Memproteksi halaman administrator Joomla 1.0.x dan 1.5.x

Security
Slamet Riyanto, Tuesday, 23 February 2010 00:00

Sebuah folder yang terbuka dapat digunakan oleh seorang “hacker” untuk mencoba menembus administrasi sebuah sistem. Penyediaan form, seperti: Halaman Login dan mesin pencari (Searching) akan dimanfaatka oleh hacker untuk menyusupkan kode SQL yang lebih dikenal dengan istilah MySQL Injection. Seorang hacker akan memanfaatakan form tersebut untuk menginjeksi beberapa kode SQL. Karena pada dasarnya, Halaman Login dan Searching mengarah ke database.

Semua pasti tahu, halaman login ke administrator Joomla sangat terbuka dan mudah diakses.  Meskipun terdapat kolom user dan password, justeru hal itulah yang sering dimanfaatkan oleh hacker dalam melakukan mysql injection. Ada beberapa cara untuk memproteksi folder tersebut, diantaranya: memproteksi folder dengan password melalui fasilitas CPanel, memproteksi folder dengan .htaccess, memproteksi folder dengan kode tambahan (Misal: php, asp, dll), atau memanfaatkan extensions Joomla.

Joomla memiliki sebuah hambatan, pengguna dapat dengan mudah mengetahui situs dibuat dalam Joomla! dengan mengetikkan URL untuk mengakses administrasi wilayah (misal: www.sitename.com/administrator). Hal ini membuat hacker untuk meng-hack situs mereka dengan mudah terhadap  id dan password Joomla!

Ada beberapa ekstensi (extensions) Joomla untuk memproteksi halaman administrator baik yang bersifat gratis ataupun berbayar. Berikut ini terdapat sebuah plugins dan module yang dapat digunakan untuk memproteksi halaman administrator Joomla. Module jSecure Authentication mencegah seseorang untuk mengakses halaman login  administrator dengan cara menambahkan kunci akses (key access). Module ini dapat berfungsi pada Joomla 1.0.x, dan Joomla 1.5.x.

1. Pertama kali, download file  JSecure Authentication atau anda dapat mendownloadnya di situs resmi Joomla http://extensions.joomla.org).
2. Masuklah ke halaman login administrator



3. JIka menggunakan Joomla 1.0.x, pilih menu Module > Installer.
4. Klik tombol Browse, tentukan file yang akan diupload. Klik tombol Upload & Install.



5. Jika menggunakan Joomla 1.5.x, pilih menu Extensions > Install/Uninstall.

   

6. Klik tombol Browse, tentukan file yang akan diupload. Klik tombol Upload & Install.



7. Tunggu beberapa saat hingga proses instalasi berhasil.



8. Setelah berhasil terinstal, ada beberapa baris script yang harus dimasukkan ke dalam file Joomla. Untuk Joomla 1.0.x, temukan file login.php dalam folder /administrator/templates/joomla_admin.



9. Masukkan script script di bawah ini.

   require_once( $mosConfig_absolute_path . '/administrator/includes/admin.php' );
   mosLoadAdminModules( 'left' );

10. Masuk ke halaman Administrator kembali. Pilih menu Module > Administrator Modules.



11. Klik link jSecure Authentication.



12. Pilih Published pada radion button, kemudian simpan.



13. Pada Tab Parameter, masukkan teks sebagai kata kunci setelah administrator. Sehingga, untuk masuk halaman administrator Joomla sudah berubah menjadi http://domainmu.com/administrator?goto4dm1n. Ingat!!, terdapat akhiran ?goto4dm1n setelah administrator. Jika sudah yakin, tekan tombol Save untuk menyimpan. Pastikan tidak lupa dengan kunci tersebut, jika lupa maka tidak akan dapat login ke halaman administator Joomla.



14. Untuk Joomla 1.5.x, setelah berhasil terinstal pilih menu Extensions > Module Manager.



15. Pilih Administrator.



16. Temukan module jSecure Authentication.



17. Pilih Enabled.



18. Pada Parameter, masukkan kata untuk memproteksi halaman administrator. Selanjutnya, klik tombol Save untuk menyimpan perubahan.



19. Ujilah website anda, login ke halaman Administrator dengan cara menuliskan alamat URL http://domainmu.com/administrator. Apa yang terjadi ? !!!

