Keamanan Blog by Frenavit Putra

1,593 views

Published on

Presentasi tentang Keamanan Blog yang membahas bagaimana cara mengamankan Blog. Presentasi ini digunakan untuk acara roadblog Blogilicious IdBlognetwork

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,593
On SlideShare
0
From Embeds
0
Number of Embeds
113
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Keamanan Blog by Frenavit Putra

  1. 1. Blog Security<br />Mari amankan Blog Kita<br />Oleh :<br />Frenavit Putra<br />
  2. 2. Sayaadalah?<br />Nama : Frenavit KusmanSetia Putra<br />NamaBeken : Frenavit Putra & Bodrex<br />Alamat : Ds. Beratwetan. Gedeg. Mojokerto<br />AlamatSementara : GebangWetan 23 B, Sby<br />No Telp : 085 648 506 364<br />Blog : http://frenavit.com<br />Email : mail[at]frenavit[dot]com<br />Frenavit Putra<br />@frenavit<br />@frenavit<br />@frenavitputra<br />frenavit<br />
  3. 3. Securty Blog itu..<br />Blog<br />=<br />Rumah<br />Internet<br />
  4. 4. Ancamanterhadap Blog<br /><ul><li>Pembobolan Account (Brute Force)
  5. 5. SQL Injection
  6. 6. Cross-site Scripting (XSS)
  7. 7. SpamingKomentar
  8. 8. Deface
  9. 9. DOS Attack (Denial of Service)</li></li></ul><li>Brute force adalahprosesuntukmengetahui password dan user name seseorangdenganmenggunakanmetode trial and error.<br /><ul><li>Brute forcemenggunakansebuahpendekatan yang lempang(straightforward) untukmemecahkansuatumasalah, biasanyadidasarkanpadapernyataanmasalah(problem statement) dandefinisikonsep yang dilibatkan.
  10. 10. Algoritmabrute forcememecahkanmasalahdengansangatsederhana, langsungdandengancara yang jelas(obvious way).</li></ul>Brute Force<br />
  11. 11. Acount Blog mudahdiboboldikarenakan 2 faktor, faktor internal daneksternal.<br />Internal :<br /><ul><li>Penggunaan Username dan Password yang mudahditebak
  12. 12. Adanya “Bug” pada OS Hosting atau CMS yang kitapakai</li></ul>Pembobolan Account (1)<br />
  13. 13. Eksternal:<br /><ul><li>Phising</li></ul>Phising (pengelabuhan) adalahsuatubentukpenipuan yang dicirikandenganpercobaanuntukmendapatkaninformasi, seperti password dan username, denganmenyamarsebagaiorangataubisnis yang terpercayadalamsebuahkomunikasielektronikresmi, seperti email ataupesaninstan, banner.<br />Pembobolan Account (2)<br />
  14. 14. Pembobolan Account (3)<br /><ul><li>Sniffing</li></ul>Sniffing atau “penyadapanpaket” adalahsebuahkegiatanuntukmenyadapsetiappaket data yang adadidalamsebuahjaringan, baikjaringan internet atau LAN.<br />Internet<br />Sniffer<br />
  15. 15. SQL Injection adalahsebuahteknikpenyerangan yang memanfaatkansebuah“celah”keamanan yang adadalamlapisan database sebuahaplikasi.<br />Celah Database yang dimaksuddiatastersebutadalahsebuahcelah yang ketikaseorangpenggunamemasukkanisiankarakterkedalam form input yang manatidakada filter secarabenardarikarakter-karakterbebas yang adadi SQL.<br />Beberapakarakterbebas : ‘/”[]^,. dll<br />SQL Injection<br />
  16. 16. XSSatauCross Site Scriptingadalahteknik yang digunakanuntukmenambahkandanmenanamkan script padasebuah website atau blog yang akandieksekusioleh user lain pada browser user lain tersebut.<br />XSSatauCross Site Scripting umumnyamenggunakanHTML/JavaScript, ataubahkanVBScript, ActiveX, Java, Flash, dllyang diinputkanmelalui input form sepertikolomkomentarpada Blog<br />Cross Site Scripting (1)<br />
  17. 17. Cross Site Scripting (2)<br />Cara cekapakahbisadilakukan Cross Site Scripting Blog kita:<br />Silahkanmasukkan tag script via form komen, misal : <script>alert(‘sayacakep');</script><br />Jikaternyatakeluar alert “sayacakep” ketikahalamandi refresh makabisadipastikan Blog kitabisadilakuan Cross Site Scripting.<br />Cross Site Scripting<br />Redirect<br />
  18. 18. SpamingKomentar<br />Spamming Komentar(komentarsampah) adalahpengirimankomentarsecaraotomatis yang dilakukanoknumkebeberapa Blog sekaligus. Komentar Spam dikirimdengantujuanuntumempromosikansebuah site atauproduktertentu.<br />Untukdapatdikatagorikanmenjadi spam, sebuahkomentarmuncultidakdimintadantermasukbulk.<br /><ul><li>Tidakdiminta. Berartibahwakitatidaksecaraeksplisitmemintauntukmenerimakomentar yang tidakberhubungandenganartikeldi blog kita.
