Dalam hal ini kami menulis tentang keamanan website, khususnya yang menggunakan WordPress, karena ada begitu banyak perusahaan ataupun blog personal yang memilih menggunakan WordPress sebagai CMS mereka. Hal pertama yang harus kita ingat, tidak ada perangkat lunak atau software yang 100% aman, semuanya pasti memiliki celah, dan para peretas keamanan pun tidak akan berhenti mencari celah tersebut, apapun tujuan mereka.
Ada begitu banyak website designer yang tidak begitu memperdulikan persoalan security, yang penting pekerjaan mereka selesai itu sudah cukup baik. Dan hasilnya, website yang mereka desain dan mereka kembangkan bisa dengan mudah dilumpuhkan oleh para peretas (hackers). Yah, selama 5 tahun design studio ini berdiri, kami mendapatkan begitu banyak pelajaran berharga, dan berikut ini adalah sebagian kecil yang bisa kami bagikan:
- Periksa permission pada setiap file ataupun directory pada hosting kita, pastikan tidak ada permission 777, dan gantilah dengan permission 755 untuk directories, dan 644 untuk files.
- Periksa apakah ada sejumlah fatal error pada setiap file WordPress dan Theme yang kita gunakan. Dan apabila ada, segera sembunyikan atau tutup fatal error tersebut. Fatal error bisa menyebabkan para hacker bisa mengetahui username akun hosting yang kita gunakan, setidaknya itu bisa mempermudah proses yang mereka lakukan untuk melumpuhkan website kita.
- Gunakan password yang tidak mudah ditebak dan gantilah password tersebut paling tidak setiap satu bulan sekali, misalnya dJBAndNZ605oAJnI7Xa0ipE16XwDjMtQyx98CRtKqMZ. Percayalah, jangan pernah meremehkan persoalan password.
- Stop menggunakan wordpress plugin bajakan, atau bahkan wordpress theme versi bajakan, karena tidak ada “sesuatu yang gratis” tanpa tujuan tertentu. Baca: Encrypted Code Found.
- Kurangi ketergantungan pada free WordPress theme ataupun free WordPress plugin, dan setidaknya gunakan theme atau plugin yang sudah direkomendasikan oleh WordPress, karena sudah pasti melewati proses quality control oleh mereka.
- Hapus plugin dan theme yang tidak kita gunakan, atau yang dalam kondisi inactive.
- Dan ikuti terus perkembangan terbaru dari WordPress, khususnya persoalan bugs.
Percayalah, terkadang persoalan yang kita anggap sepele atau remeh, bisa menimbulkan kesalahan fatal. Dalam setiap hari, hampir bisa dipastikan selalu ada website-website yang dilumpuhkan oleh para perentas, dan jumlahnya tidak hanya 10 hingga 50 website, melainkan bisa mencapai ratusan ribu atau bahkan jauh lebih banyak lagi, yaitu jutaan. Mungkin anda masih bertanya-tanya, tentang apa sebenarnya tujuan mereka (hacker), dan berikut adalah adalah kemungkinan terbesar dari tujuan mereka:
- Sekedar ujicoba, karena mereka masih dalam tahapan belajar atau mempelajari metode baru.
- Sekedar showoff mengenai keberadaan mereka, eksistensi komunitas mereka.
- Mencuri dan mengumpulkan data (username, password, dll) para pengguna suatu forum, toko online, dsb, untuk tujuan yang lebih buruk lagi.
- Menghancurkan reputasi kita, yang bisa jadi disebabkan dendam atau bahkan pesanan kompetitor.
sistem keamanan website
1. Ganti password CPanel dengan menggunakan
password yang rumit, seperti
gabungan huruf, angka dan tanda baca yang lain. contoh
yang saya gunakan seperti ini (&^tY7^5><#@!)
2. file permission wp config / configuration dirubah
3. database name diganti, jangan pake yg default dr wp.
4. bagi yang webnya kena deface (berubah tampilan 100%)
jadi template yang dipake harus diganti, kemudian file index.php dirubah
dan disamakan pada yang aslinya. ganti template.
