Author: admin

Membuat Google Home dengan Raspi

/ Leave a Comment

Tadi buka Youtube ada video menarik, tentang pembuatan Google Home menggunakan Raspi dengan cara yang mudah. Mengapa mudah, karena menggunakan GassistPi, sebuah project di Github.

Di rumah, saya memang sudah mempunyai perangkat GoogleNest yang tinggal pakai, namun project ini cukup menantang untuk dicoba. Apalagi, kalau Raspi bisa di ganti dengan STB Bekas yang lebih murah, karena saya menemukan kesamaan fungsionalnya.

Video Mas Fernanda Darmasaputra ini bisa dijadikan referensi dalam pembuatan Google Home dengan mudah. Namun karena saya lebih suka membaca, video itu saya ekstraksi agar menjadi tulisan tutorial yang mudah dijadikan referensi. Selanjutnya »

Debian Buster telah Berakhir

/ Leave a Comment

Hingga artikel ini dibuat, situs ini dibangun diatas server berbasis processor arm. Hanya sebuah home server saja. Sistem operasi yang digunakan adalah Debian Buster. Saya sudah nyaman menggunakan sistem operasi ini. Mudah dan sangat tangguh. Tidak pernah rewel walaupun sering menghadapi listrik padam secara tiba-tiba.

Tim Dukungan Jangka Panjang (LTS) Debian telah mengumumkan bahwa dukungan Debian 10 buster  mencapai akhir masa pakainya pada tanggal 30 Juni 2024, hampir lima tahun setelah rilis awalnya pada tanggal 6 Juli 2019.

Sekarang repository dihapus, dan saya kesulitan untuk melakukan upgrade dan instalasi aplikasi. Mau tidak mau saya harus mengupgrade ke versi LTS terbaru.

Buster memang sudah terlalu tua. Untuk masuk ke Bookworm harus melewati Bullseye. Nampaknya upgrade bulan pilihan. Saya harus install Bookworm.

Namun karena server sekarang sudah kompleks, mungkin saya tidak akan mematikan begitu saja. Saya harus menghidupkan server baru khusus untuk urusan publikasi aplikasi di ranah publik.

Situs Berbasis WordPress di Serang

/ Leave a Comment

Saya mempunyai beberapa situs berbasis wordpress. Memang enak membuat situs dengan basis wordpress, tinggal install klik-klik selesai.

Namun ada yang harus dibayar dibalik kemudahannya. Salah satunya lokasi file tempat interaksi sistem keluar diketahui semua orang. Setidaknya wp-login.php dan xmlrpc.php.

Sebelumnya salah satu situs yang saya kelola (bukan situs ini) diretas dimana peretas yang menurut saya “bot” berhasil melakukan bruteforce untuk mendapatkan password, lalu emnggani password, dan membuat postingan untuk mengarahkan pengakses ke situs lain.

Kemarin sore saya iseng-iseng cek htop di home server saya (tempat situs ini di host). Cukup terkejut karena suhu hampir mencapai 70°C tanpa kipas saya nyalakan. Dalam keadaan normal, jika saya tidak menyalakan kipas server, suhu hanya 55°C. Lalu saya melihat 2 service php8.3-fpm yang  dengan load CPU mencapai 42% dan 40%. Waduh, ini pasti ada sesuatu.

9247 www-data  20   0  313184  56256  44428 R  42.1   3.0   5:11.36 php-fpm8.3
6564 www-data  20   0  313684  57108  44560 R  40.1   3.1   5:36.83 php-fpm8.3

Setelah saya melihat access.log

tail -n 100 /var/log/nginx/access.log

Terlihat bahwa terjadi akses bertubi-tubi ke file wp-login.php dan xmlrpc.php. Bahkan karena letak wp-login.php saya sembunyikan, bot menelusuri semua folder wordpress untuk mendapatkan wp-login.php.

Dari situ maka kamu harus mulai memperhatikan keamanan situs yang dibuat dari WordPress. Banyak aspeknya, namun paling tidak beberapa yang harus saya sampaikan.

Dari sisi WordPress

  1. Upgrade WordPress, plugin dan semua teknologi yang menyertainya secara berkala selama memungkinkan. Yang dimaksud tidak memungkinkan misalnya kamu harus upgrade ke PHP 8.3 namun kamu masih punya aplikasi lain yang hanya disukung PHP 7.4 dan hosting tidak mendukung multiple PHP.
  2. Install pluginWPS Hide Login untuk situs tidak bisa langsung di akses menggunakan wp-admin/
  3. Install plugin Simple Login Lockdown untuk mempersulit bruteforce bekerja
  4. Kalau perlu install 2FA login atau plugin security lain terutama untuk menghindari login brute force.

