Sebagai basis pengelolaan Blog berbentuk
CMS yang mudah dioperasikan, Wordpress & Joomla sangat diminati
oleh banyak orang. Apabila sistem pengamanannya tidak bagus, maka jangan
harap bisa lolos dari tangan jahil hacker yang menghendakinya.
Banyak sekali cara untuk melakukan
hacking dan defacing. Walapun situs anda menggunakan basis full PHP,
jangan terlalu merasa gagah untuk menantang para hacker agar
menjahilinya.
Salah satu teknik populer yang mungkin
mudah untuk digunakan dalam melakukan hacking adalah melakukan
pendeteksian PHP, RFI, SQL, ASP, dan RFI vulnerability yang dilanjutkan
dengan melakukan penginjeksian file SQL maupun PHP. Bisa juga dengan
menimpa index.php beserta templatenya. Teknik penimpaan index.php
template ini, kita kenal dengan nama keren defacing. Cara ini masih
gampang mengatasinya melalui CPANEL hosting kita. Yang lebih parah
adalah dengan melakukan pengobrak-abrikan database Mysql kita.
Ketika saya iseng mencoba melakukan
pendeteksian menggunakan pendekatan Dork melalui Blackle API, ternyata
banyak sekali blog yang mudah dikerjain. Bahkan sekelas go.id, ac.id dan
.org-pun ternyata sangat rawan untuk dikerjain. Lihat sebagian datanya
disini.
Ada beberapa kesalahan mendasar
pengembang blog berbasis Wordpress dan Joomla. Salah satunya yang paling
serius dan paling gegabah adalah masih menggunakan Url admin bawaan.
Misalnya saja yang berbasis Wordpress masih menggunakan URL
http://www.namablog.com/wp-admin. Sedangkan yang berbasis Joomla masih
menggunakan http://www.namablog.com/administrator.
Kesalahan fatal ini merupakan pintu tol
bagi hacker untuk mengacak-acak blog kita. Contoh sederhana adalah blog
pribadi para pakar Blog maupun IT yang beredar di Kompasiana. Beberapa
yang saya kenal dan benderanya berkibar adalah EA, mas Pur Dumalana,
Gusti Bob dan Harja Saputra.
Mas Pur Dumalana, Gusti Bob, semua
blognya wordpress banget dan mengidentifikasi URL adminnya cukup dengan
nama blognya /wp-admin sisanya tinggal masukkan kode Dork-PHP dan
RFI-nya, sabar mencari celahnya, maka habislah riwayatnya. Script Union
sisanya (seperti:
**/union/**/select/**/1,2,3,4,5–d41d8cd98f00b204e9800998ecf8427e dan
seterusnya) tinggal masukin aja, maka tangan jahil langsung bisa
mengakses ke hak akses Super Admin. Demikian juga dengan milik EA yg
baru.
Harja Saputra, ini salah satu ahli
IT-nya DPR yang kemungkinan calon pengganti Roy Suryo (wkwkwkwk). Blog
pribadi dan kliennya juga dikembangkan dengan kurang hati-hati. Untuk
masuk ke URL admin masih menggunakan bawaan Joomla 1.5.3.2
/administrator. Dengan cara sederhana, sudah bisa dituju Token URLnya
dengan cara lama ->
/index.php?option=com_user&view=reset&layout=confirm. Dari
URL-nya saja sudah bisa ditangkap bahwa itu bentuk URL dari SEF Joomla.
(biasanya alamat URLnya http://namablog.com/index.php/(nama section)
nama kategori/ID file-alias.html.
Memang Joomla sudah memperbaiki
kesalahan script reset Adminnya dengan menggunakan Token berbasis MD5.
Tetapi sekali kena kode Token-nya, tamatlah riwayatnya. Salah satu
contoh kode Token reset berbasis MD 5 yang bisa saya baca misalnya
“d41d8cd98f00b204e9800998ecf8427e”. (Note: Tetapi tenang aja mas Harja
itu bukan kode Tokennya mas Harja). Nah terus bagaimana cara
mengatasinya? sebenarnya caranya sangat sederhana.
Cara umum
Bisa dilakukan dengan cara redirection
atau melakukan pembatasan akses melalui .htaccess. Masalahnya apakah itu
cukup ampuh? Jawabnya, bagi kelas Hacker medoiker itu cara yang
terlalu mudah.
Cara Khusus:
Wordpress, pasang admin
shield untuk melakukan pengubahan /wp-admin. Ubah nama database SQL dan
suffix-nya ke nama yang sulit diidentifikasi. Ingat bawaan nama
database SQL wp selalu diawali dengan WP plus 3 digit angka, dengan
suffix wp_ (Punya mas Bob dan mas EA) masih standard banget. Tetapi
hati-hati, kalau nggak paham jangan coba2 mengubah, nanti jadi error.
Sisanya biasa aja, misalnya melindungi direktori dan file di public_html
dengan permission code dan sebagainya.
Joomla, pasang backend
Token. Hati-hati juga masangnya. Sekali salah, kita jadi nggak bisa
mengakses blog kita sendiri kecuali membunuh token-nya melalui Cpanel.
Dan itu-pun lumayan rumit. O iya. Jangan lupa ubah juga suffix
databasenya dan juga tabel sqlnya.
Cara paling spesial
Buat script yang bisa
mengaburkan pelacakan melalui source
code. Misalnya, buat seolah-olah Joomla anda adalah Wordpress atau
sebaliknya. Ingat nggak, banyak ahli IT di Kompasiana yang mengira
mbahwo.com berbasis wordpress khan? Padahal kalau mau teliti, dari
URL-nya saja sudah aneh jelas bukan permalink dari Wordpress dan bukan
juga bawaan SEF dan mod_writer Apache dari Joomla. Lha terus dibuat dari
apa dong? Yang jelas, mbahwo.com itu
basis programnya banci. Kayak Kompasiana ini juga. Wkwkwkwkwkwk.
Nah, monggo silahkan melakukan
peninjauan ulang ke blog masing-masing. Mumpung hacker masih belum
terlalu mengenalnya dan belum gatal tangannya. Saya ingatkan sekali
lagi, jangan sekali-kali menantang para hacker, karena banyak
diantaranya yang saya kenal adalah tipe anak muda bersumbu pendek.
Tidak ada komentar:
Posting Komentar