Nama : Frenavit Kusman Setia Putra Nama Beken : Frenavit Putra & Bodrex Alamat : Ds. Beratwetan. Gedeg. Mojokerto Alamat Sementara: Gebang Wetan 23 B,

Slides:



Advertisements
Presentasi serupa
KEAMANAN WEB SURYAYUSRA, M.KOM.
Advertisements

Membangun Toko Online dengan Joomla! dan VirtueMart
Dasar-dasar Web Design
Pelatihan Internet “Internet Goes To School” Kerjasama : PT. Telkom Divisi Regional IV dengan Internet Club Universitas Stikubank ( UNISBANK )‏
Materi ini dapat didownload di
1 Keamanan Data dan Jaringan Komputer Pertemuan 11 Applications Hacking.
WEB BLOG.
Kemanan Web. Keamanan Web ► How Web Works ?  Menggunakan protokol HTTP  Klien meminta dokumen melalui URL (Request)  Server membalas dengan memberikan.
CARA INSTALASI XAMPP.
CodeIgniter By ISNARDI, M.Kom.
Mengamankan Sistem Informasi
Manajemen WebSite berbasis MAMBO Open Source. Kebutuhan  Instalasi Apache sebagai webserver  Instalasi PHP  Instalasi MySQL sebagai database server.
Kemanan Web.  Definisi Statis ◦ Kerahasiaan ◦ Keutuhan ◦ Dapat dipertanggung jawabkan  Defenisi Dinamis ◦ Taksiran ◦ Proteksi ◦ Deteksi ◦ Reaksi.
Keamanan Jaringan Dosen : TIM PENGAJAR PTIK. Computer Security The protection afforded to an automated information system in order to attain the applicable.
Pertemuan 5 Web Security.
Zaini, PhD Jurusan Teknik Elektro Universitas Andalas 2012
WORDPRESS ALBERTUS EDWIN( ) LYDIA CHRISTIANTY( ) RUSLI( ) IMA REFINA( ) VINCENCIA VIVIEN ALVIONITA( ) REXFORD JOSHIA( )
1 Practical Web Development Using CMS (Joomla) PPLH IPB Kamis, 22 Maret 2007 Frans Rudolf. B 1.
Nama kelompok WordPress Pengertian WordPress  WordPress adalah sebuah aplikasi sumber terbuka (open source) yang sangat populer digunakan.
B L O G Joshua Joviando 1. Bagian 2 Membuat Blog di 2.
Membuat Blog Pembelajaran Menggunakan
IDA BAGUS ARDHI PUTRA, S.KOM GusArdhi.wordpress.com.
Keamanan Web Server Pertemuan XI.
Keamanan Sistem WWW World Wide Web
Mail Security Kelompok 11 (Penanganan) Ahmad Fauzi
Instalasi wordpress / muzakkir INSTALASI WORDPRESS Muzakkir SMKN 1 MAROS /
Oleh : Kundang K.Juman, Ir.MMSI
Dasar-Dasar PHP.
Mengamankan Sistem Informasi
PERTEMUAN KE 2 JAVA SERVER PAGES (JSP) BY : TITO SUGIHARTO
Sistem Pendeteksi Penyusup Sebuah sistem keamanan adalah sekumpulan komponen yg bertugas untuk mengamankan sesuatu yg berharga. Analoginya jika kita ingin.
Malcode (malicious Code)
Upload dan Install theme
Shibu lijack Keamanan Web Sistem Kelompok : Benedicktus Fobia, Saptadi Handoko, Heri Permadi, Andrean T. Sinaga.
Operating System Security
Keamanan Web Server Pertemuan XI.
Mengamankan Sistem Informasi
Website Security.
Pembahasan Pendahuluan HTTP FTP SMTP DNS Telnet.
Pengamanan Sistem Jaringan
Teknologi Dasar Internet dan Web
MANAJEMEN BLOG.
Keamanan Web Server.
MATA KULIAH SISTEM KEAMANAN PENDAHULUAN
Serangan Lapis Aplikasi dan Keamanan Lapis Aplikasi
Keamanan Web Server.
Celah Keamanan osCommerce Telah Diungkap Scareware Membuat toko online memang saat ini mudah dilakukan oleh para developer. Apalagi sudah ada osCommerce.
Internet dan Web By : Lisda Juliana P..
BAB 7 Keamanan Sistem WWW WWW security.
UNIVERSITAS HASANUDDIN
WEB BLOG.
BAB 7 Keamanan Sistem WWW WWW security.
Universitas Udayana MIPA Ilmu Komputer 2010 Please wait.
PENGAMANAN WEB.
KEAMANAN WEBSITE.
Keamanan Sistem World Wide Web
MAIL SERVER KELOMPOK : IX SAFRIL ( ) MUHAMMAD NUR
Prinsip Dasar Internet & Pemrograman Web
Keamanan Web Server Pertemuan 9.
Firewall adalah “pos pemeriksa”
PengamananWeb browser
Pengantar Internet.
PENGAMANAN SISTEM PERTEMUAN - 5.
LANDASAN TEORI Untuk menunjang presentasi ini, diambil beberapa bahan referensi seperti bahasa pemrograman PHP dan MySQL, serta beberapa bahan lainya.
MEMBUAT BLOG DI WORDPRESS
PANDUAN MEMBUAT DOMAIN DAN HOSTING SECARA GRATIS
Mengadministrasi server dalam jaringan adalah suatu bentuk pekerjaan yang dilakukan oleh administrator jaringan. Tugasnya: Membuat server Mengelola jaringan.
KEAMANAN DALAM BIDANG TI
Prinsip Dasar Internet & Pemrograman Web
KEAMANAN DALAM BIDANG TI
Transcript presentasi:

