Successfully reported this slideshow.

Keamanan Blog by Frenavit Putra

1,600 views

Published on

Presentasi tentang Keamanan Blog yang membahas bagaimana cara mengamankan Blog. Presentasi ini digunakan untuk acara roadblog Blogilicious IdBlognetwork

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Keamanan Blog by Frenavit Putra

  1. 1. Blog Security<br />Mari amankan Blog Kita<br />Oleh :<br />Frenavit Putra<br />
  2. 2. Sayaadalah?<br />Nama : Frenavit KusmanSetia Putra<br />NamaBeken : Frenavit Putra & Bodrex<br />Alamat : Ds. Beratwetan. Gedeg. Mojokerto<br />AlamatSementara : GebangWetan 23 B, Sby<br />No Telp : 085 648 506 364<br />Blog : http://frenavit.com<br />Email : mail[at]frenavit[dot]com<br />Frenavit Putra<br />@frenavit<br />@frenavit<br />@frenavitputra<br />frenavit<br />
  3. 3. Securty Blog itu..<br />Blog<br />=<br />Rumah<br />Internet<br />
  4. 4. Ancamanterhadap Blog<br /><ul><li>Pembobolan Account (Brute Force)
  5. 5. SQL Injection
  6. 6. Cross-site Scripting (XSS)
  7. 7. SpamingKomentar
  8. 8. Deface
  9. 9. DOS Attack (Denial of Service)</li></li></ul><li>Brute force adalahprosesuntukmengetahui password dan user name seseorangdenganmenggunakanmetode trial and error.<br /><ul><li>Brute forcemenggunakansebuahpendekatan yang lempang(straightforward) untukmemecahkansuatumasalah, biasanyadidasarkanpadapernyataanmasalah(problem statement) dandefinisikonsep yang dilibatkan.
  10. 10. Algoritmabrute forcememecahkanmasalahdengansangatsederhana, langsungdandengancara yang jelas(obvious way).</li></ul>Brute Force<br />
  11. 11. Acount Blog mudahdiboboldikarenakan 2 faktor, faktor internal daneksternal.<br />Internal :<br /><ul><li>Penggunaan Username dan Password yang mudahditebak
  12. 12. Adanya “Bug” pada OS Hosting atau CMS yang kitapakai</li></ul>Pembobolan Account (1)<br />
  13. 13. Eksternal:<br /><ul><li>Phising</li></ul>Phising (pengelabuhan) adalahsuatubentukpenipuan yang dicirikandenganpercobaanuntukmendapatkaninformasi, seperti password dan username, denganmenyamarsebagaiorangataubisnis yang terpercayadalamsebuahkomunikasielektronikresmi, seperti email ataupesaninstan, banner.<br />Pembobolan Account (2)<br />
  14. 14. Pembobolan Account (3)<br /><ul><li>Sniffing</li></ul>Sniffing atau “penyadapanpaket” adalahsebuahkegiatanuntukmenyadapsetiappaket data yang adadidalamsebuahjaringan, baikjaringan internet atau LAN.<br />Internet<br />Sniffer<br />
  15. 15. SQL Injection adalahsebuahteknikpenyerangan yang memanfaatkansebuah“celah”keamanan yang adadalamlapisan database sebuahaplikasi.<br />Celah Database yang dimaksuddiatastersebutadalahsebuahcelah yang ketikaseorangpenggunamemasukkanisiankarakterkedalam form input yang manatidakada filter secarabenardarikarakter-karakterbebas yang adadi SQL.<br />Beberapakarakterbebas : ‘/”[]^,. dll<br />SQL Injection<br />
  16. 16. XSSatauCross Site Scriptingadalahteknik yang digunakanuntukmenambahkandanmenanamkan script padasebuah website atau blog yang akandieksekusioleh user lain pada browser user lain tersebut.<br />XSSatauCross Site Scripting umumnyamenggunakanHTML/JavaScript, ataubahkanVBScript, ActiveX, Java, Flash, dllyang diinputkanmelalui input form sepertikolomkomentarpada Blog<br />Cross Site Scripting (1)<br />
  17. 17. Cross Site Scripting (2)<br />Cara cekapakahbisadilakukan Cross Site Scripting Blog kita:<br />Silahkanmasukkan tag script via form komen, misal : <script>alert(‘sayacakep');</script><br />Jikaternyatakeluar alert “sayacakep” ketikahalamandi refresh makabisadipastikan Blog kitabisadilakuan Cross Site Scripting.<br />Cross Site Scripting<br />Redirect<br />
  18. 18. SpamingKomentar<br />Spamming Komentar(komentarsampah) adalahpengirimankomentarsecaraotomatis yang dilakukanoknumkebeberapa Blog sekaligus. Komentar Spam dikirimdengantujuanuntumempromosikansebuah site atauproduktertentu.<br />Untukdapatdikatagorikanmenjadi spam, sebuahkomentarmuncultidakdimintadantermasukbulk.<br /><ul><li>Tidakdiminta. Berartibahwakitatidaksecaraeksplisitmemintauntukmenerimakomentar yang tidakberhubungandenganartikeldi blog kita.
