Security overview report pada Moodle

Kali ini whitecyber team akan membahas bagaimana tips mengecek module system secure.

Menu : Settings > Site administration > Reports > Security overview.

• Register globals

register_globals adalah PHP setting yang harus di disabled untuk mendapatkan moodle yang aman.

• Insecure dataroot

dataroot adalah direktori dimana Moodle menyimpan semua data user. Hal ini tidak boleh di akses secara direct oleh pengguna web.

• Menampilkan PHP errors

Bila PHP di set untuk menampilkan errors, kemudian setiap orang dapat masuk menuju URL yang salah disebabkan PHP untuk menampilkan pesan kesalahan.

• No authentication

Gunakan "no authentication" plugin dapat berbahaya karena mengizinkan semua orang dapat mengakses moodle.

• Allow EMBED dan OBJECT

Tidak mengijinkan pengguna menambahkan aplikasi Flash atau ke banyak media (termasuk forum posts) karena dimungkinkan flash tersebut untuk mencuri administrator.

• Enabled .swf media filter

Meskipun flash media filter dapat mengangkut file flash yang berbahaya maka kita harus difilter.

• Open user profiles

User profiles dapat di buka dengan web tanpa authentication, keduanya untuk alasan privasi karena spammer.

• Open to Google

Mengizinkan Google untuk memasuki website anda dan seluruh dunia dapat mengakses semua materi anda. Jangan menggunakan settingan ini bila tidak ingin di akses oleh mesin pencari google.

• Password policy

Gunakan password policy akan memperkuat pengguna dan sulit untuk di crack.

• Password salt

Setting a password salt greatly reduces the risk of password theft.

• Email change confirmation

Anda harus memaksa pengguna untuk selalu mengganti email agar aman.

• Writable config.php

config.php harus tidak dapat di tulisi oleh the web server process. Bila ini terjadi maka attacker sangat mudah untuk mengganti user dan passwordnya. 

• XSS trusted users

Yakinkan bahwa anda yakin ke semua orang yang sudah anda daftar karena penulisan XSS exploit pada forum.

• Administrators

Review administrator accounts anda dan pastikan hanya anda yang bisa masuk.

• Backup user data

Yakinkan bahwa data user sudah di backup.

• Default role for all users

checks semua user / pengguna dengan permission.

• Guest role

Cek semua guest role yang teris defined with sane permissions.

• Frontpage role

Periksa apakan semua role jalan di frontpage.

• Default course role (global)

Cek secara default role global.

• Default roles (courses)

Cek alert untuk mengecek semua global role.

Jangan lupa baca yang ini juga