Nama : Frenavit Kusman Setia Putra Nama Beken : Frenavit Putra & Bodrex Alamat : Ds. Beratwetan. Gedeg. Mojokerto Alamat Sementara: Gebang Wetan 23 B, Sby No Telp: Blog: frenavit Frenavit Putra

Internet Blog= Rumah

 Pembobolan Account (Brute Force)  SQL Injection  Cross-site Scripting (XSS)  Spaming Komentar  Deface  DOS Attack (Denial of Service)

Brute force adalah proses untuk mengetahui password dan user name seseorang dengan menggunakan metode trial and error.  Brute force menggunakan sebuah pendekatan yang lempang (straightforward) untuk memecahkan suatu masalah, biasanya didasarkan pada pernyataan masalah (problem statement) dan definisi konsep yang dilibatkan.  Algoritma brute force memecahkan masalah dengan sangat sederhana, langsung dan dengan cara yang jelas (obvious way).

Acount Blog mudah dibobol dikarenakan 2 faktor, faktor internal dan eksternal. 1.Internal : Penggunaan Username dan Password yang mudah ditebak Adanya “Bug” pada OS Hosting atau CMS yang kita pakai

2.Eksternal: Phising Phising (pengelabuhan) adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi, seperti password dan username, dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti atau pesan instan, banner.

Sniffing Sniffing atau “penyadapan paket” adalah sebuah kegiatan untuk menyadap setiap paket data yang ada di dalam sebuah jaringan, baik jaringan internet atau LAN. Internet Sniffer

SQL Injection adalah sebuah teknik penyerangan yang memanfaatkan sebuah “celah” keamanan yang ada dalam lapisan database sebuah aplikasi. Celah Database yang dimaksud diatas tersebut adalah sebuah celah yang ketika seorang pengguna memasukkan isian karakter kedalam form input yang mana tidak ada filter secara benar dari karakter-karakter bebas yang ada di SQL. Beberapa karakter bebas : ‘/”[]^,. dll

