Jangan Melakukan Hal Ini
Wednesday, August 20, 2008 at 8:05 PM | 0 comments  

Top Ten Stupidest Joomla! Administrator Tricks

(orginal Post from rliskey)


  1. Go with the cheapest hosting provider you can find, preferably a shared server that hosts hundreds of other sites, some of which are high-traffic porn sites. Don't check the list of recommended hosting providers.
  2. Don't waste time with regular backups. Maybe the hosting provider will help you.
  3. Don't waste time adjusting PHP and Joomla! settings for increased security. Hey, the install was brain-dead easy. How bad could the rest be? Worry about those details only if there's a problem.
  4. Use the same username and password for your on-line bank account, Joomla! administrator account, Amazon account, Yahoo account, etc. Hey, who has time to keep track of so many passwords? And anyway, since you don't change passwords, it's easier to just use the same one all the time, everywhere.
  5. Install your brand new beautiful Joomla!-powered site, celebrate a job well done, and don't worry about it again. After all, if you don't make any more changes, what can go wrong?
  6. Do all upgrades and extension installations right there on the live site. Who needs a development and testing server anyway? If an installation fails, you'll just uninstall it again. That will hopefully also undo any damage the installation caused.
  7. Trust all third-party extensions, and install all the cool-looking stuff you can find. Anyone smart enough to write a Joomla! extension will provide perfect code that blocks every known exploit attempt, now and forever. After all, almost all this stuff is provided for free by well-meaning, good-hearted people who know what they are doing.
  8. Don't worry about updating to the latest version of Joomla!. Hey, nothing's gone wrong so far! Same plan for the third-party extensions. Too much work anyway.
  9. When your site gets cracked, panic your way on over to the Joomla! Forums and start a new post with a very familiar title: "Help! My Site's Been Hacked!" Be sure not to leave relevant information, such as which obsolete versions of Joomla! and third party extensions were installed.
  10. Once your site's been cracked, fix the defaced file and then assume all is well. Don't check raw logs, change your passwords, remove the entire directory and rebuild from clean backups, or take any other overly paranoid-seeming actions. When the attackers return the next day, scream loudly that you've been "hacked again," and it's all Joomla!'s fault. Ignore the fact that removing a defaced file is not even step one in the difficult process of fully recovering a cracked site.
Posted by Java Labels:
Meminimalisasi Web Joomla di Hack
at 7:30 PM | 0 comments  
A few small examples:

  1. Rename admin account
  2. Don't make configuration.php writeable
  3. Don't have any files and folders with 777 permissions (644 for files and 755 for folders should do)
  4. Keep Joomla! at it's latest version (especially if there was a security release)
  5. Keep extensions on the latest version
  6. Don't take a host that has the php setting register_globals = on
  7. All directories 755
  8. All files 644
  9. configuration.php 444
  10. Password protect the administrator directory (using your host accounts control panel..i.e: cPanel or by other means)
the recently discovered 1.5 exploit in 'reset.php' would likely not be successful if the administrator directory is password protected.
Posted by Java Labels:
Konfigurasi user & password di Win 2003 Server
Friday, August 15, 2008 at 10:21 PM | 0 comments  
Saat install server Windows, kemudian membuat account user baru selalu ditolak, karena tidak sesuai dengan password policy. Untuk itu perlu di atur terlebih dahulu agar user account baru dapat di tambahkan.

Langkahnya sbb :

  1. Buka AD, klik kanan pada nama komputer server, pilih Property
  2. Setelah muncul jendela baru, pilih Group Policy
  3. Klik Add pada form yang tersedia, namai saja Group Policy Object tersebut "Contoh"
  4. Pada object baru tersebut klik Edit, menu Group Policy Editor muncul
  5. Dibawah Computer Configuration, arahkan ke Windows Settings\Security Settings\Account Policies\Password Policy folder (lihat Gambar 1)
  6. Double-click Enforce password history, tandai Define this policy setting check box, atur nilai dari Keep password history to 24 terus klik OK.
  7. Double-click Maximum password age, tandai Define this policy setting check box, atur nilai dari Password will expire in to 42 terus klik OK.
  8. Double-click Minimum password age, tandai Define this policy setting check box, atur nilai dari Password can be changed after to 2 terus klik OK.
  9. Double-click Minimum Password Length, tandai Define this policy setting check box, atur nilai dari Password must be at least to 8 terus klik OK.
  10. Double-click Password must meet complexity requirements, tandai Define this policy setting in the template, atur ke enable klik OK.
  11. Tutup Group Policy Editor dan kembali ke AD Anda.
  12. Verifikasi dan Selesai































Gambar 1
Posted by Java Labels:
Install php_gd pada server linux
Thursday, August 14, 2008 at 9:20 PM | 0 comments  
Untuk menampilkan gambar GIF, JPG, PNG pada form aplikasi PHP dibutuhkan gd graphics library. Untuk itu bila apache Anda belum menginstall, maka dapat menambahkan php_gd tersebut.

