Sebuah folder yang terbuka dapat digunakan oleh seorang “hacker” untuk mencoba menembus administrasi sebuah sistem. Penyediaan form, seperti: Halaman Login dan mesin pencari (Searching) akan dimanfaatka oleh hacker untuk menyusupkan kode SQL yang lebih dikenal dengan istilah MySQL Injection. Seorang hacker akan memanfaatakan form tersebut untuk menginjeksi beberapa kode SQL. Karena pada dasarnya, Halaman Login dan Searching mengarah ke database.
Semua pasti tahu, halaman login ke administrator Joomla sangat terbuka dan mudah diakses. Meskipun terdapat kolom user dan password, justeru hal itulah yang sering dimanfaatkan oleh hacker dalam melakukan mysql injection. Ada beberapa cara untuk memproteksi folder tersebut, diantaranya: memproteksi folder dengan password melalui fasilitas CPanel, memproteksi folder dengan .htaccess, memproteksi folder dengan kode tambahan (Misal: php, asp, dll), atau memanfaatkan extensions Joomla.
Joomla memiliki sebuah hambatan, pengguna dapat dengan mudah mengetahui situs dibuat dalam Joomla! dengan mengetikkan URL untuk mengakses administrasi wilayah (misal: www.sitename.com/administrator). Hal ini membuat hacker untuk meng-hack situs mereka dengan mudah terhadap id dan password Joomla!
Ada beberapa ekstensi (extensions) Joomla untuk memproteksi halaman administrator baik yang bersifat gratis ataupun berbayar. Berikut ini terdapat sebuah plugins dan module yang dapat digunakan untuk memproteksi halaman administrator Joomla. Module jSecure Authentication mencegah seseorang untuk mengakses halaman login administrator dengan cara menambahkan kunci akses (key access). Module ini dapat berfungsi pada Joomla 1.0.x, dan Joomla 1.5.x.
- Pertama kali, download file JSecure Authentication atau anda dapat mendownloadnya di situs resmi Joomla http://extensions.joomla.org).
- Masuklah ke halaman login administrator
- JIka menggunakan Joomla 1.0.x, pilih menu Module > Installer.
- Klik tombol Browse, tentukan file yang akan diupload. Klik tombol Upload & Install.
- Jika menggunakan Joomla 1.5.x, pilih menu Extensions > Install/Uninstall.
- Klik tombol Browse, tentukan file yang akan diupload. Klik tombol Upload & Install.
- Tunggu beberapa saat hingga proses instalasi berhasil.
- Setelah berhasil terinstal, ada beberapa baris script yang harus dimasukkan ke dalam file Joomla. Untuk Joomla 1.0.x, temukan file login.php dalam folder /administrator/templates/joomla_admin.
- Masukkan script script di bawah ini.
require_once( $mosConfig_absolute_path . '/administrator/includes/admin.php' );
mosLoadAdminModules( 'left' ); - Masuk ke halaman Administrator kembali. Pilih menu Module > Administrator Modules.
- Klik link jSecure Authentication.
- Pilih Published pada radion button, kemudian simpan.
- Pada Tab Parameter, masukkan teks sebagai kata kunci setelah administrator. Sehingga, untuk masuk halaman administrator Joomla sudah berubah menjadi http://domainmu.com/administrator?goto4dm1n. Ingat!!, terdapat akhiran ?goto4dm1n setelah administrator. Jika sudah yakin, tekan tombol Save untuk menyimpan. Pastikan tidak lupa dengan kunci tersebut, jika lupa maka tidak akan dapat login ke halaman administator Joomla.
- Untuk Joomla 1.5.x, setelah berhasil terinstal pilih menu Extensions > Module Manager.
- Pilih Administrator.
- Temukan module jSecure Authentication.
- Pilih Enabled.
- Pada Parameter, masukkan kata untuk memproteksi halaman administrator. Selanjutnya, klik tombol Save untuk menyimpan perubahan.
- Ujilah website anda, login ke halaman Administrator dengan cara menuliskan alamat URL http://domainmu.com/administrator. Apa yang terjadi ? !!!
sumber:www.slametrianto.net
0 komentar:
Posting Komentar