XSS atau Cross Site Scripting adalah teknik yang digunakan untuk menambahkan dan menanamkan script pada sebuah website atau blog yang akan dieksekusi oleh user lain pada browser user lain tersebut. XSS atau Cross Site Scripting umumnya menggunakan HTML/JavaScript, atau bahkan VBScript, ActiveX, Java, Flash, dll yang diinputkan melalui input form seperti kolom komentar pada Blog

Cara cek apakah bisa dilakukan Cross Site Scripting Blog kita: 1.Silahkan masukkan tag script via form komen, misal : alert(‘saya cakep'); 2.Jika ternyata keluar alert “saya cakep” ketika halaman di refresh maka bisa dipastikan Blog kita bisa dilakuan Cross Site Scripting. Cross Site Scripting Redirect

Spamming Komentar (komentar sampah) adalah pengiriman komentar secara otomatis yang dilakukan oknum ke beberapa Blog sekaligus. Komentar Spam dikirim dengan tujuan untu mempromosikan sebuah site atau produk tertentu. Untuk dapat dikatagorikan menjadi spam, sebuah komentar muncul tidak diminta dan termasuk bulk. Tidak diminta. Berarti bahwa kita tidak secara eksplisit meminta untuk menerima komentar yang tidak berhubungan dengan artikel di blog kita. Bulk berarti bahwa komentar tersebut sama atau hampir sama dengan yang dikirim ke banyak blog lain.

Deface/Defacing atau cyber grafity secara umum diartikan sebagai aktifitas menodai atau merubah ubah isi suatu halaman web dengan kalimat, image atau link tertentu yang tidak ada sangkut pautnya dengan misi web tersebut.

DoS Attacks (denial-of-service attacks) adalah serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.

Jenis Serangan Jenis Blog Self Hosting BlogBlog Provider Pembobolan Account (Brute Force)Ya SQL InjectionYatidak Cross-site Scripting (XSS)YaMunkin Spaming KomentarYa DefaceYaTidak DOS Attack (Denial of Service)Ya

1.Ganti Username “Admin”, Hal ini digunakan untuk menghindari Brute Force yang dilakukan Hacker. 2.Gunakan kombinasi Huruf, angka, dan spesial karakter untuk username dan password Blog yang powerfull. 3.Ganti Username dan Password secara Berkala.

1.Gunakan password yang kuat. 2.Segera update CMS dan Plugins wordpress ke versi terbaru. 3.Sembunyikan halaman Login Standard ( admin) dengan url lain. 4.Menyembunyikan versi wordpress 5.Pindahkan File wp-config.php. 6.Gunakan Secret Keys. 7.Rubah WordPress table prefix. 8..htaccess lockdown 9.Buat file.htaccess di dalam folder wp-admin. 10.Sembunyikan Plugin yang defaultnya terletak pada

Hindari menggunakan tgl lahir. Jangan mengandung kata yang ada di Username. Terdapat kombinasi antara angka, huruf, dan karakter. Kombinasikan juga dengan huruf besar kecil. Gunakan Password generator.

Update Engine CMS Wordpress dan Plugins wordpress yang ita gunakan mutlak “wajib” dilakukan karena update ke versi terbaru akan menutup celah (bug) yang ada di versi lama.

Tujuan untuk menyembunyikan halaman Login wordpress standard ( dilakukan untuk menghindari adanya Brute Force. Untuk menyembunyikan halaman Login ini bisa menggunakan Plugins Stealth Login

Untuk menyembunyikan Versi Wordpress dapat dilakukan dengan 2 cara, yaitu : 1.Menambahkan script berikut di functions.php. function hide_wp_vers() { return ''; } add_filter('the_generator',' hide_wp_vers'); 2.Menggunakan Plugins Secure Wordpress

Wp-config merupakan file yang mengonfigurasi database setting (database username dan password), table prefix, secret keys, bahasa, dan ABSPATH. Tanpa file ini, WordPress tidak akan berfungsi. File ini dapat disimpan di luar root direktori WordPress. Caranya pindahkan file wp- config.php satu level di atas root direktori WordPress. WordPress secara otomatis akan mencari file ini bila tidak menemukannya di root direktorinya.