5. yang ga bisa login ke wp admin / administrator
berarti username dan passwordnya dirubah oleh hacker,
atau script file tersebut dirubah sama hacker / defacer,
maka rubah kembali username dan password
pada phpmyadmin yang ada di cpanel
6. yang dibagian titlenya / dibagian halaman login
ketambahan huruf -huruf aneh gitu
yang byasanya ditambahkan oleh si hacker / defacer,
jadi langsung tinggal diganti aja titlenya pada settingan general.
password yang rumit, seperti
gabungan huruf, angka dan tanda baca yang lain. contoh
yang saya gunakan seperti ini (&^tY7^5><#@!)
2. file permission wp config / configuration dirubah
3. database name diganti, jangan pake yg default dr wp.
4. bagi yang webnya kena deface (berubah tampilan 100%)
jadi template yang dipake harus diganti, kemudian file index.php dirubah
dan disamakan pada yang aslinya. ganti template.
5. yang ga bisa login ke wp admin / administrator
berarti username dan passwordnya dirubah oleh hacker,
atau script file tersebut dirubah sama hacker / defacer,
maka rubah kembali username dan password
pada phpmyadmin yang ada di cpanel
6. yang dibagian titlenya / dibagian halaman login
ketambahan huruf -huruf aneh gitu
yang byasanya ditambahkan oleh si hacker / defacer,
jadi langsung tinggal diganti aja titlenya pada settingan general.
artikel_artikel keamanan website
Advanced .htaccess Security untuk Keamanan Website
File .htaccess adalah file teks ASCII sederhana yang terletak di direktori www atau di sebuah sub direktori folder www. Anda bisa membuat atau mengedit file ini di Text Editor (Notepad) dan kemudian meng-uploadnya ke direktori yang ingin anda ubah setting-nya. Pastikan bahwa file tersebut diupload dalam format ASCII bukan BINARY, dan pastikan file permission untuk file tersebut telah diset menjadi 644 (rw-r-r–). Hal tersebut memungkinkan server untuk mengakses file tapi mencegah user untuk mengakses file tersebut dari browser mereka.
Itulah sedikit penjelasan tentang .htaccess dan pada thread konyol kali ini ane ga akan banyak menjelaskan tentang apa dan bagaimana itu file .htaccess, tp beberapa kegunaan file ini yang akan bermanfaat untuk kita semua.
Untuk Security. Okeh langsung ke TKP aja yak...
1. Mencegah Akses Ke .htaccess
Tambahkan baris berikut untuk menambah keamanan dari file .htaccess sehingga apabila ada usaha untuk mengakses file tersebut akan muncul pesan kesalahan 403. Tentu saja tidak lupa memberi-kan file permissionnya menjadi 644.
2. Mencegah Akses Ke File Tertentu
Untuk membatasi akses ke file tertentu kita dapat menggunakan perintah berikut.Ganti nama rahasia.txt menjadi sesuai dengan kebutuhan anda.Nantinya file tersebut akan disembunyikan dan apa-bila terdapat usaha untuk mengakses file tersebut akan terjadi error 403.
3. Mencegah Akses Ke Banyak File
Kita bisa mengganti beberapa extension dibawah sesuai dengan yang kita butuhkan.
4. Mencegah User Melakukan Browsing Pada Setiap Direktori Server Kita
5. Mengubah Index File
Secara default apabila kita membuat beberapa file dan salah satunya terdapat index file, maka file tersebutlah yang akan dijalankan terlebih dahulu. Dengan menggunakan .htaccess kita dapat merubah-nya menjadi nama file yang kita inginkan.
6. Menyamarkan Extension PHP
Ini sangat berguna untuk menambahkan keamanan pada aplikasi PHP yang anda buat. anda bisa mengganti extension php pada aplikasi anda dengan extension yang telah anda daftarkan, Mungkin "LOL", "h#cking", dll. Nah dengan kode berikut, file tersebut akan tetap dibaca sebagai file PHP. Sedikit catatan, biasanya saya mencari file httpd.conf dan menambahkan extensionnya disitu, akan tetapi inilah kelebihan .htaccess. Kita tidak perlu merubah settingan asli pada Apache.