Comments

Byufe 2010-02-24 20:42:33 joomla the power to do more

bimbel semarang ipiems 2010-02-26 01:11:19 inf yang menarik i like it !!! salam http://ipiems.com

Sama aja... dikmencrb 2010-02-28 19:00:55 Ternyata sama aja bisa masuk ke administrator walaupun tanpa menggunakan http://domainmu.com/administrator?goto4dm1n ...

re: Sama aja... slametr 2010-03-01 21:14:53 dikmencrb wrote: Ternyata sama aja bisa masuk ke administrator walaupun tanpa menggunakan http://domainmu.com/administrator?goto4dm1n ... @ Dikmencrg, hmm kemungkinan belum diaktifkan plugin tersebut, coba periksa lagi.  Jika extensions tersebut berfungsi secara normal pasti bisa. Sebagai referensi, silakan coba akses ke halaman Administrator beberapa website berikut yang menggunakan Joomla 1. http://derayainti.com 2. http://metro.polri.web.id

untuk joomla 1.5 legacy 1.0 cahyana_10rpl 2010-03-02 17:45:35 settingan untuk joomla 1.5 legacy 1.0 gimana ya setingnya? saya sudah mengikuti setingan untuk joomla 1.5 tapi gak berhasil. administrator masih bisa di akses, mohon pencerahannya. terima kasih sebelumnya.

msh ndak bisa tokoku 2010-03-02 20:43:04 sy sdh cb ikuti cara di atas, tp kok admin msh bs diakses ya ? sy pakai joomla 1.5... mohon bantuannya... thanks

druggzboyz 2010-03-02 23:04:40 kalo saya gak pake modulnya. jadi pake pluginnya aja. mpe skarang berhasil tuw ...

File jSecure Authentication slametr 2010-03-03 06:38:50 Rekan2 semua, mohon maaf sebelumnya. Ketika artikel tersebut ditulis, masih menggunakan module Admin. Tapi sekarang sudah berubah menjadi plugin. Untuk mengaktifkannya, ada di menu Extensions > Plugin Manager. Cari plugin System - jSecure Authentication kemudian aktifkan dan atur parameter seperti tutorial di atas. Untuk mendownload file plugin silakan klik link ini http://slametriyanto.net/wp-content/uploads/200...

qahar 2010-03-03 22:02:11 Iya, saya pake plugin jsecure n alhamdulillah berfungsi baik..

betul ali17 2010-03-06 04:53:19 semuanya bisa bekerja dengan baik kok ... trims

sip papahana 2010-03-06 05:05:17 Makasih dengan plugin malah bisa jalan di joomla 1.5

Akhirnya berhasil juga hardan 2010-03-09 22:13:37 Terimakasih artikel nya bapak2 sekalian. saya sudah coba petunjuk nya step by step dan akhirnya berhasil saya terapkan di website saya. www.harihamdani.com/administrator

htaccess danielgflase 2010-03-17 12:56:15 kalo menambahkan htaccess bagaimana om?

n_dhut 2010-03-17 18:05:30 udah coba step by step untuk joomla 1.5, tetep bisa login dari administrator doang bos..

Tentang jScure Authentication assa 2010-03-17 21:50:11 Saya udah enable di pluginya dan parameternya saya isi kata rahasia. Begitu saya buka administratornya dan saya tambah kata rahasia tersebut kok gak bisa ya Sekarang saya gak bisa buka jadinya. Tolong dong !Gimana biar saya bisa buka lagi adminitrator saya.

assa 2010-03-17 21:51:20 Aduh saya jadi gak bisa login ke administrator. Toooolllloooong.....!!!!

icus 2010-03-18 23:07:27 @assa http://alamat.web.anda/administrator?kat a_rahasia

hardan 2010-03-19 16:17:00 @assa : pada parameters modul nya. di bagian key nya perlu anda ingat apa yang anda ganti. Kemudian www.domainanda.com/administrator?key(and a tulis tadi). semoga membantu

..... patiukan 2010-03-20 05:21:01 Aku menggunakan plugin j secure authetication baik-baik saja sejauh ini....

Thank dedimlydadith 2010-03-20 23:33:31 trims banget info artikelnya, sy sedang mendalami joomla. good lck for all. nowgoogle.com Adalah Multiple Search Engine Pop... nowgoogle.com Adalah Multiple Search Engine Pop... NegeriAds.com Solusi Berpromosi

riyadhul 2010-04-09 23:12:09 maksih byk..sangat membantu dan bermanfaat

damien 2010-04-12 10:49:31 Alo om, kok pas aku nyoba trus logout keluar gini The page you have requested could not be found. (404) Trus URL di address bar jadi http://www.domainsaya.com/plugins/system/404.html Apa memang gitu ya pas logout?

