Tulisan berikut ini adalah bagian dari seri artikel tips dan trik seputar sekuritas website berbasis Joomla 1.5 sebagai lanjutan dari artikel sebelumnya 10 Kesalahan Terbesar Administrator Website.
OK, lanjut ya.
Secara default, nama folder administrator Joomla adalah administrator. Nah kondisi semacam ini terasa kurang nyaman buat para penganut paham sekuritas. (sotoy mulai kumat :D).
Hal ini dikarenakan dengan mudahnya ditebak alur akses ke admin panel, dan bila sisi paranoid ditambahkan akan muncul asas praduga hacking. :D
Mmm, kalo alasan sekuritas dikaitkan dengan upaya hacking tampaknya terlalu berlebihan. Kenapa? Karena umumnya upaya penerobosan sekuritas tidak melalui jalur belakang. Koreksi ya kalo saya salah. Meski begitu tidak ada salahnya bila dilakukan penggantian nama folder administrator juga.
Ada hal yang menarik dari salah satu dokumentasi di forum Joomla org. Disebutkan bahwa untuk melakukan penggantian nama folder administrator pada Joomla 1.5 cukup dengan melakukan
a. penyuntingan (baca: editing) pada 2 berkas inti Joomla.
Berkas-berkas tersebut adalah:
1. /includes/defines.php
2. /administrator/includes/defines.php
isi yang diganti / diedit:
define( ‘JPATH_ADMINISTRATOR’, JPATH_ROOT.DS.’administrator’ );menjadi
define( ‘JPATH_ADMINISTRATOR’, JPATH_ROOT.DS.’namafolderbaru’ );
b. Ganti nama folder administrator menjadi nama baru yang diinginkan.
sesederhana itukah?
Mmm,
kawan, ternyata tidak sesederhana dan semudah itu.
Mengapa demikian? Karena kondisi tersebut pada dasarnya mensyaratkan bahwa semua jalur berkas (path location) merujuk pada berkas di dalam lingkup folder administrator harus menggunakan JPATH_ADMINISTRATOR .
Dari hasil pengamatan saya selama ini, tampak bahwa pengembang (developer) ekstension (program aplikasi) Joomla belum sepenuhnya mengikuti aturan framework Joomla itu sendiri.
Contoh kasus,
ada sebuah aplikasi yang menggunakan JPATH_ADMINISTRATOR pada sebagian script yang dibuatnya, sementara pada berkas script-script lainnya masih menggunakan rujukan lokasi dengan menggunakan teks administrator.
contoh:
define( ‘COMPONENT_ADMINPATH’, JPATH_SITE .DS.’administrator’.DS.’components’.DS.’com_contoh’ ); seharusnya dituliskan sebagai :
define( ‘COMPONENT_ADMINPATH’, JPATH_ADMINISTRATOR .DS.’components’.DS.’com_contoh’ );akibatnya mudah ditebak, meskipun sudah mengganti / editing berkas defines (seperti disebut diatas), maka hasil keluaran (output) nya adalah error , macam file not found begitu deh.
Apakah bila semua kondisi diatas diubah maka akan memberi kesuksesan penggantian nama folder administrator Joomla ?
Mmm, kondisi kasus diatas menuntut anda sebagai developer web untuk bekerja extra, dalam artian melakukan pekerjaan debugging bila terjadi error memeriksa semua ekstensi yang digunakan apakah sudah patuh pada aturan atau belum, baik yang sudah terinstall maupun yang akan diinstall.
Sementara disisi lain, saya juga menemukan beberapa berkas inti Joomla 1.5 yang masih belum patuh aturan Framework Joomla itu sendiri. semoga saja saat tulisan ini dibuat sudah diperbaiki di SVN Joomla Code.
Dari penelitian (istilahnya sih keren, padahal sih ngoprek-ngoprek gitu :D) yang saya lakukan, kondisi penerapan aturan Framework Joomla itu sendiri terkait penulisan path location ke berkas administrator masih bisa ditolerir, dalam artian bisa diperbaiki.
Hanya saja…nah ini dia :P
Entah saya yang masih harus belajar (yang ini sih jelas :) ), pada saat penggantian nama folder dilaksanakan,
1. akses ke admin panel dengan nama folder yang baru bisa :)
2. fungsi javascript tidak berjalan dengan baik
Nah sampai pada point fungsi javascript tidak berfungsi cukup membuat saya heran dan terasa makin bodoh (wuih, kudu belajar lebih lagi nih).
Bikin heran? ya, karena berkas javascript yang dibutuhkan, misal saja mootools.js yang bertengger di/media/system/js/mootools.js dipanggil dari
/namafolderadminbaru/media/system/js/mootools.js???? nah lho.
Bolak-balik dicek tampaknya alur pemanggilannya sudah benar.
Malah ketika dimodifikasi scriptnya, dengan perasaan (lah pake perasaan, bukan pake logika :P ) seharusnya bisa eh malah gak mau dipanggil (mendadak malu-malu begitu …hehehe)
Nah sampai disini saya masih belum mau menyerah. Pasti ada yang terlewat. Hanya saja, mempertimbangkan ada pekerjaan oprek lainnya yang harus saya kerjakan, maka penelitian ini masih belum selesai dan di pending dulu.
Kondisi sementara:
1. umumnya kesalahan ada pada pemanggilan berkas javascript
2. berkas javascript dipanggil dari sisi administrator folder (namafolderadminbaru)
Solusi sementara (cara konyol menurut saya :P):
- ikutin aja maunya. copy dan paste nama folder serta berkas javascript yang diminta ke folder admin yang baru. hehheAlternatif :
Pasrah aja dulu deh sampai kondisi pemanggilan berkas javascript ini ada yang benahin (barangkali saja anda yang saat ini sedang membaca artikel ini :D)
Catatan kecil-tapi font sizenya sama :D
pada kesempatan dengan menggunakan Joomla 1.0.x penggantian nama folder administrator bisa dilakukan lebih mudah, hanya tidak flexible dibanding Joomla 1.5.x yang menggunakan frameworknya sendiri.
Btw, kadang saya juga bertanya-tanya juga, kalo dengan kondisi sekarang dan alasan sekuritas, tampaknya akan merepotkan diri juga. Jadi menurut saya alasan penggantian nama folder administrator pada Joomla 1.5 lebih pada sisi paranoid?
Begini, bukankah banyak jalan lain (yang lebih manjur ? ) untuk menjaga sekuritas folder administrator, misalnya:
- password folder protection (perlindungan dengan password)
- penggunaan token
- dan cara-cara lainnya (silakan kembangkan sendiri)
hanya saja, kondisi macam password directory protection tidak bisa dengan serta merta digunakan bila kondisi hosting tidak menyediakan fasilitas htaccess, misalnya pada server windows (yang pengaturannya harus melalui IIS Manager, koreksi ya).
Tulisan ini masih bias antara di letakkan sebagai Joomla tips and trick atau diposting di MyExperiments. Nanti lah kalau ada perubahan dan penambahan akan dibagi supaya pas penempatannya.
Dan buat anda yang sedang membaca artikel ini dan menemukan solusi pemanggilan javascript dari folder administrator (namafolderadminbaru) saya dengan senang hati menerima masukannya. Open Source Spirit mode ON :)
thx for info gan,
ReplyDeletetemplate kta koq sma y?
masa sih mungkin ngambilnya pas sama saja gan
ReplyDeletewiih,, dapat ilmu baru lagi nih.. mantaap gan..
ReplyDelete