Perbaikan keamanan PHPBB3


Layaknya sebuah forum board web application yang paling terkenal, PHPBB3 juga tidak luput dari target serangan hacker yang bertujuan untuk mengambil alih akses datanya maupun melakukan serangan deface. Berikut ini tips ampuh untuk memperbaiki keamanan konfigurasi PHPBB3.

Keuntungan dari pengguna PHPBB3 adalah sifatnya yang Open Source dan didukung oleh komunitas pengembang yang terus melakukan perbaikan fiturnya. Sayangnya, setelah melakukan sedikit penelitian terhadap PHPBB3, penulis menemukan 2 kelemahan utama PHPBB3 yang bisa jadi target awal serangan hacker untuk bisa mengakses database maupun password sistem PHPBB3-nya.

Kelemahannya terdiri dari :

1. folder “Cache”, yang fungsinya untuk mempercepat loading halaman PHPBB3, sampai dengan versi terakhir ternyata nama foldernya masih sama. Kesalahan setting akses folder “Cache” oleh web administratornya menyebabkan folder ini menjadi titik lemah paling utama dari PHPBB3 yang selalu diincar oleh Hacker.
2. file konfigurasi utama yang bernama “config.php”, merupakan penghubung utama web aplikasi PHPBB3 dengan database MySQL, sampai dengan versi terakhir nama filenya masih sama, juga filenya sendiri merupakan file text murni dan tidak terenkripsi sehingga begitu berhasil diakses oleh Hacker maka ancaman terhadap database MySQL milik PHPBB3 tidak dapat dihindari.

Berikut ini apa saja yang kita butuhkan untuk memperbaiki dua kelemahan ini :
1. Aplikasi FTP (WS_FTP atau CuteFTP), untuk mendownload / upload file-file2x script PHP yang kita modifikasi
2. Aplikasi editor Macromedia / Adobe Dreamweaver untuk mempercepat proses modifikasi

Tahapan perbaikan kelemahan folder “cache”.

Berikut ini langkah perbaikan yang harus kita lakukan :
1. Gunakan aplikasi FTP (WS_FTP atau CuteFTP), untuk mendownload file-file berikut ini

cron.php
includes/fungtions.php
includes/fungtions_messenger.php
includes/template.php
includes/acm/acm_file.php
includes/acm/acm_memory.php
includes/acp/acp_styles.php

tempatkan di folder pc / notebook lokal anda, yang penting struktur penamaan subfoldernya harus sama persis.

2. Jalankan aplikasi Dreamweaver-nya, jangan meload file apapun ke dalam editornya. Tekan tombol Ctrl + F untuk memunculkan dialog box Find and Replace.

3. Pada dialog box Find and Replace, untuk opsi “Find in :” silahkan diubah isinya menjadi “Folder…”, lalu klik tombol dan browse ke lokasi folder hasil download kita sebelumnya (nomor 1). misalnya :

C:\Users\GUE\Desktop\forum phpbb3\cache\

Pada kolom isian “Find:”, diisi : cache\
lalu kolom isian “Replace:”, diisi : ngebut\

Isian Find and Replace Cache

Catatan : nama “ngebut” bisa anda ubah sesuai keinginan anda, yang penting nama foldernya tidak mudah ditebak oleh orang lain, termasuk hacker.

4. Klik tombol “Replace All“, untuk melakukan proses modifikasi ke seluruh file yang telah kita download. Jika ada dialog konfirmasi yang muncul silahkan klik tombol Yes.

5. Hasilnya seperti berikut.

Hasil Replace Cache Setting

6. Tutup editor Dreamweavernya, lalu gunakan aplikasi FTP (WS_FTP atau CuteFTP) untuk mengupload kembali file-file yang telah kita modifikasi tadi, sesuaikan dengan lokasi subfolder aslinya, timpa / overwrite / replace file-file yang lama yang ada di server hosting anda dengan file-file yang telah dimodifikasi ini.

7. Masih melalui aplikasi FTP, rename nama folder “cache” di server web hosting anda, menjadi “ngebut” (sesuaikan dengan penamaan yang anda lakukan di langkah nomor 3 di atas).