re: slametr 2010-04-13 18:28:50 damien wrote: Alo om, kok pas aku nyoba trus logout keluar gini The page you have requested could not be found. (404) Trus URL di address bar jadi http://www.domainsaya.com/plugins/system/404.html   Apa memang gitu ya pas logout? Pada Module Parameters, anda harus memilih  Redirect Option = Redirect to Index Page (lihat langkah ke 18 )

re: re: damien 2010-04-14 05:24:41 slametr wrote: Pada Module Parameters, anda harus memilih  Redirect Option = Redirect to Index Page (lihat langkah ke 18 ) ok om, resolved

jScure Authentication berbayar ya? yakusa47 2010-04-16 18:07:12 extension ini sudah berbayar ya? http://www.joomlaserviceprovider.com/componen t/ambrasubs/file/view/5/8.html

hebring alzadi 2010-04-27 21:18:25 trims om atas tulisannya. untuk yang dah kebacut enable JSecure tapi lupa kata kuncinya. Langkah restorasinya: 1. buka data base 2. cari jos_plugin 3. cari Tabel System - jSecure Authentication 4. Ubah angka 1 dipublish jadi angka 0

nanya dong indigoblue353 2010-04-28 03:31:02 lebih aman mana dengan bikin file .htaccess & .htpasswd sendiri di administrator???

sangat membantu bangunwae 2010-05-09 21:46:00 yupz sangat membantu Ohm,, tutorialnya Negeriads.com Solusi Berpromosi

sangat membantu arthspotter 2010-05-14 18:51:31 trimakasih gannnnnnn!!!!!

re: re: cr_light 2010-05-23 05:47:49 slametr wrote: damien wrote: Alo om, kok pas aku nyoba trus logout keluar gini The page you have requested could not be found. (404) Trus URL di address bar jadi http://www.domainsaya.com/plugins/system/404.html   Apa memang gitu ya pas logout? Pada Module Parameters, anda harus memilih  Redirect Option = Redirect to Index Page (lihat langkah ke 18 ) saya juga mengalami masalah yang sama, tutorial yang diberikan pada langkah 18, apa memang kebalik..?? saat ini saya tidak bisa login ke admninistrator walaupun memakai key yang dibuat,.... selalu keluar ( http://domainsaya.com/plugins/system/404.html) To long daku..??

Plugin Secure dwiRianto 2010-07-08 07:19:09 Plugin yang bagus! Semuanya berfungsi baik. Makasih mas.

ipunkecil 2010-08-21 11:11:52 masih ada laporan ga bisa login setelah menggunakan plug in ini ya, jadi bimbang untuk menggunakannya di joomla 1.5 ku. ada yang sudah nyoba kah di j 1.5?

adeyt 2010-08-27 04:30:36 saya pake joomla 1.5 sudah dicoba dan bisa kok . test adeyt.net/administrator

Joomla Secure rasyid99 2011-04-02 06:27:35 Thanks Pak infonya... saya sudah coba pake JSecurenya... semoga aman http://www.KaosRemaja.com

Alhamdulillah solusiaqiqah 2011-06-10 09:25:42 Terima kasih Pak, berhasil dengan baik...

re: hebring die389 2011-08-07 17:46:04 alzadi wrote: trims om atas tulisannya. untuk yang dah kebacut enable JSecure tapi lupa kata kuncinya. Langkah restorasinya: 1. buka data base 2. cari jos_plugin 3. cari Tabel System - jSecure Authentication 4. Ubah angka 1 dipublish jadi angka 0 Apakah setelah melakukan hal itu akan bisa masuk ke Administrator om

Cara masuk ke Administrator jika Anda lupa Kata sa die389 2011-08-07 17:55:51 Jika kalian masih suka ada Trouble dengan kemunculan http://domainsaya.com/plugins/system/404.htm Berarti kalian lupa 'Kata sandi' Administrator kalian. Nih caranya: 1.Masuk ke ruang Control Panel Web kalian (http://www.domainkalian.com/cpanel) 2.Masuk ke Database >> PhpMyAdmin 3.Pilih Database Web Joomla kalian 4.Cari Table jos_plugin >> System - jSecure Authentication 5.Lihat di sisi Kanan Bawah yg berada di Kotak, nah disitu ada kelihatan Kata sandi Web Joomla kalian

Bagi Yang Belum Berhasil lpse 2011-10-11 11:49:54 Untuk rekan2 yang masih muncul "http://www.domainsaya.com/plugins/system/404. html" kemungkinan besar kata rahasianya hanya diisi di module aja, seharusnya juga diisi kata rahasianya pada plug in Semoga membantu

berhasil chenoool 2011-10-14 00:09:15 berhasil,..berhasil,..horrayyyyyyy.... terimakasih banget mastah..web saia lebih aman.

Only registered users can write comments!

Powered by !JoomlaComment 3.26

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."