7. Membatasi Akses Ke LAN (Local Area Network)
8. Mencegah Hotlinking
Hotlinking merupakan pencurian bandwidth melalui penggunaan sebuah image yang akan dipasang pada suatu halaman pada website lain, sehingga bandwidth dari website asal akan tersedot bila image yang dipasang pada website lain itu dibuka. Atau secara simple bisa diterjemahkan, ada orang lain yang mengkopi link image dari website kita dan menempatkannya pada website miliknya. Memang tidak terlalu banyak memakan bandwith akan tetapi hal ini cukup mengganggu dan mungkin kita bisa memberi sedikit pelajaran kepada si Pelaku. Kita akan melakukan beberapa praktek ringan.
Maka ketika seseorang melakukannya lagi maka dia tidak akan mendapatkan hasil apa-apa.
9. Memberikan Password Pada File
10. Otomatis Memberikan CHMOD Kepada Setiap File
11. Melindungi Dari Serangan DOS ( Denial Of Service ) Dengan Membatasi Upload File
Ini adalah salah satu metode sederhana yang bisa kita gunakan untuk mencegah serangan DOS. Disini kita membatasi ukuran upload sebesar 10240000 byte yang setara dengan 10 mb.
12. Mengamankan Direktori Dari Pengeksekusian Script Atau File
Itulah sedikit penjelasan tentang .htaccess dan pada thread konyol kali ini ane ga akan banyak menjelaskan tentang apa dan bagaimana itu file .htaccess, tp beberapa kegunaan file ini yang akan bermanfaat untuk kita semua.
Untuk Security. Okeh langsung ke TKP aja yak...
1. Mencegah Akses Ke .htaccess
Tambahkan baris berikut untuk menambah keamanan dari file .htaccess sehingga apabila ada usaha untuk mengakses file tersebut akan muncul pesan kesalahan 403. Tentu saja tidak lupa memberi-kan file permissionnya menjadi 644.
Code:
<Files .htaccess>
order allow,deny
deny from all
</Files>2. Mencegah Akses Ke File Tertentu
Untuk membatasi akses ke file tertentu kita dapat menggunakan perintah berikut.Ganti nama rahasia.txt menjadi sesuai dengan kebutuhan anda.Nantinya file tersebut akan disembunyikan dan apa-bila terdapat usaha untuk mengakses file tersebut akan terjadi error 403.
Code:
<files rahasia.txt>
order allow,deny
deny from all
</files>3. Mencegah Akses Ke Banyak File
Kita bisa mengganti beberapa extension dibawah sesuai dengan yang kita butuhkan.
Code:
<FilesMatch "\.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
Order Allow,Deny
Deny from all
</FilesMatch>4. Mencegah User Melakukan Browsing Pada Setiap Direktori Server Kita
Code:
Options All -Indexes
4.1. Mengijinkan User Melakukan Browsing
Jika mengijinkan user untuk melakukan browsing pada “direktori yang telah kita tentukan” cukup menambahkan perintah seperti dibawah ini.(Cukup tempatkan file .htaccess pada folder yang diinginkan)
Options All +Indexes
4.2. Mencegah User Melakukan Browsing Tanpa Pesan Error 403
IndexIgnore *
4.3. Mencegah User Melakukan Browsing Dengan Membatasi Extension File.
IndexIgnore *.wmv *.mp4 *.avi *.etc5. Mengubah Index File
Secara default apabila kita membuat beberapa file dan salah satunya terdapat index file, maka file tersebutlah yang akan dijalankan terlebih dahulu. Dengan menggunakan .htaccess kita dapat merubah-nya menjadi nama file yang kita inginkan.
Code:
DirectoryIndex penggantiindex.php6. Menyamarkan Extension PHP
Ini sangat berguna untuk menambahkan keamanan pada aplikasi PHP yang anda buat. anda bisa mengganti extension php pada aplikasi anda dengan extension yang telah anda daftarkan, Mungkin "LOL", "h#cking", dll. Nah dengan kode berikut, file tersebut akan tetap dibaca sebagai file PHP. Sedikit catatan, biasanya saya mencari file httpd.conf dan menambahkan extensionnya disitu, akan tetapi inilah kelebihan .htaccess. Kita tidak perlu merubah settingan asli pada Apache.
