Secure XAMPP with Joomla

Tahap penggunaan perisian Open Source untuk tujuan pembangunan Web pada masa kini semakin popular memandangkan kos yang rendah dan tidak terikat dengan vendor.

Namun kita kurang ambil perhatian tentang kepentingan tahap keselamatan terhadap perisian yang kita gunakan tersebut. Kebiasaannya kita akan download dan install seterusnya guna sahaja. Sememang kita tahu ianya percuma namun pernahkah kita terfikir yang ianya juga ciptaan manusia dan tiada yang sempurna pada ciptaan manusia selain ciptaanNYA...wah bertazkirah lak sesambil tu...ahaks..

Jadi mungkin bagi yang ingin membina sebuah website sendiri perlu ambil perhatian tentang isu kawalan keselamatan ni. Lagi-lagi sekarang ni asal buat portal sahaja pasti akan tertumpu kepada perisian Joomla yang merupakan perisian sumber terbuka yang komprehensif untuk menjadikan Portal anda memenuhi spesifikasi Web 2.0 iaitu merangkumi semua bentuk fungsi sebagai pemberi maklumat, penghubung komuniti, pemudah carian dan pelbagai lagi...

Kaedah yang biasa kita terfikir untuk setup sebuah Portal server adalah menggunakan perisian XAMPP yang tersedia dengan installer untuk PHP, MYSQL, APACHE, FILEZILLA FTP, WEBALIZER dan PHPMYADMIN. Sebenarnya kalau diikutkan XAMPP hanya sesuai digunakan untuk tujuan DEVELOPMENT SERVER SAHAJA...tapi kita dah salahgunakan untuk tujuan LIVE PORTAL...aduiyaiii...Untuk pengetahuan semua juga dalam Web XAMPP ada dinyatakan kaedah untuk secure pada XAMPP yang mereka bangunkan. Tapi kita jarang ambil penting tentang perkara tersebut. Jika dilihat dari sudut mudah semua dah ada dalam satu installer memang cantik jika dilaksanakan untuk server Windows. Namun jika pelaksanaan untuk server CentOS tidak digalakkan menggunakan XAMPP atau LAMPP dalam Linux. Seeloknya dibuat instalasi berasingan.

Ok setel bebelan untuk XAMPP...
13 Langkah untuk securekan XAMPP adalah seperti di bawah :
(Rujukan dari http://www.robsnotebook.com)

1) Gunakan XAMPP Security Page untuk kawalan password /xampp dan phpmyadmin pengguna root. LANJUT DISINI
2) Buang semua folder yang tidak digunakan dan kesemua maklumat di dalam fail config. LANJUT DISINI
3) Buang script default dari cgi-bin directory. LANJUT DISINI
4) Wujudkan "pma" password yang tidak dibuat pada Security Script Page dan Password Protect untuk folder yang lain. LANJUT DISINI
5) Buangkan default user/password yang dimasukkan ke dalam FTP Server, WebDAV Server dan Web Accessible Folder. LANJUT DISINI
6) Encrypt semasa password di hantar. LANJUT DISINI
7) Setup Apache and MySQL supaya berfungsi pada user account dan hadkan akses kepada filesystem
8) Kawal akseskepada WebDAV server dan FTP Server.
9) Hadkan atau buang akses kepada /server-info dan /server-status
10) Buang fungsi dicari oleh sebarang search engine daripada senaraikan website anda dalam keputusan carian
11) Buang fungsi directory listings
12) Buang apache error version info yang dipaparkan pada bawah page setiap error page.
13) Buangkan apache version info yang dinyatakan pada http://requests yang mana browser tidak paparkan

Okeh sekarang ni kita nak securekan XAMPP bersama joomla. Untuk securekan joomla ni mungkin kena buat artikel lain untuknya...

So Kita tahu fungsi joomla membolehkan webmaster kemaskini portal secara online. Jika kita cuba browse sebarang website yang menggunakan joomla kita boleh cuba masukkan url berikut :
http:///robots.txt.
Anda akan nampak paparan seperti berikut :
User-agent: *
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/
So dari situ kita akan tahu folder yang available di portal menggunakan joomla ni. Jadi hackers akan cuba mendapatkan cara untuk akses kepada administrator page semestinya...Daripada ayat tersebut seperti ianya tidak membenarkan capaian kepada folder tersebut tapi hackers akan terus mencuba...

Kaedah untuk kawalan

1) Buang file robots.txt tersebut dari server portal joomla.
2) Edit fail httpd-xampp.conf (c:/xampp/apache/conf/extra/)
Tambahkan simple rule berikut untuk disable akses kepada folder /administrator :
Alias /phpmyadmin "C:/xampp/htdocs/joomla/administrator/"

AllowOverride AuthConfig
Order allow,deny
Allow from 192.168.1.0/24 localhost


Rule tersebut hanya membenarkan akses dari LAN 192.168.1.0/24 dan di server sahaja.

Hopefully maklumat membantu...

~ Be a Creator Not a User ~
http://muzzotechspot.blogspot.com
http://muzzoshah.blogspot.com

Ulasan