Para cracker pemula, bersenjatakan dork yang dipublish pada situs-situs vulnerability publish, mencari bug-bug CMS dan plugins, selanjutnya melakukan cracking web, dan melakukan ritual vandalisme di sana. Plugins, memang memudahkan seseorang dalam melakukan custom webnya. Namun plugins juga menjadi celah besar kalau tidak malah masalah yang sesungguhnya. Salah satu celah tersebut dapat dimanfaatkan oleh para cracker.
Cracker, apapun metode hackingnya, memiliki target besar menuliskan sesuatu ke dalam DocumentRoot. Salah satu wujudnya adalah upload file. Biasanya para cracker akan memiliki target besar melakukan upload shell-shell script ke dalam web melalui directory yang sifatnya writable. Directory images dan files, adalah target bulan-bulanan para cracker. Setelah melakukan upload ke directory itu, mereka memanggilnya dari browser, dan .. bingo.. Halaman shell script sukses diupload.
Agak dilematis bagi si pemilik web.. Jika halaman upload dihilangkan writablenya, maka dia tidak bisa upload gambar web sendiri. Namun jika dibuka, dan ternyata plugins bocor, maka memudahkan jalan bagi cracker.
Ada tips yang dapat digunakan, antara lain adalah membuang handler PHP pada direktori-direktori yang biasa digunakan untuk upload, semisal files dan images. Directory selain itu akan kita no-writable. Sedangkan untuk files dan images akan tetap writable, namun file berekstensi PHP tidak akan dieksekusi. Caranya adalah dengan menambahkan pada .htaccess atau httpd.conf seperti berikut:
Untuk .htaccess:
RemoveHandler .php .phtml .php3 RemoveType .php .phtml .php3 php_flag engine off
Untuk httpd.conf, misal:
RemoveHandler .php .phtml .php3 RemoveType .php .phtml .php3
Restart apache anda dan buatlah sebuah file info.php dalam directory images anda, maka yang akan muncul hanyalah tulisan biasa yang tidak dieksekusi PHP oleh apache.. Lumayan untuk tambahan tips keamanan. Selamat mencoba
Terima kasih atas tips nya, jujur beberapa kali client saya kena hack ketika saya menggunakan CMS joomla dan wordpress. Saya yakin tips ini akan berguna 🙂
Terima kasih
Sama sama.. semoga bisa bermanfaat buat semyanya