Reminder ini kami buat untuk mengingatkan seluruh klien kami mengenai sisi security website masing2.Mohon di ingat bahwa sebuah website itu terbentuk dari :
- Script/CMS

- Plugin

- Modul

- Themes


Script/CMS :

Bila anda menggunakan CMS seperti Wordpress, Joomla, Drupal, Mambo, Prestashop, Opencart, dan CMS lain yang tidak bisa saya sebutkan semuanya disini. Hal pertama yg harus anda lakukan adalah :


- Lakukan update ke versi terbaru.


PLUGIN :

Plugin/MODULE ini di develop/di kembangkan bukan oleh 1 orang saja, plugin2 yg anda pakai di kembangkan oleh berbagai individu yang memiliki karakter dan security concern yang berbeda.

Plugin yang tidak di update akan menyebabkan website anda mudah terkena hack dan juga bisa di inject untuk melakukan spamming email ribuan jumlahnya.

Pertanyaan tambahan mengenai plugin adalah :

Sudah pakai plugin versi terbaru mengapa masih kena pada plugin ini ?


Jawaban :

Tidak semua pembuat plugin concern terhadap security yang telah di buat, ada yg sangat responsive selalu update version plugin buatan mereka, ada juga yang tidak pernah update plugin sama sekali


Plugin yang tidak digunakan sangat di rekomendasikan untuk di hapus, krn hanya akan menambah celah keamanan website anda.

THEMES :Berhati-hatilah terhadap themes ini, jangan pernah sekali2 anda mendownload themes dari internet yang bukan merupakan official website dari si pembuat themes. Misal themes nulled/bajakan, biasanya di sisipkan script shell yang digunakan untuk inject ke website anda, tanpa anda ketahui sebelumnya.


Lebih baik menggunakan Themes Gratisan yg mmg free dari pada menggunakan themes premium namun hasil nulled yg terlalu beresiko.


Security Advisory yang bisa anda lakukan adalah :

Cara Umum semua CMS : Chmod Index.php ke 400

Chmod File2 yang memiliki karakter pusat setting misal configuration ke 400


Khusus Wordpress :

index.php CHMOD ke 400

wp-config.php CHMOD ke 400

.htaccess CHMOD ke 404


Folder :

Wp-admin CHMOD ke 705

Wp-content CHMOD ke 705

Wp-includes CHMOD ke 705


Wp-content/uploads CHMOD ke 705 , bila bermasalah dalam hal upload bisa di 755 sementara dan kembalikan ke 705 bila sudah selesai.


Bagi Themes yang menggunakan File Timthumb / thumb.php, sangat di sarankan melakukan install plugin :
Timthumb Vulneral Security ScanGunakan Plugin Security yang memiliki konsep Htaccess Defense misal :
BulletProof Security.Penutup :


Jangan pernah berasumsi seperti ini :

Web saya tidak pernah saya utak-atik dan tidak pernah saya edit, saya sudah 1 tahun tidak pernah edit website mengapa kena hack?


Penjelasan :

Justru itulah kami memberikan edukasi mengenai hal ini, di dalam sebuah website terdiri komponen di atas yang memiliki hole dari cms core, plugin, modul, themes dsb. Tidak selamanya plugin/themes/modul anda secure, setelah sekian lama akan terdapat security hole.


Tindakan Tambahan :

Jangan lupa tetap backup website anda ke komputer lokal dengan cara masuk ke cpanel anda, disana terdapat fitur backup, setelah di backup akan terbentuk file tar.gz di folder /home, silahkan anda donwload ke komputer anda secara berkala.

Bila anda sering online, gunakanlah antivirus yang sudah memiliki reputasi international, dan pastikan anti virus anda memiliki fitur Internet Security untuk mencegah andanya attacking ketika online.Hindari menggunakan WIFI tanpa password, bila anda terpaksa, pastikan Wifi anda bersifat Internal tidak semua bisa akses, krn di WIFI pun account anda bisa di hack melalui cookies browser anda dengan cara eyedrops, firesheep.
Pastikan halaman login tempat anda bermitra menggunakan ssl dengan tanda https ketika akses halaman penting login. Bila anda memiliki account VPN dengan secure encrypt sangat di sarankan.

Scan Komputer anda secara berkala dari virus & malware/spyware. Hal yang paling berbahaya bukanlah virus, namun spyware/malware, krn malware ini bersifat mencuri data anda melalui keylogger dsb.Untuk CMS yang tidak di jelaskan secara rinci disini, silahkan menggunakan Google.COM mengenai cara optimasi security website anda.Email ini akan kami kirimkan secara berkala untuk mengingatkan anda mengenai pentingnya security website anda.



Saturday, February 1, 2014





<< Zpět