Masalah CHMOD

Situs paling parah yang saya temukan bulan ini, sehariberbagi.org, menggunakan limbo-cms dan menset hampir semua permission file dan foldernya menjadi 0777 (word writable)!

Akhirnya situs ini dideface (sudah saya perbaiki) bahkan yang melaporkan adalah datacenter kami sendiri. Server sebenarnya sudah dilengkapi tool untuk menanggulangi cross site scripting atau serangan-serangan yang menggunakan kelemahan skrip yang dipakai oleh situs. Namun biasanya pembuat website tidak terlalu peduli dengan masalah ini. Yang penting skrip jalan. Biasanya mungkin tidak disengaja. Bisa saja dia mengupload dari mesin Windoze yang notabene permissionnya secara default adalah 777.

Tidak bisa dipungkiri bahwa sistem operasi yang awalnya dirancang tidak aman ini (Windows), membawa sial penggunanya… :D. Saya juga pernah mendapatkan situs yang menggunakan mambo open source dihack karena beberapa folder seperti components, template dsb harus diset 0777 agar bisa mengupload dengan sempurna. Hal ini adalah kesalahan fatal jika tidak diamankan secara penuh mekanisme upload data ini akan dimanfaatkan oleh orang lain untuk mengupload phpshell atau cgitelnet, kemudian mengupload file-file yang ia perlukan untuk menjalankan bot, backdoor dan sebagainya.

Saya sudah buat satu aturan dengan menggunakan skrip yang saya jalankan lewat cron job. Skrip ini saya gunakan untuk mencek permission semua situs yang menggunakan mambo open source atau joomla. Namun ada beberapa member yang keberatan karena akan mempersulit member jika ingin mengupload datanya. Security in mind belum dimiliki oleh sebagian besar web programmer (lebih-lebih hanya web designer), yang penting skrip bisa jalan namun ujung-ujungnya setelah kena deface atau kena hack atau disuspend karena kedapatan menggunakan bot atau backdoor, baru menyalahkan administrator server tersebut. So, who’s the stupid person here?