Checklist Keselamatan SEBELUM anda install Joomla
Print

Pos pada 12/08/2010 / Oleh Syamsul kategori


Ada beberapa perkara penting yang harus dipertimbangkan sebelum anda install Joomla atau sebarang CMS lain ke dalam web server:

1. Pastikan setting (tetapan) berikut dibuat pada fail konfigurasi PHP (php.ini)

register_globals = off
Jika dibiar ON, penyerang boleh menghantar / menyuntik kod dengan pembolehubah (variable) untuk mendapatkan data anda.

magic_quotes_gpc = On
Jika dibiarkan ON, penyerang boleh menghantar kod serangan (malicious code) seperti kod suntikan SQL (SQL injection).

allow_url_fopen = off
Jika dibairkan ON, fungsi ini akan melayan fail dari luar seolah-olah ia datang dari dalam web server (local) pengguna. Walaupun ia berguna, ia sebenarnya membuka ruang untuk penyerang menghantar (memasukkan) dan melaksanakan kod yang datang dari web server asing. Dalam kebanyakan kes, ini adalah cara bagaimana web shells dan backdoors di masukkan ke dalam web server pelanggan. Jangan hidupkannya (on) melainkan ada extension/plugin (yang benar-benar kritikal) anda memerlukannya.

expose_php = off (default value = on)
Jika dibiarkan on, penyerang boleh mendapatkan banyak informasi berkenaan jenis platform (Sistem Operasi Komputer) dan perisian yang kita gunakan dalam web server. Mematikan fungsi ini walaupun bukan kritikal, akan mengurangkan risiko dengan melindungi maklumat web server anda daripada pengetahuan penyerang.

Sekiranya anda ingin membuat perubahan menyeluruh dalam web server anda, ubahsuai fail .htaccess dengan memasukkan kod seperti:

php_value name value

Sebagai contoh, jika anda ingin mengubah status off pada register_globals, maka masukkan kod:

php_value register_globals off

(nota: ubahsuai pada fail php.ini hanya akan membuat perubahan pada folder di mana fail itu berada sahaja)

2.  Pastikan database anda dilindungi katalaluan

Secara umumnya, semua CMS akan menggunakan pangkalan data (database) sebagai tempat menyimpan dan mengurus data. Pastikan username pengurus database anda BUKAN root. Ubahsuainya kepada username lain (root adalah nama default kebanyakan database).

Gunakan kombinasi aksara, nombor, atau perkataan khas untuk membina katalaluan. Jangan gunakan katalaluan yang biasa digunakan (password, P@55w0rd) atau sesuatu yang ada kaitan dengan diri atau syarikat anda (nombor telefon, tarikh lahir) kerana ia mudah diteka.

Bina akaun akses khas bagi pangkalan data CMS anda. Setiap pangkalan data dalam server database lazimnya boleh ditentukan siapa pengurusnya.

Pengarang: Syamsul telah bekerja di Kolej Komuniti Sabak Bernam sejak tahun 2004 dan mempunyai pengalaman mengendalikan pelbagai kursus berkaitan diagnosis komputer, rangkaian komputer, multimedia, serta pembangunan halaman web. Blog ini dibina sebagai tapak perkongsian ilmu berkaitan Joomla yang beliau terokai.

0 ulasan

Ulasan Pembaca

Catatan Terbaru Catatan Lama