharaan sistem, aplikasi, keamanan, dan backup tetap perlu dikelola oleh pelanggan.
Pembagian tanggung jawab ini penting dipahami sebelum kamu mengikuti langkah teknis apa pun.
Jika VPS kamu baru aktif, pelajari juga beberapa langkah awal setelah membeli Cloud VPS sebelum memasang aplikasi produksi.
Pada shared hosting, pengguna tidak memperoleh kendali penuh atas sistem operasi. Penyedia hosting umumnya mengelola server, kernel, konfigurasi jaringan, serta layanan utama yang digunakan oleh banyak akun.
Kamu biasanya hanya perlu mengelola website, akun, plugin, tema, database, dan file yang berada di dalam akun hosting.
Kondisinya berbeda pada unmanaged VPS. Akses root memungkinkan kamu memasang dan mengubah hampir seluruh komponen server. Kebebasan ini juga membuatmu bertanggung jawab atas:
- update sistem operasi;
- konfigurasi firewall;
- keamanan SSH;
- layanan yang berjalan;
- pemantauan log;
- backup dan restore;
- keamanan aplikasi.
Managed Cloud VPS membantu mengurangi pekerjaan pada tahap penyiapan awal. Namun, istilah “managed” tidak berarti seluruh operasional server akan dikelola tanpa batas oleh penyedia.
Menurut TOS DomaiNesia, bantuan Managed Cloud VPS mencakup instalasi awal CloudLinux OS, cPanel, Imunify360, dan SSL. Setelah setup awal selesai, pengelolaan berikutnya menjadi tanggung jawab pelanggan.
7 Tantangan Keamanan Server yang Perlu Diwaspadai
Web Hosting Trends Report 2026 mengumpulkan jawaban dari 446 penyedia hosting. Laporan tersebut menanyakan tantangan keamanan yang menciptakan overhead operasional atau risiko terbesar bagi bisnis penyedia hosting. Jadi, persentasenya bukan angka kemungkinan sebuah VPS akan diretas.
Berikut tujuh tantangan yang disebutkan dalam laporan tersebut.
1. Perangkat Lunak yang Rentan atau Belum Diperbarui – 53%
Plugin, tema, CMS, library, dan versi runtime yang sudah usang dapat membuka celah keamanan. Masalah ini menjadi lebih berbahaya ketika pengguna menunda update karena khawatir website mengalami error.
2. Infeksi Malware dan Ransomware – 51%
Malware dapat masuk melalui plugin rentan, kredensial yang bocor, file bajakan, atau aplikasi yang tidak diperbarui. Setelah masuk, malware dapat membuat backdoor, mengubah file, mencuri data, atau menggunakan server untuk menyerang sistem lain.
3. Serangan DDoS – 40%
DDoS membanjiri server atau jaringan dengan trafik dalam jumlah besar. Penyerang tidak selalu perlu memperoleh akses ke dalam server untuk membuat website tidak dapat diakses.
4. Trafik Bot yang Menghabiskan Resource – 36%
Bot scraper, pemindai kerentanan, credential stuffing, dan bot berbahaya dapat menghabiskan CPU, RAM, koneksi, serta kapasitas aplikasi.
5. Spam Keluar dari Akun yang Disusupi – 34%
Server yang telah disusupi dapat digunakan untuk mengirim spam. Dampaknya bukan hanya penggunaan resource, tetapi juga risiko IP server masuk blacklist.
6. Serangan Brute-Force – 27%
Brute-force dilakukan dengan mencoba banyak kombinasi kredensial terhadap SSH, cPanel, WordPress, email, dan layanan lain yang memerlukan autentikasi.
7. Eksploitasi Zero-Day – 19%
Zero-day adalah celah yang belum memiliki patch atau belum diketahui secara luas. Risiko ini sulit dihilangkan sepenuhnya, sehingga server membutuhkan perlindungan berlapis dan pemantauan perilaku aplikasi.