Langkahnya sebagai berikut :
  1. Download php_gd ( sesuaikan dengan distro linux anda), kebetulan saya memakai Fedora 6, maka saya mengunduhnya melalui alamat ini http://rpmfind.net/linux/rpm2html/search.php?query=php-gd. atau http://www.icewalkers.com/rpm/php-gd/fedora-core-6/download/php-gd-3015.html. Catatan : klik kanan Save as jika ingin mengunduh rpm pad ftp server. Sebagai contoh di sini saya mengunduh file php-gd-5.1.6-3.i386.rpm
  2. Kemudian simpan file tersebut ke server linux pada folder /usr/local/src
  3. Pada shell command ketik : rpm -i /usr/local/src/php-gd-5.1.6-3.i386.rpm
  4. Buka file php.ini Anda pada shell perintahnya : vi /etc/php.ini
  5. Tambahkan 1 baris teks berikut pada file php.ini tersebut: extension=php_gd2.dll
  6. Restart Apache anda : service httpd restart
  7. Selesai. Silahkan dilihat.
Posted by Java Labels:
Misteri Angka Security di Hosting Linux Joomla
at 6:18 PM | 0 comments  

Bagi pemula, urusan memiliki situs joomla yang tadinya mudah menjadi ribet saat terlibat aktif dalam urusan linux hosting. Apalagi berurusan dengan angka di atas. Pasti tau dong penah berjumpa dengan angka-angka itu. Penasaran, ikuti saya menelusuri tabir kegelapan yang menyelimuti angka-angka keramat itu.
CHMOD file aman 664Angka-angka seperti 666, 664, 644, 444, 777, 775, 755 dalam urusan hosting linux disebut angka CHMOD (cemot). Saya menyebbutnya angka cemot biar mudah mengingatnya. Biasanya seorang pemula bertidank serba salah dalam memahami apa artinya angka cemot ini. Malah dalam installasi joomla 1.0.xx soal angka ‘aneh’ ini lebih ribet ketimbang Joomla bontot (1.5.xx). Untuk itu saya akan mencoba menguak tabik misteri angka cemot di situs Joomla. Bagi yang sudah mahir dalam CHMOD, mohon bantuannya mengkritisi tulisan ini. Yuk, mari menguliti si CEMOT ini.




Tri Mas Kentir Permissions

Joomla didesain memang untuk gratisan sehingga harus bermain-main juga dengan mesin-mesin gratisan. Salah satunya adalah jenis operasi system web server yang gratisan juga (open source). Namanya si Om Unix atawa Linux. Beda banget dengan Pak de Windows, Linux didesain dengan kerumitan sekuriti yang berlapis dan berlipat. Salah satunya adalah akses keamanan di folder(directory) dan file.

Ada tiga palang ijin yang harus dibedakan dalam mengakses folder dan file di linux/unix. Palang ini oleh Tri Mas Kentir dibagi tiga hak akses (permissionCHMOD Folder 777 sangat berbahaya s) yaitu

1. Owner Permissions : Ini adalah izin tertinggi dalam penguasaan file dan folder. Owner adalah izin tertingga dalam mengakses segala yang ada dalam system, ruangan batas sumberdaya atau folder.

Bila anda membeli sewa share-hosting web site anda akan mendapat hak owner atas folder atau file yang sudah ditentukan. Jadi anda adalah raja kecil dalam sebuah server. Ada banyak raja kecil yang menguasai hak akses owner/ kepemilikan dalam folder. Biasanya setiap username yang diberikan oleh administrator server hanya terbatas pada folder yang anda miliki. Jadi tidak menguasai seluruh system server. Lain halnya anda memiliki server sendiri (dedicated/private).



