Manual Knowledge Base

Menambah Sistem Keamanan Website Joomla Anda

Qwords.com Manual Knowledge Base March 11, 2012


image_pdfimage_print

Aksi hacker yang semakin hari semakin marak di dunia maya tentunya membuat kita semakin resah memikirkan website/blog kita yang tidak terbebas dari ancaman para hacker yang semakin hari semakin pintar mencari celah kelemahan yang ada pada CMS website kita, salah satunya diantaranya adalah CMS Joomla.

Setiap CMS termasuk Joomla selalu mempunyai celah bug/keamanan yang senantiasa di analisa oleh para pengembangnya untuk ditutupi dengan script yang lebih aman akan tetapi bug ini juga dianalisa oleh hacker untuk disisipi script berbahaya. Oleh karena itu sembari menunggu update terbaru dari pengembang CMS Joomla, kita juga perlu menutupi celah ini dengan berbagai cara yang ada, apa saja cara menambah sistem keamanan website Joomla anda ?, mari ikuti tutorialnya dibawah ini:

 

1. Update Versi Joomla/component/plugin/Extension anda dengan update terbaru. untuk melakukan update joomla anda dapat mempergunakan Jupdateman

https://kb.qwords.com/update-joomla-dengan-jupdateman/

 

2. Ganti prefix database dengan prefix lain (jos_)

Untuk menghindari peretas melakukan SQL injection ke database joomla, maka buatlah peretas tidak dapat menemukan jos_users. caranya, ubah prefix jos_ ke prefix lain:

Login Joomla Back End

– Masuk ke Global Configuration

– Pada bagian database, ganti prefix dari jos_ ke prefix lain, contoh: qwerty_ , jika sudah lalu pilih save

– Masuk ke menu phpMyAdmin dan pilih database anda

– Pilih Export -> Go

– setelah Database terdownload, hapus database anda di phpmyadmin

– Buka file sql yang didownload menggunakan notepad -> pilih Search & Replace (Ctrl + H) -> isi kotak search dengan jos_ -> isi kotak replace dengan qwerty_ -> klik Replace All ->Save

– Pilih menu Import di phpMyAdmin -> Pilih sql yang diedit diatas -> Go

 

3. Sembunyikan Versi Joomla Anda

Peretas akan sangat mudah menghack joomla anda jika website joomla anda menampilkan versinya saat di View Page Source, hacker tinggal melihat catatan celah keamanan sesuai versinya lalu melakukan aksinya tanpa bersusah payah mencoba semua cara hack yang ada. oleh karena itu sembuyikan versi joomla anda dengan cara:

Login Cpanel anda

– Masuk File manager

– Masuk ke folder *public_html/libraries/joomla/document/html/renderer/

– Edit file head.php

temukan script dibawah ini

$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;

Ubah menjadi:

//$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;

– Masuk ke folder *public_html/templates/namatemplate/

– Edit file index.php

temukan script dibawah ini:

<jdoc:include type="head" />:

tambahkan tepat diatas script tersebut:

$this->setGenerator(null);

atau

$this->setGenerator("");

atau

$document = &JFactory::getDocument();
$document->setGenerator('');

Save

 

4. Selalu  hanya menginstall Component/plugin/extension yang terpercaya dan langsung dari pengembangnya. Anda dapat melihat link berikut untuk daftar Extension Joomla yang mempunyai celah bug/bermasalah:

http://docs.joomla.org/Vulnerable_Extensions_List

 

4. Pergunakan CHMOD yang sesuai, file 644 sedangkan folder 755

https://kb.qwords.com/mengganti-chmod-permission/

 

5. Ubah Password admin Cpanel dan Back End Joomla secara berkala

 

6. Tidak hanya mendisablenya tapi juga Hapus Component/Plugin/Extension yang tidak digunakan.

 

7. Edit file .htaccess anda melalui File Manager, tambahkan script dibawah ini:

########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

 

8. Amankan halaman login backend joomla dengan Jsecure

https://kb.qwords.com/halaman-admin-joomla-lebih-aman-dengan-jsecure-authentication/

 

—————————————————————————————————————————————————

Langkah-langkah di atas tidak menjamin website Joomla anda aman 100% dari hacker. Untuk lebih menyulitkan para hacker untuk masuk ke website anda, kami sarankan juga menggunakan password yang kuat pada cPanel hosting. Usahakan password pada cPanel dan Back end Joomla anda menggunakan password yang berbeda.

Semoga tutorial ini dapat membantu anda yang ingin selalu menjaga website Joomla tetap aman.

Jika ada pertanyaan, silakan menghubungi tim support kami melalui Tombol Buka Tiket dibawah ini:

Buka Tiket

  • agung

    setelah Database terdownload, hapus database anda di phpmyadmin

    hapusnya bagaimana … ?

  • ponco

    Untuk menghindari peretas melakukan SQL injection ke database joomla, maka buatlah peretas tidak dapat menemukan jos_users. caranya, ubah prefix jos_ ke prefix lain:
    – Login Joomla Back End
    – Masuk ke Global Configuration
    – Pada bagian database, ganti prefix dari jos_ ke prefix lain, contoh: qwerty_ , jika sudah lalu pilih save

    web saya malah rusak, ada tulisan …

    jtablesession::Store Failed
    DB function failed with error number 1146
    Table ‘autorcom_joom968.qwerty_session’ doesn’t exist SQL=INSERT INTO `qwerty_session` ( `session_id`,`time`,`username`,`gid`,`guest`,`client_id` ) VALUES ( ’52f530f6d265d7efe99566694917d984′,’1340593589′,”,’0′,’1′,’0′ )

  • mas dedi

    gan, kalo j scure nya eror gimana cara memperbaikinya gan, karna j scure ane ga bisa di Uninstal gan, kalo mau ngehapus secara manual di publik HTML nya gimana gan? Kalo ada saran mohon di kirimkan ke email ane aja gan. “dediari11@gmail.com”
    trima kasih

  • imam hasan

    terimakasih banyak infonya,,
    berguna banget…

  • Qwords.com

    Qwords.com Post author

    sama-sama 🙂

  • Qwords.com

    Qwords.com Post author

    coba di upload ulang plugin jsecure ny di public_html di extract di folder plugins, kalau dihapus ga bisa diakses nanti hal admin nya

  • Riefvan

    Jsecure sudah commercial, bisa ganti dengan ksecure yang masih free. Cara pakai sama.

  • Qwords.com

    Qwords.com Post author

    terima kasih masukannya :), nanti kita coba buatkan artikelnya juga 🙂

  • s4nd

    Boss yang No 3. Sembunyikan Versi Joomla Anda
    scriptnya ko sama..apa yang dirubah…

  • Qwords.com

    Qwords.com Post author

    ada 2 garis miring // di depannya 🙂

Leave a Comment