#menu li { position:static; }

18 Januari 2010

Hacking Joomla! dan penangananya

Beberapa waktu yang lalu ada keluhan dari seorang teman, yang menyatakan bahwa situsnya terkena serangan. Sang teman menggunakan CMS Joomla! sebagai engine web yang dimilikinya. Saya cek di TKP ternyata benar, halaman utama dan administratornya telah berganti wajah (defaced). Pertanyaanya adalah mengapa hal ini terjadi?


Sebenarnya saya cukup dibuat gusar oleh sang teman. Alasanya karena dia mencurigai saya terus-menerus sebagai dalang perusak situsnya. Loh kok?..saya juga bingung dengan hal tersebut. Saya beranggapan dia mencurigai saya karena mencoba bersaing secara tidak sehat. Aneh juga sih... ntahlah, mungkin dia menggunakan Blog saya sebagai alibi. Toh blog saya lahir semenjak 3 tahun yang lalu sebagai media sharing pengalaman saja. Jadi kalau dia mengganggap Blogger = Cracker, mungkin ada benarnya juga. Masih untung ada Cracker yang mau berbagi ilmu dengan menjadi Blogger. Satu lagi, jangan singgung masalah mental Blogger dong. Risih saya mendengarnya. Tidak ada aturan khusus di negara ini mengenai konten blog apa yang boleh atau tidak. Asalkan konten tidak berbau pornografi dan SARA semua boleh-boleh saja. Saya juga bukan tipe perusak seperti yang dianggap. Walaupun untuk memposting sebuah artikel saya harus melakukan percobaan terlebih dahulu. Sekali lagi Blogger tetap Blogger, Cracker tetap Cracker atau bisa keduanya Cracker merangkap sebagai Blogger.



Okey kembali ke pengakuan. Meskipun saya sedikit tahu teknik defaced web dengan SQL Injection atau XSS (cross site scripting). Sumpah..Bukan saya pelakunya!. Di luar sana bergentayangan dedemit maya ratusan jumlahnya dengan trisula di tanganya . Kalau anda seorang admin web, tentunya anda dapat melacak jejak sang pembongkar dari LOG yang disediakan oleh server. Cara mudahnya anda juga bisa MERESTORE ke tanggal yang lebih lama, dan langsung bisa sehat. Ngapain harus upload ulang dengan domain dan web hosting baru. Suatu tindakan membuang duit saja menurut saya. Kecuali kalo server yang anda gunakan tidak menyediakan fasilitas BACKUP harian. Kalau begitu salahkan admin servernya dong.

Mengapa di HACK?
Bukan itu pertanyaan yang tepat. Kalau itu yang anda tanyakan, jawabanya akan sangat panjang. Pertanyaan yang tepat adalah, "Bagaimana bisa diHack?...Okey saya jelaskan sebatas kemanpuan saya.
Anda tahu dengan CRAWLER? itu adalah hewan peliharaan tuan GOOGLE. Dia adalah Laba-laba mesin raksasa yang tugasnya menjaring informasi website yang ada di dunia. Kehebatanya jangan diragukan. Kalau anda meragukan berarti anda juga meragukan Google sebagai mesin pencari no.1 di dunia. Spidernya Google ini dapat menangkap informasi sebuah website paling lama 7 hari kerja.
Lantas apa hubunganya? Sama seperti jarak matahari dengan bumi yang 10 menit. Website anda akan terdeteksi dengan baik oleh Link Scanner setelah 7 hari diaktifkan. Istilahnya Google Hacking. Silakan cara referensi Google Hacking di Internet. Intinya para hacker memanfaatkan Google sebagai Link Scanner situs- situs mana yang memiliki celah. Hanya dalam 7 hari. (seperti iklan produk kecantikan aja, he..he). Jadi jangan salahkan saya hanya karena saya yang tahu informasi website anda sebelumnya. Website anda sudah tayang 7 hari bukan?. Feuh....payah.

