Cara Menangani Deface Website dan Celah Keamanan CKEditor Roxyfileman

Cara Menangani Deface Website dan Celah Keamanan CKEditor Roxyfileman. Bagi seorang web developer CKEditor yang terintegrasi dengan Roxyfileman sangat bagus untuk membuat fitur CMS pada website. Salah satu kelebihannya adalah editor teks tersebut dapat melakukan upload gambar langsung seperti halnya editor pada WordPress, hal ini beda dengan editor lainnya yang hanya menyediakan url untuk menampilkan gambar.

Namun dibalik kemudahannya terdapat celah keamanan yang sangat berbahaya dan dapat menyebabkan website anda di deface, bahkan diambil alih dengan berbagai macam backdoor yang dengan mudahnya disisipkan ke server.

Celah Keamanan CKEditor Roxyfileman
Siapapun dapat upload file tanpa credential, terdapat file backdoor yaitu file php yang disembunyikan dalam format gambar
Halaman website yang di deface
Halaman website yang di deface

Hal tersebut bisa terjadi karena secara default Fileman dapat diakses secara publik (tanpa credential) sehingga siapapun dapat upload file, termasuk file yang mengandung backdoor.

Berikut ini tips untuk menyelamatkan website anda dan menutup celah kemanan yang ditimbulkan

  • Beralih ke editor lain, ini solusi yang gampang tapi sulit diterapkan terlebih jika hampir semua fitur CMS website anda telah menggunakan CKEditor Fileman.
  • Tutup akses publik file index.html pada direktori Fileman, ini untuk mencegah siapapun dapat mengakses Fileman
tutup akses ke index fileman
Defaulnya world (publik) dapat mengakses file ini, hilangkan ceklisnya
  • Buat robots.txt yang dapat mencegah Google melakukan index terhadap url /fileman/ karena pada awalnya hacker/cracker mencari target/korban melalui sebuah query google yang menampilkan hasil website apa saja yang memiliki url /fileman/ contoh robots.txt untuk menghalangi Bot apapun mengakses url fileman
User-agent: *
Disallow: /fileman/
  • Langkah terakhir carilah file mencurigakan yang telah di upload oleh para penjahat dunia maya biasanya mereka menyisipkan backdoor dan mengelabui pemilik website dengan cara menyembunyikannya dalam file gambar.
FIle mencurigakan yang membahayakan website
FIle mencurigakan yang membahayakan website

Leave a Reply

Close Menu