  19. 19. Bulkberartibahwakomentartersebutsamaatauhampirsamadengan yang dikirimkebanyak blog lain.</li></li></ul><li>Deface/Defacingataucyber grafitysecaraumumdiartikansebagaiaktifitasmenodaiataumerubahubahisisuatuhalaman web dengankalimat, image atau link tertentu yang tidakadasangkutpautnyadenganmisi web tersebut .<br />Deface<br />
  20. 20. DoS Attacks (denial-of-service attacks) adalahseranganterhadapsebuahkomputeratau server didalamjaringan internet dengancaramenghabiskansumber (resource) yang dimilikiolehkomputertersebutsampaikomputertersebuttidakdapatmenjalankanfungsinyadenganbenarsehinggasecaratidaklangsungmencegahpengguna lain untukmemperolehakseslayanandarikomputer yang diserangtersebut.<br />DoS Attacks<br />
  21. 21. DoS Attacks Skema<br />
  22. 22. KemungkinanAncamanKeamanan Blog<br />
  23. 23. Solusi??<br />
  24. 24. Ganti Username “Admin”, Hal inidigunakanuntukmenghindari Brute Force yang dilakukan Hacker.<br />GunakankombinasiHuruf, angka, danspesialkarakteruntuk username dan password Blog yang powerfull.<br />Ganti Username dan Password secaraBerkala.<br />Amankan Blog<br />
  25. 25. Gunakan password yang kuat. <br />Segera update CMD danPluginswordpresskeversiterbaru.<br />Sembunyikanhalaman Login Standard (http://site.com/wp-admin) denganurllain.<br />Menyembunyikanversiwordpress<br />Pindahkan File wp-config.php.<br />Gunakan Secret Keys.<br />RubahWordPress table prefix.<br />.htaccesslockdown<br />Buat file .htaccess di dalam folder wp-admin.<br />SembunyikanPlugin yang defaultnyaterletakpada http://site.com/wp-content/plugins.<br />Amankan Blog Wordpress<br />
  26. 26. Menggunakan Password yang Kuat<br /><ul><li>Hindarimenggunakantgllahir.
  27. 27. Janganmengandungkata yang adadi Username.
  28. 28. Terdapatkombinasiantaraangka, huruf, dankarakter. Kombinasikanjugadenganhurufbesarkecil.
  29. 29. Gunakan Password generator.</li></ul>MudahdiIngat<br />
  30. 30. Update CMS danPluginsWordpress<br />Update Engine CMS WordpressdanPluginswordpress yang itagunakanmutlak “wajib” dilakukankarena update keversiterbaruakanmenutupcelah (bug) yang adadiversi lama.<br />
  31. 31. MenyembunyikanHalaman Login Standard<br />Tujuanuntukmenyembunyikanhalaman Login wordpress standard (http://site.com/wp-admin) dilakukanuntukmenghindariadanya Brute Force.<br />Untukmenyembunyikanhalaman Login inibisamenggunakanPlugins Stealth Login<br />
  32. 32. UntukmenyembunyikanVersiWordpressdapatdilakukandengan 2 cara, yaitu :<br />Menambahkan script berikutdi functions.php.<br />function hide_wp_vers()<br /> {<br /> return '';<br /> }<br />add_filter('the_generator',' hide_wp_vers');<br />MenggunakanPlugins Secure Wordpress<br />MenyembunyikanVersiWordpress<br />
  33. 33. Pindahkan File wp-config.php<br />Wp-configmerupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPresstidakakanberfungsi. File inidapatdisimpandiluar root direktoriWordPress. Caranyapindahkan file wp-config.php satu level diatas root direktoriWordPress. WordPresssecaraotomatisakanmencari file inibilatidakmenemukannyadi root direktorinya.<br />
  34. 34. Gunakan Secret Key<br />Secret Keys dibuatuntuklebihmenjamininformasi yang tersimpanpada cookies terenkripsisecaralebihbaik. Caranyagunakan online generator padahttp://api.wordpress.org/secret-key/1.1/. Di sanaakanterlihat 4 Secret Keys yang secaraacakterbentuk. Copy Secret Keys tersebutkemudianbuka file wp-config.php dan paste keposisidimanakeempat Secret Keys inidiletakkan.<br />
  35. 35. Ubah Table Prefix<br />Standard Table Perfix<br />Table Perfixmodif<br />‘wp_’<br />$table_prefix<br />BilakitamenggantinyasetelahmenginstallWordPress, kitabisamemanfaatkanplugin WP Security Scan atautabel prefix changer. Janganlupa back up terlebihdahulusebelummelakukannya.<br />