Code:
AddType application/x-httpd-php .hacking7. Membatasi Akses Ke LAN (Local Area Network)
Code:
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 192.168.1.5
</Limit>
7.1. Bisa Menambahkan Domain
<Limit GET POST PUT>
order allow,deny
allow from all
deny from 192.168.1.5
deny from .*domain\.com.*
</Limit>8. Mencegah Hotlinking
Hotlinking merupakan pencurian bandwidth melalui penggunaan sebuah image yang akan dipasang pada suatu halaman pada website lain, sehingga bandwidth dari website asal akan tersedot bila image yang dipasang pada website lain itu dibuka. Atau secara simple bisa diterjemahkan, ada orang lain yang mengkopi link image dari website kita dan menempatkannya pada website miliknya. Memang tidak terlalu banyak memakan bandwith akan tetapi hal ini cukup mengganggu dan mungkin kita bisa memberi sedikit pelajaran kepada si Pelaku. Kita akan melakukan beberapa praktek ringan.
Code:
a. Ketik kode berikut dan simpan dengan nama gambar.php
<?php
$pic = strip_tags( $_GET['pic'] );
if ( ! $pic ) {
die("Gambar Tidak Ditemukan");
}
?>
<html>
<head>
<title><?php echo($pic); ?></title>
</head>
<body>
<p>
<img src="/<?php echo($pic); ?>" alt="Test Hotlinking">
</p>
</body>
</html>
b. Siapkan gambar dengan nama terserah.jpg
c. Upload kedua file tersebut ke server hosting ente.
d. Buka browser dan ketik URL sebagai berikut
hxxp://websiteente.com/gambar.php?pic=terserah.jpg
maka hasil yg didapat sebagai berikut:
[Image: hotlink.png]
Bila hanya seperti ini orang lain bisa saja melakukan Copy Image URL untuk menampilkannya di website miliknya dg kode begini:
hxxp://websiteente.com/terserah.jpg
Nah untuk mencegah hal itu terjadi maka kita harus menyiapkan file .htaccess yang berisi baris-baris seperti ini:
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} .*jpg$|.*gif$|.*png$ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !websitekamu\.com [NC]
RewriteCond %{HTTP_REFERER} !websiteteman\.com [NC]
RewriteCond %{HTTP_REFERER} !google\. [NC]
RewriteCond %{HTTP_REFERER} !search\?q=cache [NC]
RewriteRule (.*) /gambar.php?pic=$1Maka ketika seseorang melakukannya lagi maka dia tidak akan mendapatkan hasil apa-apa.
9. Memberikan Password Pada File
Code:
<Files rahasia.php>
AuthType Basic
AuthName "Prompt"
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>
9.1. Memberikan Password Pada Banyak File
<FilesMatch "^(execute|index|secure|insanity|biscuit)*$">
AuthType basic
AuthName "Development"
AuthUserFile /home/path/.htpasswd
Require valid-user
</FilesMatch>
9.2. Memberikan Password Pada Direktori Dimana .htaccess Berada
resides
AuthType basic
AuthName "This directory is protected"
AuthUserFile /home/path/.htpasswd
AuthGroupFile /dev/null
Require valid-user10. Otomatis Memberikan CHMOD Kepada Setiap File
Code:
chmod .htpasswd files 640
chmod .htaccess files 644
chmod php files 60011. Melindungi Dari Serangan DOS ( Denial Of Service ) Dengan Membatasi Upload File
Ini adalah salah satu metode sederhana yang bisa kita gunakan untuk mencegah serangan DOS. Disini kita membatasi ukuran upload sebesar 10240000 byte yang setara dengan 10 mb.
Code:
LimitRequestBody 1024000012. Mengamankan Direktori Dari Pengeksekusian Script Atau File
Code:
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI
Tidak ada komentar:
Posting Komentar