Secret Keys dibuat untuk lebih menjamin informasi yang tersimpan pada cookies terenkripsi secara lebih baik. Caranya gunakan online generator pada Di sana akan terlihat 4 Secret Keys yang secara acak terbentuk. Copy Secret Keys tersebut kemudian buka file wp-config.php dan paste ke posisi di mana keempat Secret Keys ini diletakkan.

Bila kita menggantinya setelah menginstall WordPress, kita bisa memanfaatkan plugin WP Security Scan atau tabel prefix changer. Jangan lupa back up terlebih dahulu sebelum melakukannya. Standard Table Perfix ‘wp_’ Table Perfix modif $table_prefix

Cara ini akan melindungi wp-admin direktori melalui.htaccess. Cara ini bekerja dengan mengunci akses terhadap wp-admin melalui IP address. Jadi, hanya IP address tertentu yang dapat mengakses wp-admin kita. Dan hampir tidak mungkin orang lain dengan IP address yang berbeda bisa mengakses wp-admin. Kode yang harus dibuat pada file.htaccess AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from xxx.xxx.xxx.xxx Isi dengan ip yang dikehendaki login

# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # END WordPress

Kenapa harus disembunyikan? Jika tidak disembunyikan, bisa dimanfaatkan para hacker/cracker bila ada 404 error page. Caranya buat file.htaccess dan tempatkan di folder /wp-content/plugins dengan kode seperti ini : # BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule. /index.php [L] # Prevents directory listing IndexIgnore * # END WordPress

Cara lain untuk menyembunyikan plugins yaitu dengan membuat file index.html yang isinya kosong kemudian upload ke wp-content/plugin. Atau cara lain untuk membuat file.htaccess untuk melindungi direktori wp- admin, wp-includes, dll. Bagi yang menggunakan hosting dengan CPANEL, bisa memanfaatkan fasilitas Leech Protect dari Cpanel tempat anda hosting wordpress.

1.Limit Login Attempts Plugin ini dapat melakukan blok terhadap user selama 20 menit setelah salah memasukan password sebanyak 4 kali (dapat diubah manual). Hal ini menjadi jalan terbaik untuk mengatasi serangan berupa Brute Force. Download plugin limit login attempts di attempts/

2.WP Security Scan Plugin ini menawarkan beberapa fitur ganda seperti file permission, menyembunyikan versi wordpress, database security dan proteksi terhadap admin. Plugin ini, juga dapat melakukan scanning terhadap direktory web dan memberi report menganai file permission yang seharusnya. Download plugin wp security scan di scan/

3.Sabre Fungsi plugin ini dapat menghentikan pendaftaran pengguna palsu yang dilakukan oleh bots. Plugin Sabre dapat menambahkan gambar verifikasi atau uji matematika untuk proses registrasi agar dapat memastikan pengguna yang sudah terdaftar tidak palsu.

4.Semisecure Login Plugin ini berguna untuk meningkatkan keamanan dari proses login dengan menggunakan kunci publik untuk mengenkripsi password pada sisi klien.

5.Secure WordPress Plugin ini akan menjaga dengan aman instalasi wordpress kita dengan sedikit fungsi bantuan. Dia dapat menyembunyikan informasi mengenai versi instalasi wordpress kita yaitu dengan: Menghapus kesalahan-informasi pada halaman login Menambahkan indeks.html ke-direktori plugin (virtual) Menghapus Really Simple Discovery Menghapus wp-versi, kecuali di daerah-admin Menghapus tema-update informasi bagi non-admin Menghapus Windows Live Writer Menambahkan string untuk digunakan WP Scanner Menghapus inti memperbarui informasi untuk non-admin Menghapus plugin-update informasi bagi non-admin

Banyak cara untuk mengamankan Blog kita, namun cara tersebut tidak kekal dan sempurna selamanya. Cara mengamankan yang paling sempurna adalah dengan selalu waspada dan berjaga-jaga.