Mengamankan Situs MyBB (Forum) Dari Serangan Hacker | Saya disini cuma mau share beberapa
cara untuk mengamankan Mybb .Hasil dari googling saya :D
Langsung aja ya tanpa basa basi kita mulai aja . Simak dan perhatikan baik - baik .
Ingat ganti tulisan yg saya kasih warna Hijau dengan pin yang kamu mau..
klo bisa di tambah2 dikit coding di config php nya dengan base64 biar lebih ajib
13. BACKUP!
Jangan lupa untuk selalu mem-backup database anda secara berkala, minimal dua minggu sekali untuk. Pepatahnya “sedia payung sebelum hujan”. File, mods atau template bisa di ganti dng yang baru, tetapi database tidak!
Langsung aja ya tanpa basa basi kita mulai aja . Simak dan perhatikan baik - baik .
1. Gunakan password yang KUAT.
Bukan cuma obat saja yang kuat, tapi password juga harus kuat. Saya rasa temen2 di sini sudah lebih ahli dalam masalah crack2 password, pasti sudah lebih ngerti. Yah intinya pastikan password anda memiliki minimal 8 karakter dng kombinasi angka, huruf dan karakter spesial.
2. Cek CHMOD permission anda.
Untuk sekedar jaga2 saja, pastikan anda mengecek CHMOD permission pada file manager. Direktori haruslah 755, dan file 644. File Config.php bisa anda ubah menjadi 444 jika mau. Adapun struktur nya yaitu :
Bukan cuma obat saja yang kuat, tapi password juga harus kuat. Saya rasa temen2 di sini sudah lebih ahli dalam masalah crack2 password, pasti sudah lebih ngerti. Yah intinya pastikan password anda memiliki minimal 8 karakter dng kombinasi angka, huruf dan karakter spesial.
2. Cek CHMOD permission anda.
Untuk sekedar jaga2 saja, pastikan anda mengecek CHMOD permission pada file manager. Direktori haruslah 755, dan file 644. File Config.php bisa anda ubah menjadi 444 jika mau. Adapun struktur nya yaitu :
Required – ./inc/settings.php – 666
Required – ./inc/config.php – 666 (install) 444 (after installation)
Required – ./cache/ – 777
Required – ./cache/themes/ – 777
Required – ./uploads/ – 777
Required – ./uploads/avatars/ – 777
Optional – ./admin/backups/ – 777
Optional – ./inc/languages/*language*/*all files*/ – 666
Optional – ./inc/languages/*language*/admin/*all files*/ – 666
3. Lindungi file Config.php.
Terkadang CHMOD saja tidak cukup. Untuk mencegah akses langsung ke file config.php, ada baiknya anda membuat aturan dalam .htaccess. Buat file .htaccess pada direktori /inc, dan isikan seperti dibawah :
Terkadang CHMOD saja tidak cukup. Untuk mencegah akses langsung ke file config.php, ada baiknya anda membuat aturan dalam .htaccess. Buat file .htaccess pada direktori /inc, dan isikan seperti dibawah :
<files config.php>
Order deny,allow
deny from all
</files>
Dengan begini jika ada yang mencoba mengakses langsung file config.php, maka akan di alihkan ke halaman 403 Forbiden Error.
4. Lindungi halaman admin dng .htaccsess.
Pada bagian ini boleh di ikuti boleh tidak karena memang sedikit beresiko. Kita akan membuat aturan dalam .htaccess agar hanya IP tertentu saja yang bisa mengakses halaman admin. Ini mungkin cara yang sangat mantap utk melindungi halaman admin, tapi ingat bisa saja sewaktu-waktu anda tidak bisa online di komputer sendiri misalnya, dan terpaksa OL di warnet . Loh? Gimana? hehe… tapi gapapa, tetap akan saya share kok. Oke, buat file .htaccess di dalam direktori ./admin, lalu isikan kode berikut:
4. Lindungi halaman admin dng .htaccsess.
Pada bagian ini boleh di ikuti boleh tidak karena memang sedikit beresiko. Kita akan membuat aturan dalam .htaccess agar hanya IP tertentu saja yang bisa mengakses halaman admin. Ini mungkin cara yang sangat mantap utk melindungi halaman admin, tapi ingat bisa saja sewaktu-waktu anda tidak bisa online di komputer sendiri misalnya, dan terpaksa OL di warnet . Loh? Gimana? hehe… tapi gapapa, tetap akan saya share kok. Oke, buat file .htaccess di dalam direktori ./admin, lalu isikan kode berikut:
RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_HOST} !^12\.345\.678\.9
RewriteRule .* http://www.di-alihkan-ke.com [R=301,L]
Di situ ada warna hijau , ganti dng IP kamu, dan yg warna merah ganti
dng alamat dimana orang orang lain akan di alihkan jika IP nya tidak
match. Sedangkan untuk multi admin atau multi IP, ini kode nya:
ErrorDocument 403 http://www.di-alihkan-ke.com
Order deny,allow
Deny from all
Allow from 123.45.67.899
Allow from 998.76.54.321
Aturan nya masih sama dengan yang sebelum nya. Paham kan?