Kembali ke permasalahan. Joomla! merupakan CMS populer yang paling banyak digunakan oleh pengguna website, termasuk saya. Keunggulan Joomla tidak perlu dijelaskan lagi. Silakan datang ke toko buku di kota anda dan pilih sendiri puluhan judul buku yang membahas Joomla!.

Karena Joomla! banyak digunakan, jadi sudah pasti CMS ini jadi sasaran bulan- bulanan oleh para cracker. Berikut ini beberapa tips pengalaman saya menggunakan Joomla! dan teknik mengamankanya:

1. Update Continues
Sama seperti anti virus di komputer, Joomla! juga memerlukan update secara rutin. Terlambat sedikit saja tidak mengundape Core Joomla!, silakan tunggu saja serangan ke website anda.
Kapan kita melakukan Update?
Tidak seperti anti virus yang dapat langsung melakukan update jika kondisi dalam keadaan kritis. Joomla! harus diupdate secara manual.
Kapan waktu yang tepat?
Yang jelas ketika ada informasi celah keamanan pada versi Joomla! yang kita gunakan. Untuk lebih mudahnya anda bisa berlangganan RSS Feed melalui e-mail issue keamanan Joomla! di Joomla! Security Announcements. Jika terdapat celah keamanan pada sistem joomla!, maka akan ada informasi yang dikirimkan melalui e- mail untuk segera melakukan patching.
Beberapa orang mungkin masih bingung cara menginstal Joomla! Patch Package. Caranya adalah dengan menggunakan FTP Client misalnya FileZilla. Silakan cari di Google softwarenya dan caranya. Atau kirim e-mail ke saya, nanti saya jelaskan melalui chat.

2. No Hole
artinya?... tau ah, istilah saya aja itu. Jika anda pengguna web hosting pemula biasanya masih bingung dengan istilah ini. Pada direktori web hosting ada istilah folder access bukan? nah itu dia..Jadi pastikan direktory access pada posisi 775 atau 777 pada setiap folder. Kalau masih bingung tanyakan aja deh ke admin supportnya web hosting atau baca di manualnya deh.
....(saya menulis artikel ini sedang tidak didepan server dan dalam kondisi buru- buru, makanya tidak bisa detail, maaf ya)

3. Gunakan plugin jSecure
Plugin yang satu ini saya akui kehebatanya. Dengan plugin ini anda bisa mengganti URL halaman administrator default ke URL khusus. Tahukan, halaman administrator joomla dapat diakses di http://sitename.com/administrator. Plugin jSecure akan memindahkan alamat admin tersebut ke dalam bentuk http://sitename.com/administrator/?keyname. Keyname dapat anda buat sendiri sesuka hati.
Jadi dengan plugin ini anda bisa melindungi halaman login administrator. Lebih aman bukan?
4. Hati-hati menginstal Componen, Module dan Plugin
Serangan Joomla tidak hanya dilakukan melalui Core Joomla!. Sebagian besar justru melalui komponen, module, plugin atau templatenya. Jadi pastikan sebelum memilih module, komponen dan plugin, pastikan sumber websitenya jelas dan memiliki rating pengguna yang banyak serta tidak banyak keluhan.
Mudahnya, cari langsung dari sumbernya di Joomla! Ekstention. Kemudian baca reviewnya dan pastikan kondisinya aman.

5. Template premium tapi warez
Kehebatan Joomla! salah satunya adalah adanya beragam template menarik yang siap diunduh dimana saja. Template menarik pastinya yang premium. Namun anda harus menebusnya dengan cara membeli. Atau cara klasik lama dengan mencarinya di situs warez atau filesharing. Disana terdapat ratusan template premium siap unduh dan siap pakai.
Pertanyaanya apakan aman digunakan?
Saya jawab aman jika anda tahu menggunakannya. Namun sangat tidak aman jika langsung memakainya mentah- mantah.
Mengapa?
Template premium biasanya langsung berisi core, komponen, module dan plugin siap pakai dalam paket template yang disertakan. Enak sih, karena langsung jadi tinggal ganti artikel saja. Sayangnya hampir seluruh komponen yang disertakan dalam versi jadul. Kalau versi jadul digunakan sudah pasti mudah diserang toh?... anak kecil aja tahu jawabanya.
Jadi kalau anda menggunakan template premium abal-abal, pastikan juga anda menpacth core, komponen, module dan plugin yang disertakan di dalamnya. Cukup repot bahkan kemungkinan crashnya tinggi. Namun gimana lagi. Daripada setelah dipasang seminggu langsung diserang! iya ngga?
6. Ngumpul di Komunitas Joomla
Anda tak akan pintar tanpa bantuan orang lain. Oleh karena itu, untuk mempercepat wawasan anda tentang Joomla! silakan gabung di komunitas Joomla!. Cek di Joomla! ID