  19. 19. Bulkberartibahwakomentartersebutsamaatauhampirsamadengan yang dikirimkebanyak blog lain.</li></li></ul><li>Deface/Defacingataucyber grafitysecaraumumdiartikansebagaiaktifitasmenodaiataumerubahubahisisuatuhalaman web dengankalimat, image atau link tertentu yang tidakadasangkutpautnyadenganmisi web tersebut .<br />Deface<br />
  20. 20. DoS Attacks (denial-of-service attacks) adalahseranganterhadapsebuahkomputeratau server didalamjaringan internet dengancaramenghabiskansumber (resource) yang dimilikiolehkomputertersebutsampaikomputertersebuttidakdapatmenjalankanfungsinyadenganbenarsehinggasecaratidaklangsungmencegahpengguna lain untukmemperolehakseslayanandarikomputer yang diserangtersebut.<br />DoS Attacks<br />
  21. 21. DoS Attacks Skema<br />
  22. 22. KemungkinanAncamanKeamanan Blog<br />
  23. 23. Solusi??<br />
  24. 24. Ganti Username “Admin”, Hal inidigunakanuntukmenghindari Brute Force yang dilakukan Hacker.<br />GunakankombinasiHuruf, angka, danspesialkarakteruntuk username dan password Blog yang powerfull.<br />Ganti Username dan Password secaraBerkala.<br />Amankan Blog<br />
  25. 25. Gunakan password yang kuat. <br />Segera update CMD danPluginswordpresskeversiterbaru.<br />Sembunyikanhalaman Login Standard (http://site.com/wp-admin) denganurllain.<br />Menyembunyikanversiwordpress<br />Pindahkan File wp-config.php.<br />Gunakan Secret Keys.<br />RubahWordPress table prefix.<br />.htaccesslockdown<br />Buat file .htaccess di dalam folder wp-admin.<br />SembunyikanPlugin yang defaultnyaterletakpada http://site.com/wp-content/plugins.<br />Amankan Blog Wordpress<br />
  26. 26. Menggunakan Password yang Kuat<br /><ul><li>Hindarimenggunakantgllahir.
  27. 27. Janganmengandungkata yang adadi Username.
  28. 28. Terdapatkombinasiantaraangka, huruf, dankarakter. Kombinasikanjugadenganhurufbesarkecil.
  29. 29. Gunakan Password generator.</li></ul>MudahdiIngat<br />
  30. 30. Update CMS danPluginsWordpress<br />Update Engine CMS WordpressdanPluginswordpress yang itagunakanmutlak “wajib” dilakukankarena update keversiterbaruakanmenutupcelah (bug) yang adadiversi lama.<br />
  31. 31. MenyembunyikanHalaman Login Standard<br />Tujuanuntukmenyembunyikanhalaman Login wordpress standard (http://site.com/wp-admin) dilakukanuntukmenghindariadanya Brute Force.<br />Untukmenyembunyikanhalaman Login inibisamenggunakanPlugins Stealth Login<br />
  32. 32. UntukmenyembunyikanVersiWordpressdapatdilakukandengan 2 cara, yaitu :<br />Menambahkan script berikutdi functions.php.<br />function hide_wp_vers()<br /> {<br /> return '';<br /> }<br />add_filter('the_generator',' hide_wp_vers');<br />MenggunakanPlugins Secure Wordpress<br />MenyembunyikanVersiWordpress<br />
  33. 33. Pindahkan File wp-config.php<br />Wp-configmerupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPresstidakakanberfungsi. File inidapatdisimpandiluar root direktoriWordPress. Caranyapindahkan file wp-config.php satu level diatas root direktoriWordPress. WordPresssecaraotomatisakanmencari file inibilatidakmenemukannyadi root direktorinya.<br />
  34. 34. Gunakan Secret Key<br />Secret Keys dibuatuntuklebihmenjamininformasi yang tersimpanpada cookies terenkripsisecaralebihbaik. Caranyagunakan online generator padahttp://api.wordpress.org/secret-key/1.1/. Di sanaakanterlihat 4 Secret Keys yang secaraacakterbentuk. Copy Secret Keys tersebutkemudianbuka file wp-config.php dan paste keposisidimanakeempat Secret Keys inidiletakkan.<br />
  35. 35. Ubah Table Prefix<br />Standard Table Perfix<br />Table Perfixmodif<br />‘wp_’<br />$table_prefix<br />BilakitamenggantinyasetelahmenginstallWordPress, kitabisamemanfaatkanplugin WP Security Scan atautabel prefix changer. Janganlupa back up terlebihdahulusebelummelakukannya.<br />