7 Langkah Hardening VPS
1. Perbarui Sistem Operasi dan Aplikasi
Update merupakan langkah keamanan paling mendasar. Pastikan kamu memperbarui:
- paket sistem operasi;
- control panel;
- web server;
- database server;
- PHP atau runtime aplikasi;
- WordPress core;
- plugin dan tema;
- library aplikasi.
Pada Ubuntu atau Debian, pemeriksaan update dapat dilakukan dengan:
|
1 2 |
<span class="ͼ10">sudo</span> apt update <span class="ͼ10">sudo</span> apt upgrade |
Pada AlmaLinux atau Rocky Linux, gunakan:
|
1 |
<span class="ͼ10">sudo</span> dnf update |
Untuk server produksi, jangan langsung melakukan update besar tanpa persiapan. Buat backup, baca perubahan versi, dan lakukan pengujian terlebih dahulu jika aplikasi memiliki banyak dependensi.
Managed Cloud VPS DomaiNesia membantu menyiapkan perangkat lunak inti pada tahap awal. Namun, TOS menyatakan update dan penyesuaian setelah setup tetap menjadi tanggung jawab pelanggan, termasuk ketika update sistem operasi menyebabkan aplikasi memerlukan konfigurasi ulang.
2. Gunakan Password Unik dan Aktifkan 2FA
Jangan menggunakan password yang sama untuk akun server, email, WordPress, database, dan control panel.
Gunakan password manager untuk menghasilkan password acak dengan panjang minimal 16 karakter. Hindari informasi yang mudah ditebak, seperti nama bisnis, domain, nomor telepon, atau tanggal lahir.
Aktifkan Two-Factor Authentication pada layanan yang mendukungnya. cPanel menyediakan fitur 2FA apabila fitur tersebut sudah diaktifkan oleh administrator server. WordPress juga dapat menggunakan 2FA melalui plugin keamanan.
Simpan recovery code di tempat yang aman dan terpisah dari perangkat autentikator.
3. Matikan Layanan dan Tutup Port yang Tidak Digunakan
Setiap service yang berjalan dapat menambah permukaan serangan. Lihat port yang sedang digunakan dengan:
|
1 |
<span class="ͼ10">sudo</span> ss <span class="ͼ12">-tulpn</span> |
Kamu juga dapat melihat layanan aktif menggunakan:
|
1 |
<span class="ͼ10">sudo</span> systemctl <span class="ͼ12">--type</span><span class="ͼv">=</span><span class="ͼ10">service</span> <span class="ͼ12">--state</span><span class="ͼv">=</span>running |
Periksa apakah semua layanan tersebut benar-benar dibutuhkan. Contohnya:
- matikan FTP jika seluruh transfer file menggunakan SFTP;
- matikan mail server jika email dikelola oleh layanan eksternal;
- hapus aplikasi pengujian yang tidak lagi digunakan;
- nonaktifkan database remote jika aplikasi hanya mengakses database secara lokal.
Jangan langsung menghentikan service yang belum kamu kenali. Cari tahu fungsinya terlebih dahulu agar website atau panel server tidak ikut berhenti.
4. Konfigurasikan Firewall
Firewall menentukan koneksi mana yang boleh masuk atau keluar dari server. Ubuntu umumnya menggunakan UFW, sedangkan AlmaLinux dan Rocky Linux banyak menggunakan firewalld.
Sebelum mengaktifkan firewall, pastikan port SSH sudah diizinkan. Kesalahan pada tahap ini dapat membuatmu terkunci dari server.
Untuk konfigurasi dasar UFW:
|
1 2 3 4 5 6 |
<span class="ͼ10">sudo</span> ufw default deny incoming <span class="ͼ10">sudo</span> ufw default allow outgoing <span class="ͼ10">sudo</span> ufw allow OpenSSH <span class="ͼ10">sudo</span> ufw allow <span class="ͼy">80</span>/tcp <span class="ͼ10">sudo</span> ufw allow <span class="ͼy">443</span>/tcp <span class="ͼ10">sudo</span> ufw enable |
Daftar port tersebut hanya contoh untuk web server dasar. Server dengan cPanel, DNS, email, database remote, atau aplikasi khusus mungkin membutuhkan port tambahan.
