Lindungi direktori administrator joomla anda!!

Baru nak belajar guna Joomla!.. agak terlambat. Tapi masih belum terlambat jika ada keinginan untuk belajar.

Dah siap buat website guna Joomla!, upload ke public, nak kena la perhatikan aspek keselamatannya pulak. Joomla! ni sangat popular dan menjadi target mudah para penggodam. Sekali tengok url kat browser tu, dah boleh tahu guna joomla. Lepas tu masukkan apa-apa je kat url tu,

bam!!...

keluar error404... dan serba sedikit maklumat pasal server. Ini dah cukup untuk penggodam kecikkan skop target diorang. Kena buat customised error404 page. (aku belum buat lagi huhu... sebab tu tak boleh tulis lagi pasal tu)

Satu lagi, diaorang akan selalu cuba akses ke laman administrator. www.contohsite.com/administrator/ dan brute-force dari situ. Jadi, bila kita lindungi direktori ini sekurang-kurangnya dah menambah sedikit kerja diorang. Kita tak boleh simply rename je folder administrator ni kerana banyak component dan plug-in yang merujuk ke folder /administrator ni.

Caranya...

haa... caranya ialah dengan membuat satu direktori baru, contohnya pentadbir, dan akses ke administrator melalui direktori ini.

1. Buat satu folder baru dalam direktori root, contohnya pentadbir.

2. Dalam folder pentadbir, cipta satu fail index.php dengan jampi-jampi berikut:

$admin_cookie_code="1234567890";
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");
header("Location: ../administrator/index.php");
?>

3. Tambah fail .htaccess dalam direktori administrtor asal dengan ayat-ayat berikut:

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=1234567890
RewriteRule .* - [L,F]

4. tambahkan ayat-ayat berikut di awal index.php dalam folder administrator

if ($_COOKIE('JoomlaAdminSession') !="1234567890")
{
?><script>location='../index.php';</script><?;
}

Sekarang ni, setiap kali kita nak akses ke administrator kena lalu pentadbir dulu, contohnya www.contohsite.com/pentadbir/, kemudian kita akan diredirect ke direktori sebenar. Jika akses terus ke www.contohsite.com/administrator/ akan dipulangkan ke laman utama. Jika tak buat langkah 4, akan keluar error404.

pesanan: jangan lupa tukar cookie_code 1234567890 dan pentadbir kepada pilihan sendiri, kerana contoh ni dah bayar pengerasnya... dah tak boleh pakai.

so apa lagi, cuba jangan tak cuba...