Cara Melindungi Website dari hacker
sebelumnya seorang admin harus tau, CMS apa yang di gunakan website yang dia pegang (Goblok klo gak tau), apakah CMS yang anda gunakan itu opensource atau Premium ato mungkin saja CMS buatan sendiri, setelah mengetahui semua itu, sudah pasti seorang admin bisa melakukan modification pada website nya, misal menggunakan Component External, ataupun edit Source. tapi sebelum melakukan semua itu, seorang Admin wajib melakukan uji coba pada component yang dia masukkan, apakah punya bugs atau tidak, jika ya, sebaiknya patch atau jangan gunakan component tersebut.
selain itu, admin juga wajib mengerti tentang serangan dari attacker (banyak admin yang makan gaji buta) bagaimana seorang Hacker melakukan Injection Script, bagaimana seorang Hacker menemukan tbl_user melalui Bugs kecil tersebut, jangankan SQL yang error, Bug XSS pun jangan di anggap remeh, Hacker bisa melakukan Brute
Force pada bugs XSS, jika admin tidak tau cara melakukan Patch, sebaiknya Disable saja kolom "cari" / "Search" jika XSS di temukan di website nya.
dan jika website anda menggunakan Wordpress v.3.x bugs nya biasanya di sini : www.siteanda.com/wp-includes/wp-db.php
Berikut ini tutorial untuk mencegah hacker masuk ke situs. Cara-cara ini hanya untuk mempersulit dan mencegah, tidak menjamin 100% situs Anda aman dari hacker.
sebelumnya seorang admin harus tau, CMS apa yang di gunakan website yang dia pegang (Goblok klo gak tau), apakah CMS yang anda gunakan itu opensource atau Premium ato mungkin saja CMS buatan sendiri, setelah mengetahui semua itu, sudah pasti seorang admin bisa melakukan modification pada website nya, misal menggunakan Component External, ataupun edit Source. tapi sebelum melakukan semua itu, seorang Admin wajib melakukan uji coba pada component yang dia masukkan, apakah punya bugs atau tidak, jika ya, sebaiknya patch atau jangan gunakan component tersebut.
selain itu, admin juga wajib mengerti tentang serangan dari attacker (banyak admin yang makan gaji buta) bagaimana seorang Hacker melakukan Injection Script, bagaimana seorang Hacker menemukan tbl_user melalui Bugs kecil tersebut, jangankan SQL yang error, Bug XSS pun jangan di anggap remeh, Hacker bisa melakukan Brute
Force pada bugs XSS, jika admin tidak tau cara melakukan Patch, sebaiknya Disable saja kolom "cari" / "Search" jika XSS di temukan di website nya.
dan jika website anda menggunakan Wordpress v.3.x bugs nya biasanya di sini : www.siteanda.com/wp-includes/wp-db.php
Berikut ini tutorial untuk mencegah hacker masuk ke situs. Cara-cara ini hanya untuk mempersulit dan mencegah, tidak menjamin 100% situs Anda aman dari hacker.
Scan komputer
Komputer yang terinfeksi oleh jenis virus, trojan, malware tertentu dapat:- mengirimkan informasi username dan password ke alamat hacker
- download file web Anda dan memodifikasinya lalu diupload kembali, file yang dimodifikasi bisa digunakan untuk menjebol web dan server
Username dan Password
- Ganti password cpanel/spanel dan database secara berkala.
- Jangan gunakan username dan password cpanel/spanel untuk akses database, buat username dan password database tersendiri.
- Jangan gunakan password yang sama dengan username, dan kombinasikan password dengan karakter huruf, angka dan tanda baca.
CMS dan Extension
- Banyak web dibuat menggunakan CMS, ada baiknya memilih CMS yang aktif seperti CMS Joomla dan WordPress.
- Upgrade CMS, template, component, module, plugins dan extension ke versi terbaru
- Jangan gunakan component, module, plugins dan extension yang tidak pernah diupdate oleh developernya.
- Uninstall dan remove template, component, module, plugins dan extenstion yang tidak digunakan. Semakin sedikit menggunakan tambahan di CMS Anda semakin aman web Anda.
- Jangan gunakan software bajakan atau nulled, biasanya software tersebut telah disusupi oleh kode jahat yang bisa digunakan untuk hack web dan server Anda.
File dan folder
- Hapus file dan folder yang tidak dikenal di hosting. Anda bisa bandingkan file dan folder tersebut dengan CMS dan software yang asli atau dengan backup.
- Pastikan permission (hak akses) file adalah 644 dan untuk folder adalah 755
- Permission File config yang berisi informasi username dan password db (configuration.php di Joomla, wp-config.php di WordPress) di set menjadi 444
- Proteksi folder admin anda dengan password (Password Protect Directories)
- Tambahkan rule ke robot.txt dan .htaccess supaya search engine tidak bisa mengakses ke direktori admin atau direktori yang tidak diinginkan.
Backup
- Backup, backup dan backup. Backup file dan database web dan download ke komputer, jangan hanya disimpan di server saja.
- Backup sebelum melakukan perubahan!
Tidak ada komentar:
Posting Komentar