Website klien kena "hack" tanggung jawab siapa?

[pandoraBox]

apakah malware web yg masih satu server, bisa loncat ke web lain nya ?

 

[Bestariweb Hosting]

apakah malware web yg masih satu server, bisa loncat ke web lain nya ?

Bisa. Kalau satu user sangat mudah karena punya hak akses yang sama, namun jika beda user biasanya melalui symlink.
Cara simple mengatasi agar gak loncat:
1. Pake CageFS dari Cloudlinux (berbayar)
2. Disable fungsi symlink di PHP.ini
3. Set proteksi symlink di apache

 

[1stserver]

Security adalah tanggung jawab bersama antara hoster dan customer. Di sisi hosternya harus berusaha semaksimal mungkin mengamankan server-nya dan dari sisi customer juga harus berusaha untuk mengamankan web-nya. Kalau tetap kena hacked ya kita bantu investigasi lalu restore saja ke posisi sebelum kena hacked.

Kalau ketahuan customer menggunakan software nulled, sebaiknya diingatkan bahwa itu melanggar TOS kita dan kita bisa terminated akunnya (kalau perlu).

 

[Bestariweb Hosting]

Perlu diketahui, bahwa hoster tidak bisa setting security 100% aman, karena pasti akan mengganggu kenyamanan client. selalu akan ada celah jika server disetting sebagai shared host.

Contoh kasus untuk 100% aman: chattr +i kemungkinan membuat server 99.99% aman, namun kenyamanannya akan sangat kurang, karena client gak bakal bisa login sama sekali walau user passwordnya bener karena gak bisa save session.

Jadi, Security yang di set di shared host itu pasti masih ada sedikit celah, misal:
1. Client masih bisa upload file NULLED.
2. Client masih bisa kirim email melalui fungsi php mail();
3. Proteksi Salah Password biasanya diset agak besar, misal 10 kali atau 20 kali salah password baru kena block. kalau diset 3 kali rata rata akan mengganggu kenyamanan client.
4. Hoster tidak bisa melakukan filtering phishing dll secara full, karena ada beberapa web client yang bersifat web berita dan memungkinkan memuat kata-kata yang ada di filtering keyword.
5. Client maunya aman kirim dan terima email, namun jika diterapkan proses scanning email dan RBL Filter, biasanya akan komplain karena terjadi antrian pengiriman (delay) sebagai efek filtering.
6. Client maunya email bersih dari spam, Namun jika kita terapkan rule spam akan komplain karena banyak email mental dan ditolak.
7. dll


Artinya "kalau mau aman, bisa pakai server sendiri dan custom security server sendiri. Selama pakai Shared host, maka masalah security adalah masalah bersama karena hoster tidak akan mungkin memberlakukan 100% secure di server sharedhost."

 

[paijondablexs]

klo pengalaman ku yg pernah pke plugin nulled, biasanya wordpress mendeteksi plugin tersebut sehingga web error baik web admin atau web user. jd harus hapus plufin nulled itu lewat file manager di kontrol panel.

 

[pluto01]

mengganggu kenyamanan client.

Artinya mau aman perlu mengorbankan kenyamanan dan mau nyaman perlu berefek ke keamanan yach mas
Makasih petuahnya

 

[masiqbal]

Menjaga server: tanggung jawab hoster
Menjaga website: tanggung jawab pemilik website
Dihack: tanggung jawab hacker. Kalau ketahuan bisa lapor ke pihak berwajib. Kalau tidak ketahuan, ya menjadi tanggung jawab yg menjaga server dan atau website (tergantung lewat mana hacking terjadi).

 

[Bestariweb Hosting]

Artinya mau aman perlu mengorbankan kenyamanan dan mau nyaman perlu berefek ke keamanan yach mas
Makasih petuahnya

Bukan petuah mas.. hanya pendapat pribadi, dan belum tentu benar

 

[CyberDaeng]

Perlu diketahui, bahwa hoster tidak bisa setting security 100% aman, karena pasti akan mengganggu kenyamanan client. selalu akan ada celah jika server disetting sebagai shared host.

Contoh kasus untuk 100% aman: chattr +i kemungkinan membuat server 99.99% aman, namun kenyamanannya akan sangat kurang, karena client gak bakal bisa login sama sekali walau user passwordnya bener karena gak bisa save session.

Jadi, Security yang di set di shared host itu pasti masih ada sedikit celah, misal:
1. Client masih bisa upload file NULLED.
2. Client masih bisa kirim email melalui fungsi php mail();
3. Proteksi Salah Password biasanya diset agak besar, misal 10 kali atau 20 kali salah password baru kena block. kalau diset 3 kali rata rata akan mengganggu kenyamanan client.
4. Hoster tidak bisa melakukan filtering phishing dll secara full, karena ada beberapa web client yang bersifat web berita dan memungkinkan memuat kata-kata yang ada di filtering keyword.
5. Client maunya aman kirim dan terima email, namun jika diterapkan proses scanning email dan RBL Filter, biasanya akan komplain karena terjadi antrian pengiriman (delay) sebagai efek filtering.
6. Client maunya email bersih dari spam, Namun jika kita terapkan rule spam akan komplain karena banyak email mental dan ditolak.
7. dll


Artinya "kalau mau aman, bisa pakai server sendiri dan custom security server sendiri. Selama pakai Shared host, maka masalah security adalah masalah bersama karena hoster tidak akan mungkin memberlakukan 100% secure di server sharedhost."

Mantul penjelasannya Tuan... Sangat setuju!

 

[dhimaskirana]

tanggung jawab client, hoster hanya memberikan edukasi dan solusi. kemaren website client saya ada kena hack, saya komplain ke hoster karena udah saya restore, hacknya kembali lagi, kemudian si hoster mengecek bahwa ada plugin tertentu yang saya gunakan di website client saya memiliki bug, sehingga menyebabkan website kena hack. akhirnya saya ganti semua password, dan hapus plugin yang memiliki bug tersebut.

jadi sebagai hoster sebaiknya mengedukasi dan memberikan solusi. biasanya kalau web developer sudah tau solusinya, hanya perlu di edukasi.

semoga membantu.