Jumat, 18 Oktober 2013

Menambah sistem keamanan pada website joomla




Aksi hacker yang semakin hari semakin marak di dunia maya tentunya membuat kita semakin resah memikirkan website/blog kita yang tidak terbebas dari ancaman para hacker yang semakin hari semakin pintar mencari celah kelemahan yang ada pada CMS website kita, salah satunya diantaranya adalah CMS Joomla. Setiap CMS termasuk Joomla selalu mempunyai celah bug/keamanan yang senantiasa di analisa oleh para pengembangnya untuk ditutupi dengan script yang lebih aman akan tetapi bug ini juga dianalisa oleh hacker untuk disisipi script berbahaya. Oleh karena itu sembari menunggu update terbaru dari pengembang CMS Joomla, kita juga perlu menutupi celah ini dengan berbagai cara yang ada, apa saja cara menambah sistem keamanan Website dengan CMS Joomla?, mari ikuti tutorialnya dibawah ini:


1. Update Versi Joomla/component/plugin/Extension anda dengan update terbaru. untuk melakukan update joomla anda dapat mempergunakan Jupdateman

http://www.qwords.com/kb/update-joomla-dengan-jupdateman/

2. Ganti prefix database dengan prefix lain (jos_)

Untuk menghindari peretas melakukan SQL injection ke database joomla, maka buatlah peretas tidak dapat menemukan jos_users. caranya, ubah prefix jos_ ke prefix lain:
- Login Joomla Back End
- Masuk ke Global Configuration
- Pada bagian database, ganti prefix dari jos_ ke prefix lain, contoh: qwerty_ , jika sudah lalu pilih save
- Masuk ke menu phpMyAdmin dan pilih database anda
- Pilih Export -> Go
- setelah Database terdownload, hapus database anda di phpmyadmin
- Buka file sql yang didownload menggunakan notepad -> pilih Search & Replace (Ctrl + H) -> isi kotak search dengan jos_ -> isi kotak replace dengan qwerty_ -> klik Replace All ->Save
- Pilih menu Import di phpMyAdmin -> Pilih sql yang diedit diatas -> Go

3. Sembunyikan Versi Joomla Anda

Peretas akan sangat mudah menghack joomla anda jika website joomla anda menampilkan versinya saat di View Page Source, hacker tinggal melihat catatan celah keamanan sesuai versinya lalu melakukan aksinya tanpa bersusah payah mencoba semua cara hack yang ada. oleh karena itu sembuyikan versi joomla anda dengan cara:
- Login Cpanel anda
- Masuk File manager
- Masuk ke folder *public_html/libraries/joomla/document/html/renderer/
- Edit file head.php
temukan script dibawah ini
$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;
Ubah menjadi:
//$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;
- Masuk ke folder *public_html/templates/namatemplate/
- Edit file index.php
temukan script dibawah ini:
<jdoc:include type="head" />:
tambahkan tepat diatas script tersebut:
$this->setGenerator(null);
atau
$this->setGenerator("");
atau
$document = &JFactory::getDocument();
$document->setGenerator('');
- Save

4. Selalu  hanya menginstall Component/plugin/extension yang terpercaya dan langsung dari pengembangnya. Anda dapat melihat link berikut untuk daftar Extension Joomla yang mempunyai celah bug/bermasalah:

http://docs.joomla.org/Vulnerable_Extensions_List

4. Pergunakan CHMOD yang sesuai, file 644 sedangkan folder 755

http://www.qwords.com/kb/mengganti-chmod-permission/

5. Ubah Password admin Cpanel dan Back End Joomla secara berkala


6. Tidak hanya mendisablenya tapi juga Hapus Component/Plugin/Extension yang tidak digunakan.


7. Edit file .htaccess anda melalui File Manager, tambahkan script dibawah ini:


########## Begin - Rewrite rules to block out some common exploits

#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits



8. Amankan halaman login backend joomla dengan Jsecure

http://www.qwords.com/kb/halaman-admin-joomla-lebih-aman-dengan-jsecure-authentication/

—————————————————————————————————————————————————

Langkah-langkah di atas tidak menjamin website Joomla anda aman 100% dari hacker. Untuk lebih menyulitkan para hacker untuk masuk ke website anda, kami sarankan juga menggunakan password yang kuat pada cPanel hosting. Usahakan password pada cPanel dan Back end Joomla anda menggunakan password yang berbeda.
Semoga tutorial ini dapat membantu anda yang ingin selalu menjaga website Joomla tetap aman.

0 komentar: