Blog Security Mari amankan Blog Kita Oleh : Frenavit Putra
Keamanan Blog by Frenavit Putra
May 17, 2015
Presentasi tentang Keamanan Blog yang membahas bagaimana cara mengamankan Blog. Presentasi ini digunakan untuk acara roadblog Blogilicious IdBlognetwork
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Blog SecurityMari amankan Blog Kita
Oleh :Frenavit Putra
Saya adalah?Nama : Frenavit Kusman Setia PutraNama Beken : Frenavit Putra & BodrexAlamat : Ds. Beratwetan. Gedeg.
MojokertoAlamat Sementara : Gebang Wetan 23 B, SbyNo Telp : 085 648 506 364
Blog : http://frenavit.comEmail : mail[at]frenavit[dot]com
@frenavit @frenavit
@frenavitputra frenavit
Frenavit Putra
Securty Blog itu..
Internet
Blog =
Rumah
Pembobolan Account (Brute Force) SQL Injection Cross-site Scripting (XSS) Spaming Komentar Deface DOS Attack (Denial of Service)
Ancaman terhadap Blog
Brute force adalah proses untuk mengetahui password dan user name seseorang dengan menggunakan metode trial and error. Brute force menggunakan sebuah pendekatan yang
lempang (straightforward) untuk memecahkan suatu masalah, biasanya didasarkan pada pernyataan masalah (problem statement) dan definisi konsep yang dilibatkan.
Algoritma brute force memecahkan masalah dengan sangat sederhana, langsung dan dengan cara yang jelas (obvious way).
Brute Force
Acount Blog mudah dibobol dikarenakan 2 faktor, faktor internal dan eksternal.1. Internal :
Penggunaan Username dan Password yang mudah ditebak
Adanya “Bug” pada OS Hosting atau CMS yang kita pakai
Pembobolan Account (1)
2. Eksternal:Phising
Phising (pengelabuhan) adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi, seperti password dan username, dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti email atau pesan instan, banner.
Pembobolan Account (2)
SniffingSniffing atau “penyadapan paket” adalah sebuah kegiatan untuk menyadap setiap paket data yang ada di dalam sebuah jaringan, baik jaringan internet atau LAN.
Pembobolan Account (3)
Internet Sniffer
SQL Injection adalah sebuah teknik penyerangan yang memanfaatkan sebuah “celah” keamanan yang ada dalam lapisan database sebuah aplikasi.
Celah Database yang dimaksud diatas tersebut adalah sebuah celah yang ketika seorang pengguna memasukkan isian karakter kedalam form input yang mana tidak ada filter secara benar dari karakter-karakter bebas yang ada di SQL.
Beberapa karakter bebas : ‘/”[]^,. dll
SQL Injection
XSS atau Cross Site Scripting adalah teknik yang digunakan untuk menambahkan dan menanamkan script pada sebuah website atau blog yang akan dieksekusi oleh user lain pada browser user lain tersebut.
XSS atau Cross Site Scripting umumnya menggunakan HTML/JavaScript, atau bahkan VBScript, ActiveX, Java, Flash, dll yang diinputkan melalui input form seperti kolom komentar pada Blog
Cross Site Scripting (1)
Cara cek apakah bisa dilakukan Cross Site Scripting Blog kita:1. Silahkan masukkan tag script via form komen, misal :
<script>alert(‘saya cakep');</script>2. Jika ternyata keluar alert “saya cakep” ketika halaman di
refresh maka bisa dipastikan Blog kita bisa dilakuan Cross Site Scripting.
Cross Site Scripting (2)
Cross Site Scripting
Redirect
Spaming Komentar
Spamming Komentar (komentar sampah) adalah pengiriman komentar secara otomatis yang dilakukan oknum ke beberapa Blog sekaligus. Komentar Spam dikirim dengan tujuan untu mempromosikan sebuah site atau produk tertentu.
Untuk dapat dikatagorikan menjadi spam, sebuah komentar muncul tidak diminta dan termasuk bulk. Tidak diminta. Berarti bahwa kita tidak secara eksplisit
meminta untuk menerima komentar yang tidak berhubungan dengan artikel di blog kita.
Bulk berarti bahwa komentar tersebut sama atau hampir sama dengan yang dikirim ke banyak blog lain.
Deface/Defacing atau cyber grafity secara umum diartikan sebagai aktifitas menodai atau merubah ubah isi suatu halaman web dengan kalimat, image atau link tertentu yang tidak ada sangkut pautnya dengan misi web tersebut .
Deface
DoS Attacks (denial-of-service attacks) adalah serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
DoS Attacks
DoS Attacks Skema
Jenis SeranganJenis Blog
Self Hosting Blog Blog Provider
Pembobolan Account (Brute Force) Ya Ya
SQL Injection Ya tidak
Cross-site Scripting (XSS) Ya Munkin
Spaming Komentar Ya Ya
Deface Ya Tidak
DOS Attack (Denial of Service) Ya Ya
Kemungkinan Ancaman Keamanan Blog
Solusi??
1. Ganti Username “Admin”, Hal ini digunakan untuk menghindari Brute Force yang dilakukan Hacker.
2. Gunakan kombinasi Huruf, angka, dan spesial karakter untuk username dan password Blog yang powerfull.
3. Ganti Username dan Password secara Berkala.
Amankan Blog
1. Gunakan password yang kuat. 2. Segera update CMD dan Plugins wordpress ke versi terbaru.3. Sembunyikan halaman Login Standard (http://site.com/wp-
admin) dengan url lain.4. Menyembunyikan versi wordpress5. Pindahkan File wp-config.php.6. Gunakan Secret Keys.7. Rubah WordPress table prefix.8. .htaccess lockdown9. Buat file .htaccess di dalam folder wp-admin.10. Sembunyikan Plugin yang defaultnya terletak pada
http://site.com/wp-content/plugins.
Amankan Blog Wordpress
Hindari menggunakan tgl lahir. Jangan mengandung kata yang ada di Username. Terdapat kombinasi antara angka, huruf, dan karakter.
Kombinasikan juga dengan huruf besar kecil. Gunakan Password generator.
Menggunakan Password yang Kuat
MUDAH DI INGAT
Update Engine CMS Wordpress dan Plugins wordpress yang ita gunakan mutlak “wajib” dilakukan karena update ke versi terbaru akan menutup celah (bug) yang ada di versi lama.
Update CMS dan Plugins Wordpress
Tujuan untuk menyembunyikan halaman Login wordpress standard (http://site.com/wp-admin) dilakukan untuk menghindari adanya Brute Force.
Untuk menyembunyikan halaman Login ini bisa menggunakan Plugins Stealth Login
Menyembunyikan Halaman Login Standard
Untuk menyembunyikan Versi Wordpress dapat dilakukan dengan 2 cara, yaitu :1. Menambahkan script berikut di functions.php.
function hide_wp_vers() { return ''; } add_filter('the_generator',' hide_wp_vers');
2. Menggunakan Plugins Secure Wordpress
Menyembunyikan Versi Wordpress
Wp-config merupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPress tidak akan berfungsi. File ini dapat disimpan di luar root direktori WordPress. Caranya pindahkan file wp-config.php satu level di atas root direktori WordPress. WordPress secara otomatis akan mencari file ini bila tidak menemukannya di root direktorinya.
Pindahkan File wp-config.php
Secret Keys dibuat untuk lebih menjamin informasi yang tersimpan pada cookies terenkripsi secara lebih baik. Caranya gunakan online generator pada http://api.wordpress.org/secret-key/1.1/. Di sana akan terlihat 4 Secret Keys yang secara acak terbentuk. Copy Secret Keys tersebut kemudian buka file wp-config.php dan paste ke posisi di mana keempat Secret Keys ini diletakkan.
Gunakan Secret Key
Bila kita menggantinya setelah menginstall WordPress, kita bisa memanfaatkan plugin WP Security Scan atau tabel prefix changer. Jangan lupa back up terlebih dahulu sebelum melakukannya.