Dari sisi Cloudflare

Saya melakukan instalasi pada server sendiri dengan akses internet rumahan, sulit bagi saya kalau tidak memutar ke cludflare. Beberapa fasilitas yang saya aktifkan antara lain:

  1. Cludflare DNS dan Proxy
  2. Mengaktifkan Security Rules terutama untuk melindungi /wp-login.php dan /xml-rpc.php
Rule Name: Protect wp-login

When:
   URI Path contains "/wp-login.php"
Then:
   Challenge (CAPTCHA)

Okey itu dulu ya, terimakasih Cloudflare  🙂

Reset Password Limesurvey 6 Tanpa Email 2

/ Leave a Comment

Sebagai developer yang aplikasi kita tidak terkoneksi dengan email, agak sulit untuk melakukan reset password. Karena biasanya jika kita mereset password maka link reset akan dikirimkan menggunakan email.

Untuk Limesurvey 6, saya pernah membuat posting reset password dengan mengambil link yang di kirim ke email.

Namun kali ini saya akan membuat skrip PHP yang lebih sederhana untuk mengganti password apabila kita lupa password tanpa harus menggunakan email.

<?php
// === Konfigurasi database ===
$host = 'localhost';
$db   = 'nama_database_limesurvey';
$user = 'nama_user_db';
$pass = 'password_user_db';
$charset = 'utf8mb4';

// === Akun yang ingin di-reset ===
$username = 'admin';         // Ganti dengan username kamu
$newPassword = 'passwordbaru'; // Password baru

// === Koneksi PDO ===
$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$options = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
];
try {
    $pdo = new PDO($dsn, $user, $pass, $options);
} catch (\PDOException $e) {
    die("Koneksi gagal: " . $e->getMessage());
}

// === Ambil user ID ===
$stmt = $pdo->prepare("SELECT uid FROM lime_users WHERE users_name = ?");
$stmt->execute([$username]);
$user = $stmt->fetch();

if (!$user) {
    die("User '$username' tidak ditemukan.");
}

$uid = $user['uid'];

// === Generate hash dengan bcrypt ===
$hashedPassword = password_hash($newPassword, PASSWORD_BCRYPT);

// === Update password ===
$update = $pdo->prepare("UPDATE lime_users SET password = ? WHERE uid = ?");
$update->execute([$hashedPassword, $uid]);

echo "Password berhasil diubah untuk user '$username'.";
?>

Demikian.

Reset Password WordPress

/ Leave a Comment

Sebagai orang yang berkecimpung di dunia IT, pasti kamu sering mengalami Lupa Password. Karena terlalu banyak aplikasi yang telah kita buat dengan password yang harus beraneka ragam dan harus sulit ditebak. Akhirnya korbannya kita sendiri. Lupa password.

Ini adalah kejadian yang saya alami tadi, lupa dengan password website yang berbasis wordpress. Dan saya menggunakan beberapa cara untuk meresetnya.

Yang perlu dicatat, website wordpress saya ini tidak bisa mengirim email, sehingga opsi pengiriman email untuk mereset password, gagal.

Pertama, membaca artikel di beberapa situs webhosting yang menyarankan untuk langsung meresetnya melalui database. Menggunakan fungsi MD5 MySQL. Tentu saja ini Zonk besar. Anehnya kok website besar banyak yang menyarankan cara ini. Mungkin awal-awal  wordpress dibuat pengacakan enskripsi menggunakan MD5. Tapi itu  mungkin sudah lebih 15 tahun yang lalu.

Cara kedua menggunakan cara manual. Saya menggunakan fasilitas lupa password lalu akan muncul key pada tabel user. Lalu saya reset menggunakan pola ini https://mywpsite.com/wp-login.php?action=rp&key=1753177446:$P$BHqUxkPG/YyUxpTtXJU9I6mmhUJDZQ.&login=admin. Ternyata gagal juga. Katanya keynya salah.

Cara ketiga hasil diskusi dengan ChatGPT adalah cara terbaik. Langsung tokcer. Membuat skrip dibawah, taruh di root folder dan jalankan.

<?php
require_once('wp-load.php'); // Pastikan path ke wp-load.php sesuai lokasi kamu

$new_password = 'passwordbaru';
$user_id = 1; // Ganti dengan ID user kamu

wp_set_password($new_password, $user_id);
echo "Password berhasil diubah.";
?>

Atau

<?php
require_once('wp-load.php');

$user_login = 'admin'; // ganti dengan username kamu
$new_password = '12345678'; // ganti dengan password baru kamu

$user = get_user_by('login', $user_login);
if ($user) {
    wp_set_password($new_password, $user->ID);
    echo "Password berhasil diubah untuk user {$user_login}.";
} else {
    echo "User tidak ditemukan.";
}
?>

Ok sedekimian catatan saya buat pengingat kalau nanti mengalami persoalan yang sama.