Arsip

Gunakan Kunci Ganda Pada Situs WordPress Anda

wordpress-lock

Dear pelanggan indoglobal.com,

Kami informasikan bahwa penyebab paling utama masalah keamanan situs web saat ini adalah penggunaan password yang lemah. Salah satu target utama yang menjadi incaran pembobol adalah situs web berbasis WordPress.

Kami mencoba melakukan eksperimen dengan cara menginstal WordPress dengan menggunakan username ‘admin’ dan password ‘admin’. Hasilnya, situs web bobol tidak lebih dari 3 jam.

Untuk itu kami menyarankan hal-hal tersebut ini:

  • Tidak menggunakan ‘admin’ sebagai username. Gunakan misalnya ‘admin321423′ atau ‘namasaya’. Mayoritas pembobol akan pertama kali mencoba ‘admin’ sebagai username.
  • Menggunakan password yang kuat. Gunakan kombinasi huruf besar, huruf kecil, angka dan tanda baca dalam membuat password anda.

Selain itu kami juga menyarankan untuk menggunakan kunci ganda. Suntinglah file .htaccess dan tambahkan baris-baris di bawah ini:

<Files "wp-login.php">
Require valid-user
</Files>

Dengan cara ini, jika anda mencoba untuk login, maka anda akan ditanya password tambahan melalui HTTP authentication. Gunakan alamat email apa saja pada akun anda untuk login, dengan password email tersebut.

Untuk informasi lebih lanjut mengenai HTTP authentication, silakan lihat topik dokumentasi kami Otentikasi HTTP.

Celah Keamanan POODLE

poodle

Sebuah bug telah ditemukan pada protokol SSL versi 3.0. Bug ini dapat dimanfaatkan untuk melakukan intersepsi data antara web browser dan server. Bug ini dapat dieksploitasi jika server mendukung SSLv3 dan penyerang memiliki akses untuk melihat traffic antara server dan web browser.

Masalah ini tidak seserius celah keamanan Heartbleed, namun tetap membutuhkan penanganan.

Saat ini kami telah merespon masalah ini dengan mematikan protokol SSL versi 3. Kemungkinan besar tidak ada masalah berarti dengan dimatikannya protokol ini, karena web browser terakhir yang membutuhkan SSLv3 adalah Microsoft Internet Explorer 6.0 yang dirilis pada tahun 2001. Saat ini pengguna IE6 sudah berada di bawah angka 0.01% dan jumlahnya tidak lagi signifikan.

Kami perkirakan dalam beberapa hari lagi mayoritas situs web di Internet juga akan mematikan SSLv3. SSLv3 merupakan versi terakhir dari protokol SSL, dan ini menandakan berakhirnya era protokol SSL dan digantikan dengan protokol TLS.

Celah Keamanan Shell Shock

Shell Shock

Dear pelanggan indoglobal.com,

Pada hari Rabu malam pukul 22.30, RedHat mengeluarkan update untuk bash. Ternyata ada masalah keamanan yang sangat serius dari bash. Bash adalah shell yang paling populer di Linux, dan juga komponen yang paling penting karena juga berfungsi sebagai /bin/sh.

Terkadang pengguna tidak menyadari pentingnya komponen ini karena seringkali digunakan secara implisit, misalnya pada system call popen() atau system(). Pada PHP, /bin/sh juga digunakan secara implisit pada fungsi exec(), passthru(), shell_exec(), system(), popen() dan mungkin yang lainnya.

Tim indoglobal.com langsung melakukan update terhadap seluruh server kami. Celah keamanan ini sangat serius karena berpotensi dimanfaatkan secara remote, tanpa perlu login ke sistem.

Namun dalam beberapa jam kembali ada kabar buruk. Ternyata update tersebut memiliki efek samping dan menimbulkan celah keamanan yang lain. Dan mungkin karena timing yang kurang pas, celah keamanan yang kedua ini belum ada updatenya dari sebagian besar vendor besar.

Untuk itu, tim indoglobal.com mengambil inisiatif untuk melakukan sendiri perbaikan bash tanpa menunggu update dari RedHat, vendor sistem operasi yang kami gunakan. Pada Kamis, 25 September 2014, sekitar pukul 14.00 kami berhasil melakukan sendiri patch. Dan dari percobaan yang kami lakukan, perbaikan ini bisa mengatasi masalah celah keamanan yang terjadi.

Sedangkan untuk sistem lama, kami belum berhasil melakukan perbaikan terhadap celah keamanan yang kedua ini. Solusinya kini kami menggunakan zsh sebagai /bin/sh dan mengubah shell pengguna menjadi zsh.

Sampai saat ini (Jumat, 26 September 2014, pukul 01.30 dinihari) kami masih belum menerima update dari RedHat. Namun berdasarkan pengamatan kami, server kami dan akun pelanggan-pelanggan kami sudah dalam kondisi yang aman sejak siang Kamis kemarin, sangat jauh lebih cepat daripada server hosting lain pada umumnya. Kami akan kembali melakukan update jika RedHat sudah merilis perbaikannya.

Kami merilis informasi ini karena dalam beberapa jam terakhir, masalah ini mulai ramai dibahas di media massa. Celah keamanan ini dinamai Shell Shock, dan mungkin berpotensi menyamai popularitas Heartbleed beberapa bulan yang lalu.

Pelanggan kami tidak perlu kuatir, karena berdasarkan investigasi kami, tidak ada masalah keamanan yang sempat timbul akibat celah keamanan ini. Namun jika pelanggan merasa ada masalah pada akunnya, akibat celah keamanan, atau karena inkompatibilitas dengan perbaikan yang kami lakukan, silakan untuk segera menghubungi tim dukungan teknis kami.

(Gambar ilustrasi dari Symantec)

Heartbleed: Celah Keamanan OpenSSL

heartbleed

Dear pelanggan indoglobal.com,

Pada awal bulan April ini telah ditemukan celah keamanan yang sangat serius pada library OpenSSL. Dinamai ‘heartbleed’, celah keamanan ini bisa dieksploitasi secara remote tanpa perlu login ke sistem.

Kami informasikan kepada pelanggan kami bahwa kami telah melakukan update terhadap masalah ini, dan kini sistem kami aman dari celah keamanan ini.

Dari investigasi yang kami lakukan, kami tidak menemukan masalah keamanan yang diakibatkan oleh Heartbleed.

Namun jika pelanggan merasa mengalami masalah yang mungkin berhubungan dengan celah keamanan ini, silakan untuk menghubungi tim teknis kami melalui Area Klien.