Pelajari terlebih dahulu cara kerja firewall sebelum menerapkan aturan yang lebih ketat.
ConfigServer Security & Firewall atau CSF juga perlu mendapat perhatian. Perusahaan di balik ConfigServer berhenti beroperasi pada Agustus 2025, meskipun script gratisnya direncanakan tetap tersedia dengan lisensi GPL. Pengguna CSF perlu mengevaluasi pemeliharaan dan alternatif yang tersedia, bukan sekadar membiarkannya berjalan tanpa pembaruan.
5. Lakukan Hardening pada Akses SSH
SSH menjadi salah satu titik masuk paling penting karena dapat memberikan akses langsung ke server.
Lakukan langkah berikut secara bertahap.
Gunakan SSH Key
SSH key lebih tahan terhadap tebakan password otomatis. Kamu dapat mengikuti panduan membuat SSH key di Cloud VPS untuk menyiapkannya.
Pastikan SSH key berhasil digunakan sebelum mematikan autentikasi password.
Nonaktifkan Login Root Langsung
Buat user biasa yang memiliki hak sudo, lalu gunakan akun tersebut untuk login. Setelah berhasil, atur konfigurasi SSH agar login root langsung tidak diizinkan.
Matikan Autentikasi Password
Setelah SSH key diuji, ubah konfigurasi:
|
1 2 |
PasswordAuthentication no PermitRootLogin no |
Lakukan pengecekan konfigurasi dan buka satu sesi SSH baru sebelum menutup sesi lama. Cara ini membantu mencegah kamu terkunci akibat kesalahan konfigurasi.
Tambahkan Proteksi Brute-Force
Fail2ban atau proteksi sejenis dapat memblokir alamat IP setelah terlalu banyak percobaan login gagal.
Mengganti port SSH juga dapat mengurangi trafik bot dan noise pada log. Namun, perubahan port bukan pengganti SSH key, firewall, atau autentikasi yang kuat.
6. Gunakan Malware Scanner dan Pantau Hasilnya
Pemindaian malware membantu menemukan file berbahaya yang tidak langsung terlihat. Pilihan alat dapat disesuaikan dengan sistem dan control panel yang digunakan.
Hal yang perlu dijadwalkan antara lain:
- scan file secara berkala;
- scan file yang baru diubah;
- pemeriksaan cron job;
- pemeriksaan akun baru;
- review hasil deteksi;
- prosedur pembersihan dan pemulihan.
Jangan mengandalkan scanner sebagai satu-satunya perlindungan. Scanner mungkin menemukan file berbahaya, tetapi kamu tetap perlu menutup celah awal yang digunakan penyerang.
Pada Managed Cloud VPS DomaiNesia, Imunify360 dipasang saat setup awal. Imunify360 menyediakan sejumlah kemampuan seperti firewall, proteksi brute-force, pemindaian malware, Proactive Defense, dan pemindaian database untuk CMS tertentu. Pengguna tetap perlu memastikan konfigurasi, lisensi, jadwal, notifikasi, dan hasil pemindaiannya dipantau.
Untuk memahami antarmuka dan hasil deteksinya, pelajari panduan Imunify360 di hosting.
7. Simpan Backup Terpisah dan Uji Restore
Backup belum dapat dianggap berhasil sebelum proses restore diuji.
Gunakan prinsip 3-2-1:
- simpan setidaknya tiga salinan data;
- gunakan dua jenis media atau lokasi penyimpanan;
- simpan satu salinan di luar server utama.
Jangan menyimpan satu-satunya backup di dalam VPS yang sama. Jika server mengalami kerusakan, ransomware, kesalahan administrasi, atau akun root diambil alih, backup tersebut dapat ikut hilang.
