GinkDigital

Kenapa Shared Hosting Berbahaya untuk Multiple Website

Kisah nyata: satu tetangga kena hack, semua website Anda ikut lenyap

Kategori
Edukasi Infrastruktur
Dampak
18 website kena
Kerugian
~37 MB malware

🏢 Shared hosting itu seperti apartemen. Pintu apartemen Anda mungkin aman, tapi kalau tetangga lupa kunci — maling bisa masuk lewat balkon, lewat ventilasi, lewat mana saja. Dan begitu masuk, semua unit jadi sasaran.

Inilah yang terjadi pada klien kami baru-baru ini. Satu akun hosting berisi 18 website — portal pendidikan, LMS, toko online, website yayasan, semuanya dalam satu akun shared hosting.

Salah satu website WordPress di dalamnya memiliki plugin pihak ketiga yang vulnerable. Hacker mengeksploitasi celah itu, masuk ke akun hosting, dan dalam hitungan detik — semua 18 website terinfeksi webshell.

⚠️ Satu celah → 18 website kena. Bukan 1, tapi 18. Dan pemiliknya tidak sadar sampai salah satu kliennya melapor.

Mengapa Ini Bisa Terjadi?

Shared hosting bekerja dengan prinsip berbagi sumber daya — satu server fisik dipakai puluhan bahkan ratusan akun. Untuk efisiensi, semua akun berjalan di bawah satu user sistem yang sama.

Artinya: jika hacker berhasil mengeksekusi kode PHP di satu website, ia bisa membaca dan menulis file di SEMUA website dalam akun yang sama. Tidak ada isolasi.

Perbandingan: Shared vs VPS vs Cloud

AspekShared HostingVPSCloud (PAAS)
Isolasi ❌ Tidak ada ✅ Virtual (container) ✅ Penuh (per aplikasi)
Harga Rp 10-50 rb/bulan Rp 100-300 rb/bulan Rp 200 rb - 2 jt/bulan
Multiple site aman? ❌ Tidak ✅ Ya (dengan isolasi) ✅ Ya
Kinerja 🟡 Sedang 🟢 Tinggi 🟢 Tinggi
Butuh teknis? 🟢 Rendah 🟡 Sedang 🟡 Sedang

Studi Kasus: 24 Webshell dalam Satu Akun

Dalam penanganan yang kami lakukan, berikut skala sebenarnya dari serangan yang dimulai dari satu plugin vulnerable:

🔍 Fakta Penting

Hacker tidak membedakan website penting vs tidak penting. Bot otomatis menginfeksi semua direktori yang bisa dieksekusi PHP, tanpa pandang bulu. Website yayasan yang "tidak penting" pun jadi sasaran dan bisa menjadi pintu masuk ke website bisnis Anda yang lebih kritis.

Apa yang Harus Dilakukan?

Jika Anda masih di shared hosting:

  1. Pisahkan website kritis — Website bisnis utama pindahkan ke VPS atau cloud yang terisolasi
  2. Audit plugin — Hapus plugin yang tidak dipakai. Update semua plugin ke versi terbaru
  3. Batasi akses — Jangan gunakan 1 akun cPanel untuk semua website
  4. Security plugin — Install Wordfence atau iThemes Security di setiap website WordPress

Jika Anda ingin migrasi:

  1. Cloud VPS (DigitalOcean, Vultr, Linode) — Mulai dari ~$6/bulan, kontrol penuh, isolasi antar website via Docker/Virtualmin
  2. Cloudflare Pages + Workers — Gratis untuk website statis. Sangat aman karena tidak ada server tradisional
  3. Managed WordPress (WP Engine, CloudWays) — Lebih mahal tapi keamanan terkelola
💰 Perhitungan Sederhana

Shared hosting 18 website: ~Rp 200.000/bulan
Risiko: 18 website kena hack → biaya recovery + kerusakan reputasi → juta-an

Cloud VPS untuk 18 website: ~Rp 300.000/bulan
Dengan isolasi yang benar, satu website kena tidak mempengaruhi yang lain.

Selisih Rp 100.000/bulan — sebanding dengan ketenangan pikiran.

Kesimpulan

Shared hosting bukanlah pilihan yang salah — untuk satu website sederhana, ini masih masuk akal. Tapi jika Anda menjalankan multiple website dengan nilai bisnis, risiko shared hosting jauh lebih besar daripada penghematan biayanya.

Satu plugin vulnerable + shared hosting tanpa isolasi = bom waktu untuk SEMUA website Anda.

Punya banyak website di satu hosting? Khawatir dengan keamanannya?

Kami bantu audit infrastruktur dan rekomendasi solusi yang sesuai — dari shared ke cloud.

Lihat case study selengkapnya →

📖 Satu Plugin Bobolkan 18 Website — kisah populer versi singkatnya
🛠️ Cara Membersihkan Webshell — panduan langkah demi langkah