2. Group Permissions : Biasanya dalam system yang rumit dan banyak penggunanya diperlukan pengaturan pengelompokkan. Sengaja diciptakan pengelompokkan untuk memudahkan pengontrolan. Oleh karena itu system linux mengadopsi pola kepemilikan kelompok. Disebutnya group. Group-group ini memiliki hak izin akses terhadap folder dan file yang sudah ditentukan. CHMOD file 644 AmanMakanya disebut group permissions.

Kalau anda share hosting, maka pemissions group tidak terlalu dipentingkan. Biarkan saja f default alias tidak diotak-atik. Jangan dilupakan, dalam group itu anda juga bagian dalam kelompok (grup permissions) itu. Jadi berhati-hatilah dalam mengontrol hak akses itu.








3. Other Permissions : Ini merupakan hak izin akses yang diberikan pemilik web site ke user visitor. Jadi orang lain (others) diberikan hak untuk mengakses folder dan situs. Bagaimana caranya? Hal apa saja yang boleh dilakukan? Perlakuan apa aja? Dan apa batasannya

CHMOD Folder 775 : Aman tapi hati-hati

Pertanyaan diatas merupakan langkah selanjutnya untuk membicarakan tindakan, perlakuan, kegiatan, dan upaya apa yang boleh dilakukan oleh ketiga user (Owner,groups,other) tersebut.

Ketiga om-om senang itu yaitu Owner,groups,other mempunyai 3 hak untuk melakukan sesuatu. Mereka dibebaskan boleh melakukan 3 hal dalam mengakses folder dan file. Ketiga hal itu adalah yang pertama boleh melakukan pengubahan atas file dan folder. Disebutkan hak execute (X). Nilai angkanya adalah 1. Sementara bila ia melakukan proses edit,ubah, ganti,rename,copy dan lain-lain dalam urusan menulisi hardisk disebut hak write (tulis). Biasanya disingkat huruf S. Nilai hak ini adalah 2. Yang terakhir adalah hak read ajah. Hak ini hanya untuk melihat-lihat saja, tidak bisa melakukan proses tulis (write) dan execute. Nilainya lebih besar yaitu 4.

CHMOD file aman 666 : BerbahayaPembagian permissions ini dengan nilai angka berkaitan. Angkanya unik. Yuk kita bahas. Pikirkan bahwa folder dan file dikerubuti oleh 3 orang gila (tri mas gentir) yaitu owner, groups, dan others. Ketiga mas (teng) ini mendapat izin boleh execute, boleh write dan juga boleh read. Tergantung pemberiannya. Jadi ketiga om-om (senang) ini angka memiliki angka konfigurasi seperti ini yaitu 666, 644, 775 atau 777.

Silakan di lihat gambar-gambar yang memiliki tiga warna tersebut. Tabel berwarna merah yaitu CHMOD folder 777 dan CHMOD file 666.

Angka nol menunjukkan bahwa tidak ada hak akses terhadap file.

Untuk detailnya silakan lihat pembahasan lebih lanjut di artikel berikutnya yaitu tentang arti empat gambar tersebut di Joomla. Judul artikelnya “Konfigurasi Permissions di Joomla “.

CHMOD Folder 755 Aman tapi waspada

Misteri angka cemot ini menunjukkan tingkat keamanan dari jangkauan luas. Selama situs anda dipublish/share/ditontontkan ke orang luar maka yang mesti diingat adalah pertanyaan berikut ini?

1. Siapakah sajakah user yang boleh akses ke folder dan file? Apa nama kelompoknya? Usergoup mana?

2. Apa tingkat permissions yang boleh diberikan. Apakah seluruhnya? atau sebagian? Kapan CHMOD harus ditutup untuk publik? Kapan CHMOD harus dibuka publik?

3. Siapa saja (user) yang boleh mengakses folder/file secara menyeluruh



Di joomla user (visitor) permissions terbuka di registrasi dan forum di community builder. Dan beberapa komponen joomla yang membuka user pengunjung untuk terlibat dalam menulis (write) dan read (baca) file dan folder. Amankah? Semua tergantung anda. Tetap waspada.
Posted by Java Labels:
Visit the Site
MARVEL and SPIDER-MAN: TM & 2007 Marvel Characters, Inc. Motion Picture © 2007 Columbia Pictures Industries, Inc. All Rights Reserved. 2007 Sony Pictures Digital Inc. All rights reserved. blogger template by blog forum