Ubah Table Prefix
Standard Table Perfix
‘wp_’Table Perfix modif
$table_prefix
Cara ini akan melindungi wp-admin direktori melalui .htaccess. Cara ini bekerja dengan mengunci akses terhadap wp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapat mengakses wp-admin kita. Dan hampir tidak mungkin orang lain dengan IP address yang berbeda bisa mengakses wp-admin. Kode yang harus dibuat pada file .htaccess
.htaccess lockdown
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “Access Control”AuthType Basicorder deny,allowdeny from all#IP address to Whitelistallow from xxx.xxx.xxx.xxx
Isi dengan ip yang dikehendaki login
# BEGIN WordPressRewriteEngine OnRewriteBase /RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]# END WordPress
Buat file .htaccess di dalam folder wp-admin
Kenapa harus disembunyikan? Jika tidak disembunyikan, bisa dimanfaatkan para hacker/cracker bila ada 404 error page. Caranya buat file .htaccess dan tempatkan di folder /wp-content/plugins dengan kode seperti ini :
Sembunyikan Plugin
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # Prevents directory listing IndexIgnore * # END WordPress
Cara lain untuk menyembunyikan plugins yaitu dengan membuat file index.html yang isinya kosong kemudian upload ke wp-content/plugin. Atau cara lain untuk membuat file .htaccess untuk melindungi direktori wp-admin, wp-includes, dll.
Bagi yang menggunakan hosting dengan CPANEL, bisa memanfaatkan fasilitas Leech Protect dari Cpanel tempat anda hosting wordpress.
Cara LainSembunyikan Plugin
1. Limit Login AttemptsPlugin ini dapat melakukan blok terhadap user selama 20 menit setelah salah memasukan password sebanyak 4 kali (dapat diubah manual). Hal ini menjadi jalan terbaik untuk mengatasi serangan berupa Brute Force.Download plugin limit login attempts di http://wordpress.org/extend/plugins/limit-login-attempts/
Plugins Wordpress untuk kemanan Blog (1)
2. WP Security ScanPlugin ini menawarkan beberapa fitur ganda seperti
file permission, menyembunyikan versi wordpress, database security dan proteksi terhadap admin. Plugin ini, juga dapat melakukan scanning terhadap direktory web dan memberi report menganai file permission yang seharusnya.
Download plugin wp security scan di http://wordpress.org/extend/plugins/wp-security-scan/
Plugins Wordpress untuk kemanan Blog (2)
3. SabreFungsi plugin ini dapat menghentikan pendaftaran pengguna palsu yang dilakukan oleh bots. Plugin Sabre dapat menambahkan gambar verifikasi atau uji matematika untuk proses registrasi agar dapat memastikan pengguna yang sudah terdaftar tidak palsu.
Plugins Wordpress untuk kemanan Blog (3)
4. Semisecure LoginPlugin ini berguna untuk meningkatkan keamanan dari proses login dengan menggunakan kunci publik untuk mengenkripsi password pada sisi klien.
Plugins Wordpress untuk kemanan Blog (4)
5. Secure WordPressPlugin ini akan menjaga dengan aman instalasi wordpress kita dengan sedikit fungsi bantuan. Dia dapat menyembunyikan informasi mengenai versi instalasi wordpress kita yaitu dengan:
Plugins Wordpress untuk kemanan Blog (5)
Menghapus kesalahan-informasi pada halaman login Menambahkan indeks.html ke-direktori plugin (virtual) Menghapus Really Simple Discovery Menghapus wp-versi, kecuali di daerah-admin Menghapus tema-update informasi bagi non-admin Menghapus Windows Live Writer Menambahkan string untuk digunakan WP Scanner Menghapus inti memperbarui informasi untuk non-admin Menghapus plugin-update informasi bagi non-admin
KESIMPULAN
Banyak cara untuk mengamankan Blog kita, namun cara tersebut tidak kekal dan sempurna selamanya. Cara mengamankan yang paling sempurna adalah dengan selalu waspada dan berjaga-jaga.
SEKIAN
TERIMAKASIH
&
Related Documents