  36. 36. .htaccess lockdown<br />Cara iniakanmelindungiwp-admin direktorimelalui .htaccess. Cara inibekerjadenganmengunciaksesterhadapwp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapatmengakseswp-admin kita. Dan hampirtidakmungkinorang lain dengan IP address yang berbedabisamengakseswp-admin. Kode yang harusdibuatpada file .htaccess<br />AuthUserFile /dev/null<br />AuthGroupFile/dev/null<br />AuthName“Access Control”<br />AuthTypeBasic<br />order deny,allow<br />deny from all<br />#IP address to Whitelist<br />allow from xxx.xxx.xxx.xxx<br />Isidenganip<br />yang dikehendaki login<br />
  37. 37. Buat file .htaccess di dalam folder wp-admin<br /> # BEGIN WordPress<br />RewriteEngineOn<br />RewriteBase/<br />RewriteCond%{REQUEST_FILENAME} !-f<br />RewriteCond%{REQUEST_FILENAME} !-d<br />RewriteRule. /index.php [L]<br /># END WordPress<br />
  38. 38. Sembunyikan Plugin<br />Kenapaharusdisembunyikan? Jikatidakdisembunyikan, bisadimanfaatkanpara hacker/cracker bilaada 404 error page. Caranyabuat file .htaccessdantempatkandi folder /wp-content/pluginsdengankodesepertiini :<br /> # BEGIN WordPress<br />RewriteEngineOn<br />RewriteBase/<br />RewriteCond%{REQUEST_FILENAME} !-f<br />RewriteCond%{REQUEST_FILENAME} !-d<br />RewriteRule. /index.php [L]<br /># Prevents directory listing<br />IndexIgnore*<br /># END WordPress<br />
  39. 39. Cara LainSembunyikan Plugin<br />Cara lain untukmenyembunyikanpluginsyaitudenganmembuat file index.html yang isinyakosongkemudian upload kewp-content/plugin. Ataucara lain untukmembuat file .htaccessuntukmelindungidirektoriwp-admin, wp-includes, dll. <br />Bagi yang menggunakan hosting dengan CPANEL, bisamemanfaatkanfasilitas Leech Protect dariCpaneltempatanda hosting wordpress.<br />
  40. 40. Plugins Wordpress untuk kemanan Blog (1)<br />Limit Login Attempts<br />Plugininidapatmelakukanblokterhadap user selama 20 menitsetelahsalahmemasukan password sebanyak 4 kali (dapatdiubah manual). Hal inimenjadijalanterbaikuntukmengatasiseranganberupa Brute Force.<br />Download plugin limit login attempts dihttp://wordpress.org/extend/plugins/limit-login-attempts/<br />
  41. 41. Plugins Wordpress untuk kemanan Blog (2)<br />WP Security Scan<br />Plugininimenawarkanbeberapafiturgandasepertifile permission, menyembunyikanversiwordpress, database securitydanproteksiterhadap admin. Pluginini, jugadapatmelakukan scanning terhadapdirektory web danmemberi report menganai file permission yang seharusnya.<br />Download pluginwp security scan dihttp://wordpress.org/extend/plugins/wp-security-scan/<br />
  42. 42. Plugins Wordpress untuk kemanan Blog (3)<br />Sabre<br />Fungsiplugininidapatmenghentikanpendaftaranpenggunapalsu yang dilakukanoleh bots. PluginSabredapatmenambahkangambarverifikasiatauujimatematikauntukprosesregistrasi agar dapatmemastikanpengguna yang sudahterdaftartidakpalsu.<br />
  43. 43. Plugins Wordpress untuk kemanan Blog (4)<br />Semisecure Login<br />Plugininibergunauntukmeningkatkankeamanandariproses login denganmenggunakankuncipublikuntukmengenkripsipassword padasisiklien.<br />
  44. 44. Plugins Wordpress untuk kemanan Blog (5)<br />Secure WordPress<br />Plugininiakanmenjagadenganamaninstalasiwordpresskitadengansedikitfungsibantuan. Diadapatmenyembunyikaninformasimengenaiversiinstalasiwordpresskitayaitudengan:<br /><ul><li>Menghapuskesalahan-informasipadahalaman login
  45. 45. Menambahkan indeks.html ke-direktoriplugin (virtual)
  46. 46. Menghapus Really Simple Discovery
  47. 47. Menghapuswp-versi, kecualididaerah-admin
  48. 48. Menghapustema-update informasibagi non-admin
  49. 49. Menghapus Windows Live Writer
  50. 50. Menambahkan string untukdigunakan WP Scanner
  51. 51. Menghapusintimemperbaruiinformasiuntuk non-admin
  52. 52. Menghapusplugin-update informasibagi non-admin</li></li></ul><li>Kesimpulan<br />Banyakcarauntukmengamankan Blog kita, namuncaratersebuttidakkekaldansempurnaselamanya. Cara mengamankan yang paling sempurnaadalahdenganselaluwaspadadanberjaga-jaga.<br />
  53. 53. Sekian<br />&<br />Terimakasih<br />

×