  36. 36. .htaccess lockdown<br />Cara iniakanmelindungiwp-admin direktorimelalui .htaccess. Cara inibekerjadenganmengunciaksesterhadapwp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapatmengakseswp-admin kita. Dan hampirtidakmungkinorang lain dengan IP address yang berbedabisamengakseswp-admin. Kode yang harusdibuatpada file .htaccess<br />AuthUserFile /dev/null<br />AuthGroupFile/dev/null<br />AuthName“Access Control”<br />AuthTypeBasic<br />order deny,allow<br />deny from all<br />#IP address to Whitelist<br />allow from xxx.xxx.xxx.xxx<br />Isidenganip<br />yang dikehendaki login<br />
  37. 37. Buat file .htaccess di dalam folder wp-admin<br /> # BEGIN WordPress<br />RewriteEngineOn<br />RewriteBase/<br />RewriteCond%{REQUEST_FILENAME} !-f<br />RewriteCond%{REQUEST_FILENAME} !-d<br />RewriteRule. /index.php [L]<br /># END WordPress<br />
  38. 38. Sembunyikan Plugin<br />Kenapaharusdisembunyikan? Jikatidakdisembunyikan, bisadimanfaatkanpara hacker/cracker bilaada 404 error page. Caranyabuat file .htaccessdantempatkandi folder /wp-content/pluginsdengankodesepertiini :<br /> # BEGIN WordPress<br />RewriteEngineOn<br />RewriteBase/<br />RewriteCond%{REQUEST_FILENAME} !-f<br />RewriteCond%{REQUEST_FILENAME} !-d<br />RewriteRule. /index.php [L]<br /># Prevents directory listing<br />IndexIgnore*<br /># END WordPress<br />
  39. 39. Cara LainSembunyikan Plugin<br />Cara lain untukmenyembunyikanpluginsyaitudenganmembuat file index.html yang isinyakosongkemudian upload kewp-content/plugin. Ataucara lain untukmembuat file .htaccessuntukmelindungidirektoriwp-admin, wp-includes, dll. <br />Bagi yang menggunakan hosting dengan CPANEL, bisamemanfaatkanfasilitas Leech Protect dariCpaneltempatanda hosting wordpress.<br />
  40. 40. Plugins Wordpress untuk kemanan Blog (1)<br />Limit Login Attempts<br />Plugininidapatmelakukanblokterhadap user selama 20 menitsetelahsalahmemasukan password sebanyak 4 kali (dapatdiubah manual). Hal inimenjadijalanterbaikuntukmengatasiseranganberupa Brute Force.<br />Download plugin limit login attempts dihttp://wordpress.org/extend/plugins/limit-login-attempts/<br />
  41. 41. Plugins Wordpress untuk kemanan Blog (2)<br />WP Security Scan<br />Plugininimenawarkanbeberapafiturgandasepertifile permission, menyembunyikanversiwordpress, database securitydanproteksiterhadap admin. Pluginini, jugadapatmelakukan scanning terhadapdirektory web danmemberi report menganai file permission yang seharusnya.<br />Download pluginwp security scan dihttp://wordpress.org/extend/plugins/wp-security-scan/<br />
  42. 42. Plugins Wordpress untuk kemanan Blog (3)<br />Sabre<br />Fungsiplugininidapatmenghentikanpendaftaranpenggunapalsu yang dilakukanoleh bots. PluginSabredapatmenambahkangambarverifikasiatauujimatematikauntukprosesregistrasi agar dapatmemastikanpengguna yang sudahterdaftartidakpalsu.<br />
  43. 43. Plugins Wordpress untuk kemanan Blog (4)<br />Semisecure Login<br />Plugininibergunauntukmeningkatkankeamanandariproses login denganmenggunakankuncipublikuntukmengenkripsipassword padasisiklien.<br />
  44. 44. Plugins Wordpress untuk kemanan Blog (5)<br />Secure WordPress<br />Plugininiakanmenjagadenganamaninstalasiwordpresskitadengansedikitfungsibantuan. Diadapatmenyembunyikaninformasimengenaiversiinstalasiwordpresskitayaitudengan:<br /><ul><li>Menghapuskesalahan-informasipadahalaman login
  45. 45. Menambahkan indeks.html ke-direktoriplugin (virtual)
  46. 46. Menghapus Really Simple Discovery
  47. 47. Menghapuswp-versi, kecualididaerah-admin
  48. 48. Menghapustema-update informasibagi non-admin
  49. 49. Menghapus Windows Live Writer
  50. 50. Menambahkan string untukdigunakan WP Scanner
  51. 51. Menghapusintimemperbaruiinformasiuntuk non-admin
  52. 52. Menghapusplugin-update informasibagi non-admin</li></li></ul><li>Kesimpulan<br />Banyakcarauntukmengamankan Blog kita, namuncaratersebuttidakkekaldansempurnaselamanya. Cara mengamankan yang paling sempurnaadalahdenganselaluwaspadadanberjaga-jaga.<br />
  53. 53. Sekian<br />&<br />Terimakasih<br />

×