Cara Mengamankan myBB forum

1. Gunakan password yang susah untuk di tebak or brute force
         password adalah kunci utama keamanan Blog,web,forum dan akun-akun yang kita miliki jadi kalau password kita sulit di tebak sedikit banyak nya kita sudah menghambat usaha peretas meski pun bukan la jaminan 100%


2. Cheking CHMOD permission pada file manager ,gambaran seperti brikut:
Direktori haruslah seting chmod di 755
dan untuk file bisa di set chmod nya 644
File Config.php bisa kamu set chmod menjadi 444
                         Brikut struktur kompleknya :

Required – ./uploads/avatars/ set chmod 777
Optional – ./admin/backups/ set chmod 777
Optional – ./inc/languages/*language*/*all files*/ set chmod 666
Optional – ./inc/languages/*language*/admin/*all files*/ set chmod 666
Required – ./inc/settings.php set chmod 666
Required – ./inc/config.php – 666 (install) 444 (after installation)
Required – ./cache/ set chmod 777
Required – ./cache/themes/ set chmod 777  

3. lindungi or aman kan file config.php

Setting CHMOD saja bisa jadi blm cukup untuk menghindari acces langsung ke file config.php kita bisa membuat aturan dalam .htaccess Kita Buat file .htaccess pada direktori /inc, dan isikan code :

<files config.php>

Order deny,allow

deny from all

</files>

Dengan begini jika ada yang mencoba mengakses langsung file config.php, maka akan di alihkan ke halaman 403 Forbiden Error.

4 . ganti nama folder admin 

      Ini cukup penting untuk melindungi direkturi admin, Secara umum direktori admin  adalah /admin.
 untuk merubah nama direktori admin :
- masuk ke direktori  /inc/config.php dan cari baris code brikut ini: 

$config['admin_dir'] = 'admin';

Ganti ‘admin’ menjadi direktori yang susah di tebak misalkan nohacking contoh :

$config['admin_dir'] = 'nohacking';

setelah selesai ganti admin dan save. Jangan lupa mengganti nama direktori /admin menjadi nohacking

5 .Lindungi halaman admin dengan .htaccsess.

       Tapi ingat pada bagian cukup beresiko ketika kita tidak bisa online dengan komputer sendiri naa hayooo ,  baiklah brikut langkah nya: Kita buat pengaaturan dalam .htaccess agar hanya IP tertentu saja yang bisa mengakses halaman admin, buat file .htaccess di dalam direktori ./admin, lalu isikan kode berikut:

RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_HOST} !^125\.771\.209\.331
RewriteRule .* http://www.nohacking.com [R=301,L]

Di situ ada warna Biru , ganti dng IP kamu, dan yg warna hijau ganti dengan alamat pengalihan jika ip tidak sesuai
dan untuk multi ip brikut code nya :

ErrorDocument 403 http://www.nohacking.com
Order deny,allow
Deny from all
Allow from 125.333.245.678
Allow from 110.123.564.345 

6. Sembunyikan link Admin Control Panel (ACP).

        Secara umum MyBB akan menampilkan link menuju halaman admin Posisinya di bagian atas forum, dengan link “ACP” Baiklah kita akan menyembunyikan link ini caranya adalah: Buka file /inc/config.php, lalu cari code brikut :

$config['hide_admin_links'] = 0;

     kamu ganti nilai 0 menjadi 1 seperti ini

$config['hide_admin_links'] = 1;

Lalu kamu save.link menuju halaman admin akan di sembunyikan. 


 7. Matikan HTML dalam posting.

          secara default MyBB memang mem-filter kode2 HTML dalam postingan, tapi ada baiknya kita “yakinkan” lagi agar MyBB tidak akan pernah memperbolehkan HTML masuk dalam postingan, atau dng kata lain MyBB harus mem-filter dng baik setiap kode HTML yang di input oleh member/user. Bagaimana caranya?, oke buka PhpMyAdmin lalu run query berikut:

UPDATE `mybb_forums` SET `allowhtml` = '0';

Selanjutnya kamu, masuk ke ACP > Tools & Maintenance > Cache Manager > forums > Rebuild Cache, MyBB tidak akan merespons HTML yg di input user.

