Mengatasi situs disisipi iklan dari ISP

Berasal dari obrolan dengan mbak Shafira soal HTTPS, saya baru ingat kalau ada ISP – ISP yang suka memaksimalkan keuntungan. Sudah kita bayar layanannya, tapi browsing pun bisa disisipi iklan. Yang paling saya tahu adalah Telkom dengan injeksi iklannya pada elemen body HTML. Sedangkan kalau seluler memang pernah melihat tapi tidak mengalami halaman websitenya dimasukkan ke dalam frame, ini di XL dan Telkomsel kalau ga salah. Dan sudah dikonfirmasi oleh beliau. 🙂

Read more

Membatasi jumlah koneksi dengan iptables

Ada salah satu website milik teman saya memiliki log akses yang cukup unik. Yakni berusaha membuka halaman yang tidak ada dan dari format URLnya tampaknya acak. Ya memang langsung 404, tapi kalau datangnya banyak ya KO juga VPSnya karena tetap akan diproses requestnya. Kalau sudah mengalami hal seperti (atau bahkan belum) saran saya lakukan rate limiting supaya usaha jahat tidak kebablasan.

Read more

Mengijinkan akses HTTP dan HTTPS hanya dari CloudFlare

Karena mudahnya penggunaan CloudFlare dalam mengoptimasi kecepatan website, ada fitur perlindungan walaupun sederhana untuk yang gratis, juga dilengkapi CDN maka jelas banyak yang memilihnya. Karena sistem dari CloudFlare sendiri adalah reverse proxy, dimana setiap trafik pengunjung akan melewati network mereka dulu baru diteruskan ke web server maka sebenarnya kalau kita tahu alamat IP servernya bisa diakses secara langsung.

Read more

Menghilangkan X-Powered-By: PHP/ 5.6.22

Kalau anda mengecek informasi header HTTP dari web server yang kita gunakan maka akan muncul berbagai macam baris datanya. Paling sering akan ada nama web servernya dan mesin pengolah scriptnya. Walaupun bukan fitur yang bisa dimanfaatkan menjadi celah keamanan tapi bisa membuat orang tahu stacknya dan versinya.

Ini yang bisa jadi berbahaya kalau kebetulan ada celah keamanan berbahaya dan kita tidak cepat mengupdatenya. Karena itu ada baiknya dimatikan atau dihilangkan saja informasi yang berlebihan ini.

Masih bingung? Maksud saya seperti ini, silahkan cek header website anda:

curl -I nama_domain.com

Balasannya akan mirip seperti ini:

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 02 Jul 2016 13:00:01 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
Set-Cookie: PHPSESSID=rj51sgdksc4papgjmtngkbg9r5; path=/
Pragma: no-cache
Cache-Control: private
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Sat, 02 Jul 2016 13:00:01 GMT
X-Powered-By: PHP/5.6.22

Langsung ketahuan apa web servernya dan menggunakan PHP versi berapa.

Untuk menghilangkannya maka kita perlu mengedit konfigurasi PHP:

nano /etc/php.ini

Kemudian cari dan ubah baris dibawah:

exposed_php = Off

Dan akhirnya restart proses PHP-FPM:

service php-fpm restart

Selesai sudah dan bisa anda cek lagi header situs tadi dan mestinya sudah tidak ada lagi.