Blog Security - Frenavit Putra

Report
Nama
Nama Beken
Alamat
: Frenavit Kusman Setia Putra
: Frenavit Putra & Bodrex
: Ds. Beratwetan. Gedeg.
Mojokerto
Alamat Sementara : Gebang Wetan 23 B, Sby
No Telp
: 085 648 506 364
Blog
Email
: http://frenavit.com
: mail[at]frenavit[dot]com
@frenavit
@frenavitputra
@frenavit
frenavit
Frenavit Putra
Blog =
Rumah
Internet






Pembobolan Account (Brute Force)
SQL Injection
Cross-site Scripting (XSS)
Spaming Komentar
Deface
DOS Attack (Denial of Service)
Brute force adalah proses untuk mengetahui
password dan user name seseorang dengan
menggunakan metode trial and error.
 Brute force menggunakan sebuah pendekatan yang
lempang (straightforward) untuk memecahkan
suatu masalah, biasanya didasarkan pada pernyataan
masalah (problem statement) dan definisi konsep
yang dilibatkan.
 Algoritma brute force memecahkan masalah dengan
sangat sederhana, langsung dan dengan cara yang
jelas (obvious way).
Acount Blog mudah dibobol dikarenakan 2
faktor, faktor internal dan eksternal.
1. Internal :
Penggunaan Username dan Password yang
mudah ditebak
Adanya “Bug” pada OS Hosting atau CMS
yang kita pakai
2. Eksternal:
Phising
Phising (pengelabuhan) adalah suatu bentuk
penipuan yang dicirikan dengan percobaan untuk
mendapatkan informasi, seperti password dan
username, dengan menyamar sebagai orang atau
bisnis yang terpercaya dalam sebuah komunikasi
elektronik resmi, seperti email atau pesan instan,
banner.
Sniffing
Sniffing atau “penyadapan paket” adalah sebuah
kegiatan untuk menyadap setiap paket data yang
ada di dalam sebuah jaringan, baik jaringan
internet atau LAN.
Internet
Sniffer
SQL Injection adalah sebuah teknik penyerangan
yang memanfaatkan sebuah “celah” keamanan yang
ada dalam lapisan database sebuah aplikasi.
Celah Database yang dimaksud diatas tersebut adalah
sebuah celah yang ketika seorang pengguna memasukkan
isian karakter kedalam form input yang mana tidak ada
filter secara benar dari karakter-karakter bebas yang ada di
SQL.
Beberapa karakter bebas : ‘/”[]^,. dll
XSS atau Cross Site Scripting adalah teknik yang
digunakan untuk menambahkan dan menanamkan
script pada sebuah website atau blog yang akan
dieksekusi oleh user lain pada browser user lain
tersebut.
XSS atau Cross Site Scripting umumnya
menggunakan HTML/JavaScript, atau bahkan VBScript,
ActiveX, Java, Flash, dll yang diinputkan melalui input
form seperti kolom komentar pada Blog
Cara cek apakah bisa dilakukan Cross Site Scripting Blog
kita:
1. Silahkan masukkan tag script via form komen, misal :
<script>alert(‘saya cakep');</script>
2. Jika ternyata keluar alert “saya cakep” ketika halaman di
refresh maka bisa dipastikan Blog kita bisa dilakuan
Cross Site Scripting.
Cross Site Scripting
Redirect
Spamming Komentar (komentar sampah) adalah
pengiriman komentar secara otomatis yang dilakukan
oknum ke beberapa Blog sekaligus. Komentar Spam dikirim
dengan tujuan untu mempromosikan sebuah site atau
produk tertentu.
Untuk dapat dikatagorikan menjadi spam, sebuah
komentar muncul tidak diminta dan termasuk bulk.
 Tidak diminta. Berarti bahwa kita tidak secara eksplisit
meminta untuk menerima komentar yang tidak
berhubungan dengan artikel di blog kita.
 Bulk berarti bahwa komentar tersebut sama atau hampir
sama dengan yang dikirim ke banyak blog lain.
Deface/Defacing atau cyber grafity secara umum
diartikan sebagai aktifitas menodai atau merubah ubah isi
suatu halaman web dengan kalimat, image atau link
tertentu yang tidak ada sangkut pautnya dengan misi web
tersebut .
DoS Attacks (denial-of-service attacks) adalah serangan
terhadap sebuah komputer atau server di dalam jaringan
internet dengan cara menghabiskan sumber (resource) yang
dimiliki oleh komputer tersebut sampai komputer tersebut
tidak dapat menjalankan fungsinya dengan benar sehingga
secara tidak langsung mencegah pengguna lain untuk
memperoleh akses layanan dari komputer yang diserang
tersebut.
Jenis Serangan
Jenis Blog
Self Hosting Blog
Blog Provider
Pembobolan Account (Brute Force)
Ya
Ya
SQL Injection
Ya
tidak
Cross-site Scripting (XSS)
Ya
Munkin
Spaming Komentar
Ya
Ya
Deface
Ya
Tidak
DOS Attack (Denial of Service)
Ya
Ya
1. Ganti Username “Admin”, Hal ini digunakan untuk
menghindari Brute Force yang dilakukan Hacker.
2. Gunakan kombinasi Huruf, angka, dan spesial
karakter untuk username dan password Blog yang
powerfull.
3. Ganti Username dan Password secara Berkala.
1. Gunakan password yang kuat.
2. Segera update CMS dan Plugins wordpress ke versi terbaru.
3. Sembunyikan halaman Login Standard (http://site.com/wpadmin) dengan url lain.
4. Menyembunyikan versi wordpress
5. Pindahkan File wp-config.php.
6. Gunakan Secret Keys.
7. Rubah WordPress table prefix.
8. .htaccess lockdown
9. Buat file .htaccess di dalam folder wp-admin.
10. Sembunyikan Plugin yang defaultnya terletak pada
http://site.com/wp-content/plugins.
 Hindari menggunakan tgl lahir.
