Tip keamanan akun hosting Spanel

umum

  • Jangan berikan password akun hosting Spanel Anda pada siapapun.
  • gunakan password yang strong/panjang.
  • Akses control panel hosting menggunakan https:// dan jangan http://, untuk menghindari kemungkinan password Anda di-sniff.
  • jika bisa, akseslah control panel dari komputer yang aman. Hindari komputer publik seperti warnet.

setting email

  • limitlah jumlah email yang dapat dikirimkan per jam atau per hari sesuai kebutuhan, agar seandainya skrip Anda diexploit spammer/hacker, jumlah email spam yang mungkin terkirim dari hasil exploit menjadi terbatasi. Setting ada di: Subdomain manager > Prefs > Email (saat ini hanya dapat dilakukan oleh admin).

setting akses di control panel

  • set IP/blok IP di mana Anda dapat login ke SSH atau control panel hosting (XXX saat ini belum diimplementasi).

setting skrip/aplikasi web di control panel

setting2x ini ada di Subdomain Manager > Prefs.

  • gunakan cgi-USER dan jangan USER. Lihat detilnya di artikel: user-CGI.
  • opsional, gunakan RBL untuk skrip .

Tip: Untuk file-file konfigurasi yang di-include seperti config.php berisi password database, Anda dapat menggunakan permission 0640 dan bukannya 0644, agar tidak bisa dibaca oleh user Apache langsung www-data, tapi harus lewat skrip utama PHP. (Sebetulnya, semua file/direktori yang tidak ingin agar terlihat langsung dari browser dapat diberi permission 0640/0750, misalnya CHANGELOG, VERSION, doc/, dsb).

Tip: jika website Anda semuanya terdiri dari file-file statik saja (HTML, JS, gambar, video) dan tidak ada skrip server side (PHP, CGI), maka Anda dapat mematikan CGI, agar tidak ada skrip yang dapat berjalan sama sekali di website/subdomain Anda. Settingnya ada di Subdomain Manager > Prefs > CGI aktif/disable.

Tip: untuk direktori di bawah document root yang dipakai untuk upload, dapat ditambahi setting .htaccess agar skrip tidak dapat berjalan di bawah direktori tersebut (kalau-kalau ada yang iseng mengupload skrip ke sana).

setting aplikasi web builtin (/webapps)

Subdomain Manager > Prefs.

  • matikan jika tidak perlu. contoh bila Anda tidak menggunakan Subversion, PHPMyAdmin, atau PHPPgAdmin, matikan saja. Karena bisa saja jika password database Anda lemah, misalnya, maka dapat dibruteforce lewat PHPMyAdmin.

Resita has written 702 articles