Dalam postingan saya kali ini, Saya akan memberikan hasil Analisa
berdasarkan pengalaman saya melakukan Deface,DDos dll pada website
target. Saya akan memberikan beberapa solusi bagi kalian para web
designer pemula / menengah sekalipun yang websitenya dihack. Sebelum
kita memasuki langkah-langkahnya pertama-tama kita harus mengetahui
beberapa faktor penting dalam membuat website baik dari segi keamanan ,
fungsi dan user friendly bagi admin itu sendiri.Sebelum melakukan perbaikan/megatasi website yang terkena hack kita wajib mengetahui hal berikut :
1. Jenis CMS yang digunakan
2. Versi CMS dan PHP
3. CMS yang digunakan di download dari website resmi / dari luar
4. CMS yang diinstalasi berasal dari instaler webhosting
5. penggunaan PLUGIN
6. Menyembunyikan halaman admin
Penjelasan :
1. jika kita membuat website maka kita harus bisa memilih cms apa yang digunakan sesuai kebutuhan.
Berikut ini adalah kelemahan pada beberapa CMS dan solusisinya :
Joomla 1.2 - joomla 1.6 memiliki kelemahan pada SQL , dimana aksi hacking dapat denga mudah menggunakan SQL injection. hal itu dapat dicek dengan menggunakan tanda ' (string). contoh ?id='1 disetiap akhir link. jika terdapat halam error maka website tersebut dapat dengan mudah di hack tanpa perlu memasukan Token. Sama halnya dengan CMS lainnya seperti Lokomedia/Drupal, kelemahan tersebut pada SQL. Cara memperbaikinya dengan mempatch pada config.php , selain itu hapus kata kunci "Powered by" pada footer website
2. Versi CMS/php pada website yang sengaja ditampilkan/tidak merupakan salah satu celah. dimana sang hacker dapat mengetahui kelemahan website hanya berdasarkan versi CMS / Php. Maka anda harus menyembunyikan Versi CMS/Php pada website anda dengan cara mengahpus pada bagian Footer / distiap kata tersebut pada website anda
3. CMS yang didownload diluar website resmi, biasanya telah dimodif oleh hacker dan dibuat celah agar suatu hari hacker itu dapat mengambil alih website anda. maka solusinya downlaod pada website resmi
4. CMS yang diinstalasi pada webhosting biasanya memiliki banyak kelemahan , diantaranya :
- CMS versi lama
- memiliki banyak bug
- adanya iklan dan spam dari pihak webhosting itu sendiri
5. Penggunaan PLUGIN pada CMS akan membuat anda kewalahan, karena PLUGIN itu sendiri biasanya memiliki banyak kelemahan. sebaiknya gunakan PLUGIN yang anda butuhkan, direkomendasikan oleh CMS tu sendiri dan terpecaya. Solusinya, hapus PLUGIN yang tidak perlu dan memiliki banyak kelemahan
6. Hal terakhir yang dilakukan oleh hacker dalam melakukan aksinya adalah mencari halaman admin untuk melakukan Login. Namun hal itu dapat dicegah dengan menyembunyikan halaman admin. untuk menyembunikan halaman admin , masuk ke .config.php edit nama halaman admin dengan nama lain, pada angka 1 gunakan angka 0
7. pembuatan .htaacces merupakan salah satu cara terampuh dalam mengamankan website. dalam .htaacces kita dapat mengatur siapa saja yang dapat login kedalam website berdasarkan IP.Sebagai contoh, webhosting yang melakuakn pencegahan hacking seperti ini adalah Enom(dot)com buat fle .htaacces pada public dan halaman admin.
KESIMPULAN
- sembunyikan jenis cms
- sembunyikan versi php & cms
- downlaod cms pada website resmi
- jangan asal menggunakan PLUGIN
- menyembunyikan halaman admin
- pembuatan .htaacces
- lakukan backup rutin
UNTUK MEMPERBAIKI WEBSITE YANG DIHACK
- Masuk ke HOSTING anda, Backup database saja
- jika anda mempunyai database sekaligus data" lengkap website , makan anda tinggal merestore
- jika tidak memiliki backup, hapus semua File dan buat ulang
Source: www.ditonjok.com
makasih banyak buat tutorialnya,, sangat bermafaat...http://goo.gl/72pOZJ
BalasHapusMantap!
BalasHapusTerikamasih informasinya, blog ini sangat bagus dan artikelnya sangat informatif
BalasHapus