 

 

Tahap perbaikan kelemahan file konfigurasi “config.php”

Berikut ini langkah yang harus kita lakukan :
1. Gunakan aplikasi FTP (WS_FTP atau CuteFTP), untuk mendownload file-file berikut ini

common.php
style.php
web.config
download/file.php
includes/acp/acp_main.php
includes/db/mysql.php
includes/db/mysqli.php
includes/questionnaire/questionnaire.php

tempatkan di folder pc / notebook lokal anda, yang penting struktur penamaan subfoldernya harus sama persis.

2. Jalankan aplikasi Dreamweaver-nya, jangan meload file apapun ke dalam editornya. Tekan tombol Ctrl + F untuk memunculkan dialog box Find and Replace.

3. Pada dialog box Find and Replace, untuk opsi “Find in :” silahkan diubah isinya menjadi “Folder…”, lalu klik tombol dan browse ke lokasi folder hasil download kita sebelumnya (nomor 1). misalnya :

C:\Users\GUE\Desktop\forum phpbb3\config\

Pada kolom isian “Find:”, diisi : config.
lalu kolom isian “Replace:”, diisi : includes/myheart.

Isian Find and Replace Config

Catatan : nama “myheart” bisa anda ubah sesuai keinginan anda, yang penting nama filenya tidak mudah ditebak oleh orang lain, termasuk hacker.

4. Klik tombol “Replace All“, untuk melakukan proses modifikasi ke seluruh file yang telah kita download. Jika ada dialog konfirmasi yang muncul silahkan klik tombol Yes.

5. Hasilnya seperti berikut.

Hasil replace config

6. Ubah nama / rename file “config.php” menjadi “myheart.php” (sesuai langkah #3 di atas), lalu pindahkan ke dalam folder “includes” filenya.

7. Dari dalam aplikasi Dreamweaver, open file “includes/db/mysql.php” yang telah kita download sebelumnya. Scroll ke bawah, untuk menemukan “function sql_connect”, lalu 2 baris setelahnya tambahkan php script berikut :

$sqlpassword = base64_decode($sqlpassword);
$database = base64_decode($database);

seperti gambar berikut

Edit isi file "mysql.php"

8. Buka / open file “includes/db/mysqli.php” yang telah kita download sebelumnya. Scroll ke bawah, untuk menemukan “function sql_connect”, lalu 2 baris setelahnya tambahkan php script berikut :

$sqlpassword = base64_decode($sqlpassword);
$database = base64_decode($database);

seperti gambar berikut

Edit file "mysqli.php"

9. Buka opel file “config.php” yang telah kita rename dan move menjadi “includes/myheart.php” tadi,

isi variable asli :

$dbname = ‘dbforum’;
$dbpasswd = ‘l3m4s_s3k4l1’;

Seperti gambar berikut :

Isi file "myheart.php" sebelum di enkripsi

Akan kita enkripsi dengan tools berikut :

http://www.tools4noobs.com/online_php_functions/base64_encode/

Dengan bantuan tools tersebut isinya menjadi seperti berikut.

Isi file "myheart.php" setelah dienkripsi BASE64_ENCODE

Keterangan : variabel “$dbname” dan “$dbpasswd” isinya disesuaikan dengan milik anda.

10. Simpan semua perubahan yang dilakukan dengan Dreamweaver, tutup aplikasinya, lalu gunakan aplikasi FTP (Cute_FTP / WS_FTP) upload file-file yang telah anda edit ke server hosting anda, letakkan sesuai dengan lokasi foldernya, timpa / replace / overwrite file-filenya dengan file-file yang telah anda edit ini.

common.php
style.php
web.config
download/file.php
includes/acp/acp_main.php
includes/db/mysql.php
includes/db/mysqli.php
includes/myheart.php
includes/questionnaire/questionnaire.php

11. Masih dari aplikasi FTP, hapus file “config.php” yang terletak di root folder server hosting anda.

Pada tahap ini, Forum PHPBB3 anda akan mendapatkan level security yang lebih baik lagi dibanding sebelumnya

Semoga Bermanfaat,

XNY

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s