Lakukan simulasi restore secara berkala. Pastikan:
- file website dapat dipulihkan;
- database tidak rusak;
- konfigurasi aplikasi tersedia;
- permission file benar;
- website dapat diakses setelah restore.
Kamu dapat mempelajari langkah dasar backup Cloud VPS sebagai bagian dari rencana pemulihan.
Replikasi data pada infrastruktur Cloud VPS membantu menjaga ketersediaan ketika terjadi kegagalan storage atau node. Namun, replikasi menyalin kondisi data saat ini, termasuk kesalahan penghapusan atau file yang sudah terinfeksi. Karena itu, replikasi tidak boleh digunakan sebagai pengganti backup historis.
Untuk Managed Cloud VPS, TOS menyebut backup disiapkan saat setup awal dan disimpan pada VPS yang sama. Pengelolaan serta pemeliharaan backup setelah itu menjadi tanggung jawab pelanggan.
Jika kamu ingin memulai VPS dengan CloudLinux OS, cPanel, Imunify360, dan SSL yang sudah dikonfigurasi pada tahap awal, Managed Cloud VPS DomaiNesia dapat membantu mengurangi pekerjaan setup server. Setelah setup selesai, kamu tetap perlu menjalankan update, monitoring, dan backup secara rutin.
Peran Imunify360 dan CloudLinux pada Managed Cloud VPS
Managed Cloud VPS DomaiNesia menggunakan CloudLinux OS, cPanel, dan Imunify360 sebagai bagian dari stack awal.
Ketiganya membantu mempermudah pengelolaan dan menyediakan lapisan perlindungan tambahan. Namun, alat tersebut tidak membuat server otomatis kebal dari serangan.
Imunify360
Imunify360 dapat menyediakan:
- network firewall dan threat intelligence;
- web application firewall;
- proteksi brute-force;
- pemindaian dan pembersihan malware;
- database malware scanner untuk CMS yang didukung;
- Proactive Defense untuk mendeteksi perilaku PHP mencurigakan;
- patch kernel tanpa reboot melalui komponen yang didukung.
Jaringan threat intelligence Imunify menggunakan data dari lebih dari 57 juta domain untuk mengenali sumber serangan yang sudah diketahui.
Kemampuan yang tersedia tetap bergantung pada konfigurasi, lisensi, versi, dan fitur yang diaktifkan.
CloudLinux
CloudLinux membantu meningkatkan isolasi dan stabilitas lingkungan hosting melalui beberapa komponen:
- LVE membatasi penggunaan resource per akun.
- CageFS mengisolasi file dan lingkungan setiap user.
- HardenedPHP menyediakan patch untuk versi PHP lama yang masih tercakup dukungannya.
CageFS membantu mencegah pengguna melihat file milik akun lain, sedangkan HardenedPHP membantu mengurangi risiko pada versi PHP lama.
Meski demikian, CloudLinux tidak menggantikan update plugin, pengamanan password, backup, dan audit aplikasi.
Batasan Managed Cloud VPS DomaiNesia
Berdasarkan TOS, berikut cakupan yang perlu dipahami.
Dibantu saat setup awal:
- instalasi CloudLinux OS;
- instalasi cPanel;
- instalasi Imunify360;
- konfigurasi SSL;
- penyiapan backup awal pada VPS yang sama;
- setup keamanan awal;
- konfigurasi Cloudflare jika diminta.
Menjadi tanggung jawab pelanggan setelah setup:
- update dan pemeliharaan aplikasi;
- penyesuaian setelah update sistem;
- monitoring server;
- konfigurasi keamanan lanjutan;
- pengelolaan backup;
- restore data;
- perbaikan aplikasi;
- perangkat lunak tambahan.
DomaiNesia tetap memonitor DDoS pada tingkat jaringan dan dapat menerapkan null route apabila serangan berpotensi mengganggu stabilitas layanan.