5. Rename direktori admin.
Ini sangat penting utk menyembunyikan direktori admin. Secara default direktori admin yaitu adalah /admin. Utk mencegah heker2 yang tidak bertanggung jawab, kita harus merubah nama direktori admin, caranya: Edit file /inc/config.php, lalu cari baris berikut:
5. Rename direktori admin.
Ini sangat penting utk menyembunyikan direktori admin. Secara default direktori admin yaitu adalah /admin. Utk mencegah heker2 yang tidak bertanggung jawab, kita harus merubah nama direktori admin, caranya: Edit file /inc/config.php, lalu cari baris berikut:
$config['admin_dir'] = 'admin';
Ganti ‘admin’ menjadi direktori apa saja yg kira2 tidak mudah di tebak.
Setelah selesai, lalu save. Eitt, belum selesai. Jangan lupa mengganti
nama direktori /admin menjadi nama yang sudah kita tentukan sebelum nya
di config.php.
6. Sembunyikan link Admin Control Panel (ACP).
Secara default MyBB akan menampilkan link menuju halaman admin. Biasanya terletak di bagian atas forum, dng link “ACP”. Nah, ada baiknya kita jg menyembunyikan link ini. Jadi kalau misalnya ada yang berhasil masuk akun admin kita, dia tetap tidak bisa menemukan halaman admin nya. Adapun caranya adalah sbb: Buka file /inc/config.php, lalu cari baris:
6. Sembunyikan link Admin Control Panel (ACP).
Secara default MyBB akan menampilkan link menuju halaman admin. Biasanya terletak di bagian atas forum, dng link “ACP”. Nah, ada baiknya kita jg menyembunyikan link ini. Jadi kalau misalnya ada yang berhasil masuk akun admin kita, dia tetap tidak bisa menemukan halaman admin nya. Adapun caranya adalah sbb: Buka file /inc/config.php, lalu cari baris:
$config['hide_admin_links'] = 0;
Lalu ganti nilai 0 menjadi 1
$config['hide_admin_links'] = 1;
Lalu save. Dengan begini link menuju halaman admin akan di sembunyikan.
7. Matikan HTML dalam posting.
Tau kan HTML Injection? pasti tau lahh… nah, secara default MyBB memang mem-filter kode2 HTML dalam postingan, tapi ada baiknya kita “yakinkan” lagi agar MyBB tidak akan pernah memperbolehkan HTML masuk dalam postingan, atau dng kata lain MyBB harus mem-filter dng baik setiap kode HTML yang di input oleh member/user. Bagaimana caranya?, oke buka PhpMyAdmin lalu run query berikut:
7. Matikan HTML dalam posting.
Tau kan HTML Injection? pasti tau lahh… nah, secara default MyBB memang mem-filter kode2 HTML dalam postingan, tapi ada baiknya kita “yakinkan” lagi agar MyBB tidak akan pernah memperbolehkan HTML masuk dalam postingan, atau dng kata lain MyBB harus mem-filter dng baik setiap kode HTML yang di input oleh member/user. Bagaimana caranya?, oke buka PhpMyAdmin lalu run query berikut:
UPDATE `mybb_forums` SET `allowhtml` = '0';
Setelah itu, masuk ke ACP > Tools & Maintenance > Cache
Manager > forums > Rebuild Cache. Yup, MyBB tidak akan
mempedulikan HTML yg di input user.
8. Sembunyikan versi MyBB.
Memberitahukan versi forum kita sama saja dng berkata “Hey hacker, ini loh versi forum saya. Cari sana bug nya” haha… nah, kita wajib menyembunyikan versi dari forum kita. Caranya, masuk ke ACP > Configuration > General Configuration > Show Version Numbers > Off. Selesai deh…
9. Tetap up-to-date dengan mengikuti Milis MyBB.MyBB selalu meng-update CMS nya jika di temukan bug. Tapi kadang masih saja ada admin yg lengah atau terlalu malas utk mencari tau. Salah satu cara utk mengetahui perkembangan dari MyBB termasuk security update adalah, dng mengikuti milis dari MyBB itu sendiri. Milis nya bisa di lihat di sini: MyBB Mailing List.
10. Pastikan anda menggunakan versi terbaru dari MyBB.Ayolahh… jangan malas utk meng-upgrade forum anda. Kan sudah saya jelaskan pada poin 9. Jika MyBB merilis versi baru CMS nya, bisa di pastikan ada Bug yang telah di temukan pada versi sebelum nya. Dan tentu saja anda WAJIB utk meng-upgrade nya! caranya bisa anda lihat di Wiki MyBB
11. Jangan terlalu banyak menggunakan Plugin!.Saya tidak melarang anda utk menggunakan Plugin, anda sah2 saja mau pake plugin apa saja yang menurut anda keren. Tapi ingat, plugin di develop oleh pihak ketiga! bukan oleh developer resmi MyBB. Bisa saja terdapat Bug pada plugin yang anda gunakan sekarang! oleh karena itu, pastikan plugin yang anda gunakan itu secure dan bersih dari segala macam bug. 1-2 plugin saja sudah cukup, itu pun yang di rasa penting saja. Seperti anti-spam misalnya. Makin kompleks suatu plugin, makin besar juga kemungkinan ada bug nya!
