Twitter

Melindungi Website dari Hacker

Diposting oleh Touya Blog on

Maros-  berhubung terlalu banyaknya tulisan yang membicarakan tentang trick pembobolan, Hacking, masa sekarang tentang Security, mohon maaf bagi pembaca yang jauh lebih paham dan mengetahui, saya menuliskan artikel ini bukan berarti saya seorang pakar ataupun ahli dalam bidang Security, tapi karena saya baru mulai belajar dan memikirkan sebuah kesimpulan yang kurasa cukup penting di pikirkan oleh admin website (sesama admin) biar websitenya aman dari serangan Defacer, Cracker, Script kiddie, atau apapun namanya. pokoknya melakukan Hacking pada website kita.


sebelumnya seorang admin harus tau, CMS apa yang di gunakan website yang dia pegang (Goblok klo gak tau), apakah CMS yang anda gunakan itu opensource atau Premium ato mungkin saja CMS buatan sendiri, setelah mengetahui semua itu, sudah pasti seorang admin bisa melakukan modification pada website nya, misal menggunakan Component External, ataupun edit Source. tapi sebelum melakukan semua itu, seorang Admin wajib melakukan uji coba pada component yang dia masukkan, apakah punya bugs atau tidak, jika ya, sebaiknya patch atau jangan gunakan component tersebut.
selain itu, admin juga wajib mengerti tentang serangan dari attacker (banyak admin yang makan gaji buta) bagaimana seorang Hacker melakukan Injection Script, bagaimana seorang Hacker menemukan tbl_user melalui Bugs kecil tersebut, jangankan SQL yang error, Bug XSS pun jangan di anggap remeh, Hacker bisa melakukan Brute
Force pada bugs XSS, jika admin tidak tau cara melakukan Patch, sebaiknya Disable saja kolom "cari" / "Search" jika XSS di temukan di website nya.
dan jika website anda menggunakan Wordpress v.3.x bugs nya biasanya di sini : www.siteanda.com/wp-includes/wp-db.php

cara mengatasinya bisa anda melakukan trick ini pada file yang error tersebut dengan tambahan perintah : 
buka direktory root WordPress, dan edit wp-db.php pada line pertama setelah < ?php tambahkan string berikut:
error_reporting(0);
atau dengan perintah ini :
if (strstr($_SERVER['PHP_SELF'], "wp-db.php")) die("your text...");
caranya sama, dengan Perintah yang berbeda.
atau bisa melakuan redirect pada halaman utama jika page tersebut di buka oleh attacker dengan perintah :
if (strstr($_SERVER['PHP_SELF'], "wp-db.php")) header("Location: ../",TRUE);

di letakkan pada line pertama setelah
atau mungkin anda menggunakan .htacces, terserah dari kreativitas anda bagaimana melindungi sebuah Bugs.

sekarang inti dari sebuah serangan adalah, mencari user dan password Admin, bukan tidak mungkin seorang Hacker bisa menemukan itu dengan cara mereka, jadi kunci utama kita, kita bisa melakukan proteksi pada halaman login kita, bisa dengan menggunakan .htacces untuk mengijinkan IP kita saja yang bisa mengakses page tersebut, jadi, jika bukan IP yang di Izinkan, akan tampil halaman error.
jika anda menggunakan CMS jommla bisa dengan perintah seperti ini :

order deny,allow
deny from all
allow from 888.888.888.888
maupun bisa juga menggabungkan .htacces dan .htpasswd dengan perintah seperti ini :

AuthUserFile /path/to/.htpasswd    <<< lokasi File htpsswd
AuthGroupFile /dev/null
AuthName "Joomla Administrator Area"

require valid-user

buat file .htpsswd dengan isi seperti ini :
admin:$apr1$Nlz1mzEz$DVsvh6MsdEtz3PKcCyVGt1
itu artinya
username : admin
password : presidenganteng

setelah semuanya telah selesai di buat dan di letakkan pada tempatnya maka setiap anda masuk ke page administrator maka ada muncul jendela autentikasi dengan user dan password di atas.
sekarang halaman Admin anda sudah double double protection, dan Attacker pasti akan sangat kesulitan besar.

tapi jangan besar kepala dulu, kemungkinan Bugs pada webserver anda masih ada, misal /phpmyadmin  terbuka lebar, Hacker tinggal masukkan perintah membuat page upload pada root anda dengan perintah HEX
pada SQL Query anda, dan Backdoor sangat mudah di masukkan pada Directory Root anda.

untuk sementara, hanya itu dulu yang saya sampaikan, silahkan anda kembangkan dengan Kreativitasan anda sendiri. dan Seorang admin harus ingat, Not System Perfect.


Silahkan Tinggalkan Pesan

Diposting oleh Touya Blog on Senin, 18 April 2011

{ 4 komentar... read them below or add one }

Biidu mengatakan...

ribet ada yang lebih simple ga???

Touya Blog mengatakan...

Ada... Silahkan Matikan Web Server, trus pergi tidur.. hehehheeee...

gak ada System Yang Perfect, jadi jangan ada yang berharap Aman 100% mas.

Anonim mengatakan...

permisi mas, kalau untuk proteksi browser chrome dari situs porno gimana caranya ya? saya udah ulik di setting chrome 'ubah proksi' tapi masih ga jalan euy :/

Touya Blog mengatakan...

Setting di file host anda...

c:\windows\system32\etc\host

masukkan alamat yang anda ingin blokir dan redirect ke halaman lain...