 Jangan mengandung kata yang ada di Username.
 Terdapat kombinasi antara angka, huruf, dan karakter.
Kombinasikan juga dengan huruf besar kecil.
 Gunakan Password generator.
Update Engine CMS Wordpress dan Plugins
wordpress yang ita gunakan mutlak “wajib”
dilakukan karena update ke versi terbaru akan
menutup celah (bug) yang ada di versi lama.
Tujuan untuk menyembunyikan halaman Login
wordpress standard (http://site.com/wp-admin) dilakukan
untuk menghindari adanya Brute Force.
Untuk menyembunyikan halaman Login ini bisa
menggunakan Plugins Stealth Login
Untuk menyembunyikan Versi Wordpress dapat dilakukan
dengan 2 cara, yaitu :
1. Menambahkan script berikut di functions.php.
function hide_wp_vers()
{
return '';
}
add_filter('the_generator',' hide_wp_vers');
2. Menggunakan Plugins Secure Wordpress
Wp-config merupakan file yang mengonfigurasi
database setting (database username dan password), table
prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini,
WordPress tidak akan berfungsi. File ini dapat disimpan di
luar root direktori WordPress. Caranya pindahkan file wpconfig.php satu level di atas root direktori WordPress.
WordPress secara otomatis akan mencari file ini bila tidak
menemukannya di root direktorinya.
Secret Keys dibuat untuk lebih menjamin informasi yang
tersimpan pada cookies terenkripsi secara lebih baik.
Caranya
gunakan
online
generator
pada
http://api.wordpress.org/secret-key/1.1/. Di sana akan
terlihat 4 Secret Keys yang secara acak terbentuk. Copy
Secret Keys tersebut kemudian buka file wp-config.php dan
paste ke posisi di mana keempat Secret Keys ini diletakkan.
Standard Table Perfix
‘wp_’
Table Perfix modif
$table_prefix
Bila kita menggantinya setelah menginstall WordPress, kita
bisa memanfaatkan plugin WP Security Scan atau tabel
prefix changer. Jangan lupa back up terlebih dahulu
sebelum melakukannya.
Cara ini akan melindungi wp-admin direktori melalui
.htaccess. Cara ini bekerja dengan mengunci akses terhadap
wp-admin melalui IP address. Jadi, hanya IP address
tertentu yang dapat mengakses wp-admin kita. Dan hampir
tidak mungkin orang lain dengan IP address yang berbeda
bisa mengakses wp-admin. Kode yang harus dibuat pada
file .htaccess
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx
Isi dengan ip
yang dikehendaki login
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Kenapa harus disembunyikan? Jika tidak disembunyikan,
bisa dimanfaatkan para hacker/cracker bila ada 404 error
page. Caranya buat file .htaccess dan tempatkan di folder
/wp-content/plugins dengan kode seperti ini :
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress
Cara lain untuk menyembunyikan plugins yaitu dengan
membuat file index.html yang isinya kosong kemudian
upload ke wp-content/plugin. Atau cara lain untuk
membuat file .htaccess untuk melindungi direktori wpadmin, wp-includes, dll.
Bagi yang menggunakan hosting dengan CPANEL, bisa
memanfaatkan fasilitas Leech Protect dari Cpanel tempat
anda hosting wordpress.
1. Limit Login Attempts
Plugin ini dapat melakukan blok terhadap user selama
20 menit setelah salah memasukan password sebanyak
4 kali (dapat diubah manual). Hal ini menjadi jalan
terbaik untuk mengatasi serangan berupa Brute Force.
Download
plugin
limit
login
attempts
di
http://wordpress.org/extend/plugins/limit-loginattempts/
2. WP Security Scan
Plugin ini menawarkan beberapa fitur ganda
seperti file permission, menyembunyikan versi
wordpress, database security dan proteksi
terhadap admin. Plugin ini, juga dapat melakukan
scanning terhadap direktory web dan memberi
report menganai file permission yang seharusnya.
Download plugin wp security scan di
http://wordpress.org/extend/plugins/wp-securityscan/
3. Sabre
Fungsi plugin ini dapat menghentikan
pendaftaran pengguna palsu yang dilakukan oleh
bots. Plugin Sabre dapat menambahkan gambar
verifikasi atau uji matematika untuk proses
registrasi agar dapat memastikan pengguna yang
sudah terdaftar tidak palsu.
4. Semisecure Login
Plugin ini berguna untuk meningkatkan keamanan
dari proses login dengan menggunakan kunci publik
untuk mengenkripsi password pada sisi klien.
5. Secure WordPress
Plugin ini akan menjaga dengan aman instalasi wordpress kita dengan
sedikit fungsi bantuan. Dia dapat menyembunyikan informasi
mengenai versi instalasi wordpress kita yaitu dengan:









Menghapus kesalahan-informasi pada halaman login
Menambahkan indeks.html ke-direktori plugin (virtual)
Menghapus Really Simple Discovery
Menghapus wp-versi, kecuali di daerah-admin
Menghapus tema-update informasi bagi non-admin
Menghapus Windows Live Writer
Menambahkan string untuk digunakan WP Scanner
Menghapus inti memperbarui informasi untuk non-admin
Menghapus plugin-update informasi bagi non-admin
Banyak cara untuk mengamankan
Blog kita, namun cara tersebut tidak
kekal dan sempurna selamanya. Cara
mengamankan yang paling sempurna
adalah dengan selalu waspada dan
berjaga-jaga.

similar documents