12. Memberi Pin Di Login Administrator MyBB
1. Edit di administrator directory di /admin/inc/class_page.php Disekitar line 391
cari code ini :
8. Sembunyikan versi MyBB.
Memberitahukan versi forum kita sama saja dng berkata “Hey hacker, ini loh versi forum saya. Cari sana bug nya” haha… nah, kita wajib menyembunyikan versi dari forum kita. Caranya, masuk ke ACP > Configuration > General Configuration > Show Version Numbers > Off. Selesai deh…
9. Tetap up-to-date dengan mengikuti Milis MyBB.MyBB selalu meng-update CMS nya jika di temukan bug. Tapi kadang masih saja ada admin yg lengah atau terlalu malas utk mencari tau. Salah satu cara utk mengetahui perkembangan dari MyBB termasuk security update adalah, dng mengikuti milis dari MyBB itu sendiri. Milis nya bisa di lihat di sini: MyBB Mailing List.
10. Pastikan anda menggunakan versi terbaru dari MyBB.Ayolahh… jangan malas utk meng-upgrade forum anda. Kan sudah saya jelaskan pada poin 9. Jika MyBB merilis versi baru CMS nya, bisa di pastikan ada Bug yang telah di temukan pada versi sebelum nya. Dan tentu saja anda WAJIB utk meng-upgrade nya! caranya bisa anda lihat di Wiki MyBB
11. Jangan terlalu banyak menggunakan Plugin!.Saya tidak melarang anda utk menggunakan Plugin, anda sah2 saja mau pake plugin apa saja yang menurut anda keren. Tapi ingat, plugin di develop oleh pihak ketiga! bukan oleh developer resmi MyBB. Bisa saja terdapat Bug pada plugin yang anda gunakan sekarang! oleh karena itu, pastikan plugin yang anda gunakan itu secure dan bersih dari segala macam bug. 1-2 plugin saja sudah cukup, itu pun yang di rasa penting saja. Seperti anti-spam misalnya. Makin kompleks suatu plugin, makin besar juga kemungkinan ada bug nya!
12. Memberi Pin Di Login Administrator MyBB
1. Edit di administrator directory di /admin/inc/class_page.php Disekitar line 391
cari code ini :
<div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
dan ganti dengan begini :
<div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
<div class="label"{$login_label_width}><label for="pin">Secret PIN</label></div>
<div class="field"><input type="password" name="pin" id="pin" class="text_input" /></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
<div class="label"{$login_label_width}><label for="pin">Secret PIN</label></div>
<div class="field"><input type="password" name="pin" id="pin" class="text_input" /></div>
2. Edit Di Directory /admin/index.php pada line 136
cari code ini :
cari code ini :
if($user['uid'])
{
$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
$mybb->user = $db->fetch_array($query);
}
{
$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
$mybb->user = $db->fetch_array($query);
}
trus ganti dengan ini :
if($user['uid'])
{
$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
$mybb->user = $db->fetch_array($query);
}
if (isset($config['acp_pin']) && $mybb->input['pin'] != $config['acp_pin']) {
$default_page->show_login("Invalid PIN","error");
}
{
$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");
$mybb->user = $db->fetch_array($query);
}
if (isset($config['acp_pin']) && $mybb->input['pin'] != $config['acp_pin']) {
$default_page->show_login("Invalid PIN","error");
}
3. Edit di Directory ./inc/config.php latak kan code di bawah ini dimana saja
$config['acp_pin'] = 'yourpin';
klo bisa di tambah2 dikit coding di config php nya dengan base64 biar lebih ajib
13. BACKUP!
Jangan lupa untuk selalu mem-backup database anda secara berkala, minimal dua minggu sekali untuk. Pepatahnya “sedia payung sebelum hujan”. File, mods atau template bisa di ganti dng yang baru, tetapi database tidak!
Anda baru saja membaca artikel yang berkategori Hacking /
Security
dengan judul Mengamankan Situs MyBB (Forum) Dari Serangan Hacker. Anda bisa bookmark halaman ini dengan URL http://rpl4rt.blogspot.com/2013/03/menghindari-forum-kena-hack.html. Terima kasih!
Ditulis oleh:
Dika - Sabtu, 16 Maret 2013
mau tanya mas, saya bingung yang no. 6
BalasHapus6. Sembunyikan link Admin Control Panel (ACP).
sudah berhasil dilakukan. terus pas mau masuk ke admin, saya sendiri juga kebingungan tempatnya. jadi saya kembalikan ke semula. yang saya tanyakan, bagaimana kita selaku admin masu login sementara adminnya disembunyikan? mohon penjelasan
kalo mau masuk ke halaman admin, mas tinggal ketik url direktori adminnya..
Hapusmisal : http://situsanda.com/admin
jika di rektori sudah di ganti, sesuaikan nama direktori adminnya..