Arsitektur Web dan Pengamanan Web

           Yaaak.. untuk kaula muda atau siapapun yg membaca postingan ini kali ini saya akan menjelaskan tentang arsitektur web dan pengamanan web... oke langsung saja pada pembahasana yang pertama yaitu arsitektur komputer, Arsitektur komputer suatu pendekatan terhadap desain dan perencanaan situs yang melibatkan teknis, estetis dan kriteria fungsional. Seperti dalam arsitektur tradisional, fokusnya adalah pada pengguna dan kebutuhan pengguna. Hal ini memerlukan perhatian khusus konten web, rencana bisnis, kegunaan, desain interaksi, informasi arsitektur dan desain web. Hal ini juga termasuk menentukan teknologi stack, sitemap dan sistem navigasi dari situs, dan yg dimaksud dengan sitemaps merupakan salah satu alat bantu untuk para webmaster yang mempermudah dalam pengenalan peta situs di dalam website. Dengan begitu, mesin google dengan mudah menjelajah dan meraih halaman-halaman yang ada di dalamnya. Sama halnya dengan webiste pada umumnya, blog juga memerlukan sitemap agar mesin pencari dengan mudah mendeteksi konten di dalamnya. Dalam sistem sitemap ini pengguna dapat melakukan submit peta web berbasis XML langsung ke Google yang akan membantu Google mengindeks halaman web dengan mudah,ini gambaran dari arsitektur komputer:

 Selanjutnya tentang pengamanan web ada 3 cara untuk pengamanan web yang pertama dari sisi aplikasi, sisi setting host server dan dari sisi database..

Dari sisi aplikasi

         Pastikan Anda menggunakan versi terbaru dari aplikasi web yang Anda pakai. Kunjungi website aplikasi yang Anda pakai, misalnya untuk PHPBB adalah http://www.phpbb.com , untuk Joomla adalah http://www.joomla.org . Kadang sebuah aplikasi memiliki fitur upgrade online, jika ya dapat Anda gunakan fasilitas tersebut. Jika tidak, lakukan upgrade manual sesuai instruksi yang diberikan.

Coba cek apakah masih ada sisa-sisa file dari penyusup yang ditaruh di website Anda. Biasanya penyusup mengupload file seperti CGI/PHP Shell. Coba cek juga apakah si penyusup membuat account administrator atau moderator pada aplikasi website Anda.

Jika Anda membuat program sendiri, periksa kembali keamanan program Anda. Sebaiknya banyak membaca buku-buku tentang pemrograman yang aman (secure programming), banyak membaca artikel soal keamanan pemrograman web, dan memperbanyak pengalaman seputar pemrograman.

PHP: php.ini, error_reporting

Dari sisi setting server hosting

           Sebaiknya mengganti password FTP atau shell/SSH Anda, karena siapa tahu telah diketahui/dipakai orang.

Catatan: Untuk mengetahui apakah ada yang login ke SSH, caranya adalah dengan mengetikkan perintah 'last' dari shell Linux. Jika ada IP yang tidak dikenal (bukan dari IP Anda biasa login) maka kemungkinan ada orang lain yang login menggunakan account Anda.

Cobalah menjalankan skrip sebagai cgi-USER dan bukan USER, sehingga jika aplikasi website/skrip Anda diexploit, si penyusup tidak bisa begitu saja mengupload file ke document root Anda. Silakan lihat artikel ini untuk lebih detilnya.

Jika Anda menggunakan PHP, pastikan setting php.ini register_globals dan allow_url_fopen off, kecuali Anda benar-benar membutuhkannya. Silakan lihat artikel ini untuk detilnya.

Jika Anda sama sekali tidak menggunakan skrip/aplikasi di website Anda, Anda dapat mematikan fitur skrip, untuk keamanan. Dari control panel, pilih Subdomain Manager lalu Prefs pada subdomain yang diinginkan, lalu pada pilihan "Situs ini dapat menjalankan skrip (CGI/PHP/dsb)", pilih (x) Tidak/disable.

Anda juga dapat mencoba menghidupkan setting berikut ini di control panel: "Gunakan RBL" [x] Aktif. Dengan setting ini, website Anda akan dilindungi dari IP-IP yang mencurigakan, tapi ada kemungkinan sebagian pengunjung Anda tidak dapat mengakses website Anda. Anda bisa mencoba-cobanya terlebih dahulu.

Cobalah menghidupkan setting Log output stderr skrip ke file di Subdomain preferences control panel. Ini membuat pesan error ke stderr yang dicetak oleh skrip tidak ditampilkan ke browser melainkan dicetak ke file log (di sites/NAMASITE/syslog/script_error.YYYY-MM-DD.log). Pesan kesalahan skrip bisa saja mengandung informasi sensitif seperti password, path, dsb sehingga ada baiknya tidak usah bisa dilihat oleh semua pengunjung website.

Karena server hosting yang menggunakan Spanel secara default memungkinkan mengakses phpMyAdmin dan phpPgAdmin dari setiap website (via URL http://NAMAWEBSITE/webapps/phpMyAdmin atau http://NAMAWEBSITE/webapps/phpPgAdmin), maka pastikan username dan/atau dbname Anda tidak diketahui orang (mis: lewat pesan error PHP atau cara lain). Dan pastikan password database cukup kuat (mis: minimal 6-8 huruf, bukan kata/huruf yang mudah ditebak seperti "123" atau sama dengan username/dbname). Meskipun secara default koneksi remote MySQL tidak diperbolehkan saat ini dari server hosting, namun lewat aplikasi phpMyAdmin/phpPgAdmin, database Anda masih dapat diakses secara remote.

Jika Anda ingin agar phpMyAdmin dan phpPgAdmin tidak tersedia, matikan lewat control panel (menu Preferences).

Dari sisi database

          Jika ada file atau database yang dihapus, upload kembali dari backup Anda atau dari backup server. Di server hosting disimpan backup harian dan histori backup selama 3 bulan. Dapat Anda akses dan ambil dari File Manager control panel, di volume Backup atau Backup History (lalu gunakan fasilitas copy paste clipboard untuk mengkopinya kembali ke website Anda, yaitu volume Data). Sebaiknya Anda memelihara backup juga secara teratur. Jika Anda mengalami kesulitan, Anda dapat meminta staf technical support kami untuk merestorekan dari backup server.

XXX SQL injection.

Sekian penjelasan dari saya semoga bermanfaat kurang lebihnya mohon maaf....

Sumber:http://en.wikipedia.org/wiki/Website_architecture

              http://id.wikipedia.org/wiki/Sitemaps 

              https://sites.google.com/a/student.unsika.ac.id/mochamad-ridwan/jus/langkah-pengaman