Utama
Checklist Keselamatan SEBELUM anda install Joomla
Ada beberapa perkara penting yang harus dipertimbangkan sebelum anda install Joomla atau sebarang CMS lain ke dalam web server:
1. Pastikan setting (tetapan) berikut dibuat pada fail konfigurasi PHP (php.ini)
register_globals = off
Jika dibiar ON, penyerang boleh menghantar / menyuntik kod dengan pembolehubah (variable) untuk mendapatkan data anda.
magic_quotes_gpc = On
Jika dibiarkan ON, penyerang boleh menghantar kod serangan (malicious code) seperti kod suntikan SQL (SQL injection).
allow_url_fopen = off
Jika dibairkan ON, fungsi ini akan melayan fail dari luar seolah-olah ia datang dari dalam web server (local) pengguna. Walaupun ia berguna, ia sebenarnya membuka ruang untuk penyerang menghantar (memasukkan) dan melaksanakan kod yang datang dari web server asing. Dalam kebanyakan kes, ini adalah cara bagaimana web shells dan backdoors di masukkan ke dalam web server pelanggan. Jangan hidupkannya (on) melainkan ada extension/plugin (yang benar-benar kritikal) anda memerlukannya.
expose_php = off (default value = on)
Jika dibiarkan on, penyerang boleh mendapatkan banyak informasi berkenaan jenis platform (Sistem Operasi Komputer) dan perisian yang kita gunakan dalam web server. Mematikan fungsi ini walaupun bukan kritikal, akan mengurangkan risiko dengan melindungi maklumat web server anda daripada pengetahuan penyerang.
Sekiranya anda ingin membuat perubahan menyeluruh dalam web server anda, ubahsuai fail .htaccess dengan memasukkan kod seperti:
php_value name value
Sebagai contoh, jika anda ingin mengubah status off pada register_globals, maka masukkan kod:php_value register_globals off
(nota: ubahsuai pada fail php.ini hanya akan membuat perubahan pada folder di mana fail itu berada sahaja)
2. Pastikan database anda dilindungi katalaluan
Secara umumnya, semua CMS akan menggunakan pangkalan data (database) sebagai tempat menyimpan dan mengurus data. Pastikan username pengurus database anda BUKAN root. Ubahsuainya kepada username lain (root adalah nama default kebanyakan database).
Gunakan kombinasi aksara, nombor, atau perkataan khas untuk membina katalaluan. Jangan gunakan katalaluan yang biasa digunakan (password, P@55w0rd) atau sesuatu yang ada kaitan dengan diri atau syarikat anda (nombor telefon, tarikh lahir) kerana ia mudah diteka.
Bina akaun akses khas bagi pangkalan data CMS anda. Setiap pangkalan data dalam server database lazimnya boleh ditentukan siapa pengurusnya.
Artikel oleh Syamsul
pada 12/08/2010. Kategori
keselamatan
.
Anda boleh melanggan artikel terkini KelasJoomla di sini.
Sila tinggalkan sebarang respon/ulasan anda di bawah.