Dengan memahami batasan tersebut, kamu dapat menilai apakah masih membutuhkan administrator server internal atau layanan pengelolaan tambahan.
Lihat Paket Managed Cloud VPS DomaiNesia
Cara Mengetahui VPS Diduga Sudah Disusupi
Server yang disusupi tidak selalu menampilkan halaman peringatan. Perhatikan perubahan berikut.
1. Trafik Keluar Tidak Wajar
Lonjakan trafik outbound dapat menunjukkan pengiriman spam, aktivitas botnet, pengunduhan data, atau komunikasi dengan command-and-control server.
2. Cron Job atau Systemd Timer Asing
Penyerang dapat menggunakan cron job atau timer agar malware kembali berjalan setelah dihentikan.
Periksa dengan:
|
1 2 |
<span class="ͼ10">sudo</span> crontab <span class="ͼ12">-l</span> <span class="ͼ10">sudo</span> systemctl list-timers |
3. Muncul Akun Baru
Periksa user Linux, akun cPanel, administrator CMS, dan SSH key yang terdaftar. Akun atau key yang tidak dikenali perlu segera diinvestigasi.
4. Perubahan File yang Tidak Direncanakan
File PHP baru, perubahan .htaccess, file dengan nama acak, atau modifikasi pada plugin yang tidak sedang diperbarui dapat menjadi tanda kompromi.
5. Penggunaan CPU atau RAM Meningkat
Crypto miner dan bot dapat menggunakan resource secara diam-diam. Bandingkan penggunaan resource dengan trafik dan aktivitas aplikasi.
6. IP Server Masuk Blacklist
Masalah pengiriman email dapat terjadi ketika server digunakan untuk mengirim spam tanpa sepengetahuan pemilik.
Satu indikator belum tentu membuktikan server diretas. Namun, anomali yang tidak dapat dijelaskan harus diperlakukan sebagai dugaan insiden sampai investigasi selesai.
Apa yang Harus Dilakukan Jika VPS Disusupi?
Jangan hanya menghapus file malware lalu menganggap masalah selesai. Backdoor atau celah awalnya mungkin masih ada.
Lakukan langkah berikut:
- Isolasi server atau batasi akses jaringan.
- Simpan log dan bukti sebelum melakukan pembersihan besar.
- Ganti password dan key dari perangkat yang bersih.
- Identifikasi celah awal, misalnya plugin rentan atau kredensial bocor.
- Periksa akun, cron job, service, dan SSH key.
- Lakukan rebuild dari image bersih atau restore backup yang sudah diverifikasi.
- Terapkan patch sebelum server kembali dibuka.
- Pantau log, resource, dan trafik setelah pemulihan.
Untuk insiden serius atau server yang menyimpan data sensitif, pertimbangkan bantuan administrator sistem atau spesialis respons insiden.
Kesimpulan
Keamanan VPS tidak dapat bergantung pada satu plugin atau satu firewall. Perlindungan yang efektif berasal dari kombinasi update, autentikasi kuat, pembatasan layanan, firewall, hardening SSH, pemindaian malware, serta backup terpisah.
Unmanaged VPS memberikan kontrol penuh, tetapi seluruh pengelolaannya berada di tangan pengguna. Managed Cloud VPS DomaiNesia dapat mengurangi beban konfigurasi awal karena CloudLinux OS, cPanel, Imunify360, dan SSL sudah disiapkan. Pengelolaan setelah setup tetap perlu dimasukkan ke dalam rutinitas operasional.
Bila kamu ingin memulai VPS dengan stack keamanan dan panel yang sudah dikonfigurasi pada tahap awal, pertimbangkan Managed Cloud VPS DomaiNesia. Setelah server aktif, tetap siapkan jadwal update, monitoring, dan backup agar perlindungannya terus berjalan.
Ratna Patria
Hi! Ratna is my name. I have been actively writing about light and fun things since college. I am an introverted, inquiring person, who loves reading. How about you?