8. Memberi Pin Di Login Administrator MyBB

1. Edit di administrator directory di /admin/inc/class_page.php Disekitar line 391
  dan cari code brikut

  Quote: <div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>

  dan ganti dengan code brikut ini:

Quote: <div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>
<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>
<div class="label"{$login_label_width}><label for="pin">Secret PIN</label></div>
<div class="field"><input type="password" name="pin" id="pin" class="text_input" /></div> 

2. Edit Di Directory /admin/index.php pada line 136
 cari code brikut ini:

Quote:if($user['uid']) {$query = $db->simple_select("users", "*", "uid='".$user['uid']."'"); $mybb->user = $db->fetch_array($query);  }

Dan ganti dengan code brikut ini:

Quote:if($user['uid'])
{ $query = $db->simple_select("users", "*", "uid='".$user['uid']."'"); $mybb->user = $db->fetch_array($query);}
if (isset($config['acp_pin']) && $mybb->input['pin'] != $config['acp_pin']) { $default_page->show_login("Invalid PIN","error");}

  3. Edit di Directory ./inc/config.php latak kan code di bawah ini dimana saja

Quote:$config['acp_pin'] = 'yourpin';

  ingat ganti tulisan yg saya kasih warna Hijau dengan pin yang kamu mau.. klo bisa di tambah2 dikit coding di config php nya dengan base64

Tips aman mybb:

1. Tetap up-to-date dengan mengikuti Milis MyBB.

MyBB selalu meng-update CMS nya jika di temukan bug. Tapi kadang masih saja ada admin yg lengah atau terlalu malas utk mencari tau. Salah satu cara utk mengetahui perkembangan dari MyBB termasuk security update adalah, dng mengikuti milis dari MyBB itu sendiri. Milis nya bisa di lihat di sini: MyBB Mailing List. 

2. Pastikan anda menggunakan versi terbaru dari MyBB.

Ayolahh… jangan malas utk meng-upgrade forum anda. Kan sudah saya jelaskan pada poin 9. Jika MyBB merilis versi baru CMS nya, bisa di pastikan ada Bug yang telah di temukan pada versi sebelum nya. Dan tentu saja anda WAJIB utk meng-upgrade nya! caranya bisa anda lihat di Wiki MyBB

3. Jangan terlalu banyak menggunakan Plugin!.

Saya tidak melarang anda utk menggunakan Plugin, anda sah2 saja mau pake plugin apa saja yang menurut anda keren. Tapi ingat, plugin di develop oleh pihak ketiga! bukan oleh developer resmi MyBB. Bisa saja terdapat Bug pada plugin yang anda gunakan sekarang! oleh karena itu, pastikan plugin yang anda gunakan itu secure dan bersih dari segala macam bug. 1-2 plugin saja sudah cukup, itu pun yang di rasa penting saja. Seperti anti-spam misalnya. Makin kompleks suatu plugin, makin besar juga kemungkinan ada bug nya!

4. BACKUP! BACKUP! BACKUPPPPP!!!.

Jangan lupa untuk selalu mem-backup database anda secara berkala, minimal dua minggu sekali untuk. Pepatahnya “sedia payung sebelum hujan”. File, mods atau template bisa di ganti dng yang baru

Tips tambahan mybb:

1.Jangan Tampilkan Versi MyBB. jika anda takut mybb dijebol hacker maka ini langkah awalnya. Jalan Jalan ke ACP >> Configuration >> General Configuration. Show Version Number >> Off ini mencegah terjadinya kebobolan database hanya gara-gara versi mybb,ini banyak terjadi di SMF dan dulu forum saya pake SMF malah dibobol sama si hacker.


2.Pakai Plugins Anti Spam. untuk selengkapnya lihat disini aja.sebenarnya spam bukan hanya tukang promosi aja tapi bisa membobol dengan cara buat thread/reply thread.kasus ini banyak dialami oleh Wordpress Blog Open Source Nomor 1 Menurut Ane.


3.Jangan Pake Yang Nulled-Nulled. nah untuk menghindari kebobolan server dari faktor internal yaitu pemasangan plugins nulled anda hanya perlu menghindari saja.jika anda terlanjur menggunakan Silahkan hapus filenya plus plus dengan databasenya di MySQL.


4.Pasang Firewall untuk keamanan MyBB sangat dianjurkan untuk yang masih awam.bisa dilihat disini.


5.Jangan pasang script diluar dari MyBB. jika anda menggunakan script yang bukan berasal dari file core MyBB saya anjurkan untuk memasang file core dengan code code tertentu agar bisa nyambung.


6.Jangan pasang Facebook Connect dulu untuk sementara karena ada peringatan dari MyBB Pusat.segera uninstall facebook dan hapus filenya plus plus Database MySQLnya di hosting anda jika anda kurang beruntung anda akan mengalami nasib yang sama seperti orang ini.


7. Pastikan via PHPInfo, pihak hostingan sering update PHP/MySQL atau Apache. Biasanya ini terjadi pada hostingan yang mau update PHP/MySQL.ini sangat berpengaruh pada situs tersebut jadi sering sering kontak pemilik host.


8. Kalau hostingan yang ramai dengan update tidak terurus, sebaiknya pindah saja. ini paling sering terjadi pada situs baru yang traficnya tidak dapat dicegah.

9. Pemakaian Javascript yang ngasal juga menambah kerawanan Sekali kali pake javascript yang seperlunya aja jangan kebanyakan.javascript seperti menghias saja jangan dipasang karena sangat sensitif