Wokeh... cukup panjang penjelasan saya. Kalau begitu sata akhiri saja deh. Namun sebelumnya saya tambahkan lagi beberapa catatan kecil sebagai pemertegas:

Pertama saya bukan tukang deface situs. Jadi jangan lagi menuduh saya yang melakukanya, apalagi berkoar-koar meminta dukungan di jejaring sosial. Takutnya saya nanti jadi terkenal, wkwkwk.
Kedua jangan salahkan Blog saya, karena melalui blog inilah saya masih menjadi orang baik yang mau membagikan segelintir ilmu yang saya peroleh dengan cucuran keringat.
Ketiga banyaklah belajar termasuk belajar dari pengalaman. Saya bukan tidak pernah kena defaces, bahkan hampir tiga kali web saya pernah kena defaces. Bedanya saya memperbaikinya dengan kepala dingin, tidak menuduh apalagi mempropagandakan dengan orang banyak. Nampak sekali bodohnya kita, sudah jatuh cerita pula..wkwkwk
Keempat saya mohon maaf jika ocehan saya di atas tidak berkenan dengan hati pembaca. Saya hanya manusia biasa yang masih harus banyak belajar dan saling melengkapi. Tapi kalau tidak dimaafkan, mungkin waktu dan pengalaman akan menjelaskanya sendiri.

Maju terus teknologi informasi Indonesia

5 Komentar:

sofian on 18 Januari, 2010 12:13 mengatakan...

salam kenal bro ...

luar biasa ...

perlu banyak belajar dgn mu bro ...

heavy metal download on 20 Januari, 2010 19:17 mengatakan...

di mano rumah ciiik??? buli maen kerumah dak??nak belajar deface..ajari ndan...ok..awak orang bengkulu jugo

heavy metal download on 20 Januari, 2010 19:22 mengatakan...

salam ciiik awak orang bengkulu jugo...dimano rumah ndan???buli betandang sambil ngopi,,ngota2 dikit

siswara on 10 Maret, 2010 11:48 mengatakan...

mantab. gw suka gaya loe. heuheuehu. sip. maju trus panjang bujur. eh salah. pantang mundur maksudnya.. wkwkwkwkw. copy donk smua perpustakaan nya. :) swara_kreatif@yahoo.com

ancha on 14 Juni, 2011 21:55 mengatakan...

sepertinya memang harus penuh perhitungan sebelum kita membuat website, apalagi jika mengeluarkan banyak dana, jangan terlalu memikirkan dari sisi "pengen terkenal" kaarna punya web tapi belajar jaringan dan security-x juga mutlak di mengerti, yah kalau pun baru belajar baiknya minta bntua admin yg sudah handal, nah cara yg palaing baik adalah mengetes tingkat securitya sebelum benar2 di upload, (Sedikit bijak)

Poskan Komentar

Jangan lupa tambahkan komentar anda pada artikel ini

 

Tentang saya

MUCHLISIN adalah pengajar/praktisi elektronika dan komputer di kota Bengkulu. Blog Idecapung didedikasikan sebagai media sharing informasi, edukasi dan hobi.
RSS Link Twitter Link Facebook Link RSS Email

Free Page Rank Tool TopOfBlogs Computers Blogs

Chatbox

Teman Facebook

Pengikut