Amankan OJS dari Serangan Hacker

OJS atau Open Journal System merupakan content management system (CMS) yang dikhususkan untuk pengelolaan jurnal online. OJS banyak digunakan perguruan tinggi diseluruh dunia, platform open source ini sangat populer di kalangan perguruan tinggi dalam mempublikasi jurnal secara online.

Kepopuleran CMS ini tak ayal memancing sebagian pihak untuk usil melakukan deface atau mengganti wajah website jurnal, atau lebih awam dikenal dengan istilah di-hack. Cara kerja deface ini, awalnya pelaku akan menyamar sebagai author, pelaku akan melakukan register dan melakukan submission, namun file yang diunggah adalah file script yang mampu memodifikasi file file di direktori tertentu dari OJS tersebut.

Bagi pengelola jurnal, sebaiknya sering-sering memantau daftar author, bila ada pengguna atau author yang memiliki nama mencurigakan dan diindikasi nama samaran, patut dicurigai itu adalah orang iseng, dan sebaiknya diblokir atau dihapus.

Kedua, sebaiknya pengelola meminta Administrator server untuk memodifikasi script OJS untuk hanya mengijinkan pengunggahan file dengan tipe tertentu saja, misalnya hanya doc, docx, xls, pdf, rtf, jpg, bmp, dan atau file yang dibutuhkan saja.

Adapun file OJS yang bisa dimodifikasi adalah berada di direktori /lib/pkp/classes/file nama filenya FileManager.inc.php

Temukan baris berikut :

function uploadFile($fileName, $destFileName) {
		$destDir = dirname($destFileName);
		if (!$this->fileExists($destDir, 'dir')) {
			// Try to create the destination directory
			$this->mkdirtree($destDir);
		}
		if (!isset($_FILES[$fileName])) return false;
		if (move_uploaded_file($_FILES[$fileName]['tmp_name'], $destFileName))
			return $this->setMode($destFileName, FILE_MODE_MASK);
		return false;
	}

Kemudian modifikasi menjadi seperti berikut

	function uploadFile($fileName, $destFileName) {
		$destDir = dirname($destFileName);
		if (!$this->fileExists($destDir, 'dir')) {
			// Try to create the destination directory
			$this->mkdirtree($destDir);
		}
		if (!isset($_FILES[$fileName])) return false;
		if (move_uploaded_file($_FILES[$fileName]['tmp_name'], $destFileName)){    
				
    			$allowed 	=   array('gif','png' ,'jpg', 'pdf', 'doc', 'docx'); // Type Extension
    			$filename 	=   $_FILES[$fileName]['name'];
    			$ext 		=   strtolower(pathinfo($filename, PATHINFO_EXTENSION));    
		
    			if(!in_array($ext,$allowed) ) {
    				return false;    				
    			}else{    				
    				return $this->setMode($destFileName, FILE_MODE_MASK);    				
    			}   		    			
		}
	}

Sumber: https://forum.pkp.sfu.ca/t/avoiding-file-types-in-uploading-files/7700/11

Perhatikan baris ini $allowed = array(‘gif’,’png’ ,’jpg’, ‘pdf’, ‘doc’, ‘docx’); // Type Extension, pada baris ini mengatur file yang diijinkan untuk diupload ke server OJS Anda.

Nah, itulah tips untuk mencegah serangan deface hacker. Selamat Mencoba, Semoga Bermanfaat ^_^

Pin It

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *