sebelumnya seorang admin harus tau, CMS apa yang di gunakan website yang dia pegang (Goblok klo gak tau), apakah CMS yang anda gunakan itu opensource atau Premium ato mungkin saja CMS buatan sendiri, setelah mengetahui semua itu, sudah pasti seorang admin bisa melakukan modification pada website nya, misal menggunakan Component External, ataupun edit Source. tapi sebelum melakukan semua itu, seorang Admin wajib melakukan uji coba pada component yang dia masukkan, apakah punya bugs atau tidak, jika ya, sebaiknya patch atau jangan gunakan component tersebut.
selain itu, admin juga wajib mengerti tentang serangan dari attacker (banyak admin yang makan gaji buta) bagaimana seorang Hacker melakukan Injection Script, bagaimana seorang Hacker menemukan tbl_user melalui Bugs kecil tersebut, jangankan SQL yang error, Bug XSS pun jangan di anggap remeh, Hacker bisa melakukan Brute
Force pada bugs XSS, jika admin tidak tau cara melakukan Patch, sebaiknya Disable saja kolom "cari" / "Search" jika XSS di temukan di website nya.
dan jika website anda menggunakan Wordpress v.3.x bugs nya biasanya di sini : www.siteanda.com/wp-includes/wp-db.php
cara mengatasinya bisa anda melakukan trick ini pada file yang error tersebut dengan tambahan perintah :
buka direktory root WordPress, dan edit wp-db.php pada line pertama setelah < ?php tambahkan string berikut:
error_reporting(0);
atau dengan perintah ini :
caranya sama, dengan Perintah yang berbeda.if (strstr($_SERVER['PHP_SELF'], "wp-db.php")) die("your text...");
atau bisa melakuan redirect pada halaman utama jika page tersebut di buka oleh attacker dengan perintah :
if (strstr($_SERVER['PHP_SELF'], "wp-db.php")) header("Location: ../",TRUE);di letakkan pada line pertama setelah
atau mungkin anda menggunakan .htacces, terserah dari kreativitas anda bagaimana melindungi sebuah Bugs.
sekarang inti dari sebuah serangan adalah, mencari user dan password Admin, bukan tidak mungkin seorang Hacker bisa menemukan itu dengan cara mereka, jadi kunci utama kita, kita bisa melakukan proteksi pada halaman login kita, bisa dengan menggunakan .htacces untuk mengijinkan IP kita saja yang bisa mengakses page tersebut, jadi, jika bukan IP yang di Izinkan, akan tampil halaman error.
jika anda menggunakan CMS jommla bisa dengan perintah seperti ini :
maupun bisa juga menggabungkan .htacces dan .htpasswd dengan perintah seperti ini :order deny,allow deny from all allow from 888.888.888.888
AuthUserFile /path/to/.htpasswd <<< lokasi File htpsswd
AuthGroupFile /dev/null
AuthName "Joomla Administrator Area"
require valid-user
buat file .htpsswd dengan isi seperti ini :
admin:$apr1$Nlz1mzEz$DVsvh6MsdEtz3PKcCyVGt1
itu artinya
username : admin
password : presidenganteng
setelah semuanya telah selesai di buat dan di letakkan pada tempatnya maka setiap anda masuk ke page administrator maka ada muncul jendela autentikasi dengan user dan password di atas.
sekarang halaman Admin anda sudah double double protection, dan Attacker pasti akan sangat kesulitan besar.
tapi jangan besar kepala dulu, kemungkinan Bugs pada webserver anda masih ada, misal /phpmyadmin terbuka lebar, Hacker tinggal masukkan perintah membuat page upload pada root anda dengan perintah HEX
pada SQL Query anda, dan Backdoor sangat mudah di masukkan pada Directory Root anda.
untuk sementara, hanya itu dulu yang saya sampaikan, silahkan anda kembangkan dengan Kreativitasan anda sendiri. dan Seorang admin harus ingat,
Silahkan Tinggalkan Pesan
{ 4 komentar... read them below or add one }
ribet ada yang lebih simple ga???
Ada... Silahkan Matikan Web Server, trus pergi tidur.. hehehheeee...
gak ada System Yang Perfect, jadi jangan ada yang berharap Aman 100% mas.
permisi mas, kalau untuk proteksi browser chrome dari situs porno gimana caranya ya? saya udah ulik di setting chrome 'ubah proksi' tapi masih ga jalan euy :/
Setting di file host anda...
c:\windows\system32\etc\host
masukkan alamat yang anda ingin blokir dan redirect ke halaman lain...
Posting Komentar