CMS dan Keamanan Website

Saat ini sedang populer penggunaan CMS pada berbagai laman web. Kita sudah tidak begitu asing dengan blogger, wordpress, moodle dan joomla.

CMS (Content Management System) adalah sebuah sistem komputer yang dapat mempublikasi, menyunting, memodifikasi konten, melakukan pengaturan dan pemeliharaan sebuah halaman web dari sebuah halaman saja tanpa perlu pengetahuan bahasa pemrograman web.  CMS menyediakan sekumpulan menu untuk menambah halaman web, mengubah background, membuat menu/link di sidebar dan berbagai fitur web lainnya.

CMS menawarkan berbagai kemudahan. Seorang blogger hanya perlu fokus pada tulisan yang dia buat tanpa disibukkan oleh kode-kode CSS atau HTML. Pengajar online hanya perlu menyediakan dan mengupload bahan ajar beserta ujiannya tanpa perlu pusing-pusing mengembangkan sistem anti contek karena CMS Moodle dapat mengacak urutan soal dan urutan jawaban beserta timernya.

Ada berbagai macam jenis CMS berdasarkan fungsinya: blog, forum, e-learning, portal bahkan toko online.

CMS dengan berbagai kemudahannya telah membuat aktivitas publishing di dunia maya menjadi lebih mudah dan menyenangkan. Meski demikian ada hal-hal yang perlu diwaspadai saat kita memutuskan untuk menggunakan CMS untuk halaman web kita yaitu keamanan.

Karena CMS gratis tersedia secara bebas, sebuah CMS dapat dipelajari kode sumbernya dan pihak tertentu mungkin menemukan celah keamanan yang dapat digunakan untuk men-deface sebuah alamat web yang menggunakan CMS tersebut.

Update terbaru sebuah CMS mungkin dapat menambal sebuah celah keamanan namun karena sifat free dari CMS tersebut, maka setiap orang dapat beramai-ramai mendownloadnya dan beberapa pihak mungkin memfokuskan diri untuk mencari celah keamanan lain.

Subdomain um.ac.id pernah di-deface dengan memanfaatkan exploit dari sebuah free-CMS. Apakah ini berarti jaringan internet UM tidak aman? Jawabnya adalah: hal tersebut tidak ada hubungannya dengan jaringan.

Jika jaringan diibaratkan jalan dan pintu sebuah rumah. Maka halaman web dapat diibaratkan sebagai penghuni rumah yang membawa tas berisi uang. Sebuah CMS yang memiliki celah keamanan ibarat tas yang berlubang atau sobek. Seseorang hacker bisa saja mengganti uang di dalamnya dengan daun (mengubah konten web) atau mengambil semua uang hingga tasnya kosong ( menghapus isi web). Sebuah free CMS adalah sebuah tas yang desainnya (dan tempat sobeknya) diketahui oleh umum.

Kenapa tidak ditutup saja pintu rumahnya agar aman? Tentu saja bisa, namun dengan demikian maka pengunjung tidak dapat masuk ke dalam rumah (halaman web tidak dapat diakses).

Bagaimana agar aman? Tentu saja kita harus menutup celah keamanan dengan cara kita sendiri. Cara lainnya adalah dengan menggunakan CMS premium yang tidak tersedia secara bebas atau mengembangkan CMS sendiri sehingga kode sumber tidak dapat dipelajari oleh umum.

Karena itu, sedang ditelaah sebuah peraturan untuk keamanan website yang berada dibawah domain UM; pada tahun 2013 halaman web yang berada di domain um.ac.id wajib mengembangkan interface halaman web sendiri atau menggunakan CMS premium.

Nugroho Adi (Tim Pokja IT UM, Dosen FMIPA)

12 comments to CMS dan Keamanan Website

  • @Pak nugroho: ya gak segitunya kale ,,, tinggal kita memanajnya aja ,,, semua cms yang ada sudah ada celahnya semua, memungkinkan untuk di hack org. Bikin aja CMS sendiri, semua jurusan, dan unit unit yang lain pake CMS yang disediakan TIK, ya … mana yang terbaiklah buat UM kita ,,, ,,,

  • purwanto

    setuju dengan dsatyananda, ada baiknya diadakan workshop, karena bisa membawa banyak manfaat, termasuk juga bagi admin web.

  • dsatyananda

    Mengingat sudah sangat teknis sekali, ada baiknya nantinya ada guideline atau panduan tentang hal itu. Lebih bagus lagi ada workshopnya.

  • @haki ps

    Jika setuju dengan Donna, maka anda juga harus melakukan hal yang Donna lakukan; update, patch, ubah prefix, matikan ftp, gunakan SSL dan ganti password rutin.

  • Saya setuju dengan Donna, saya juga pengguna Joomla sudah bertahun-tahun, joomla dilengkapi dengan komponen, modul yang lengkap tinggal kreatifitas kita diuji disini untuk mempercantik sebuah website. Begitu juga dengan wordpress sam druppal lengkap juga ko.

    Kalau membuat UM membuat CMS sendiri saya belum perlu, menurut saya mengembangkan CMS yang sudah ada dan di koordinasikan di setiap unit kerja menggunakan CMS yang di kembangkan oleh Pusat TIK. sehingga setiap unit memiliki homepage sendiri yang bisa menaikkan raitiing UM.

    Terikasih buat tim Pokja, koneksi intrnetnenya sudah mulai lancar. mudah mudahan semakin lebih cepat lagi,

  • @donna

    Jika pengguna freeCMS melakukan tugas admin seperti anda, (building web with security in mind, updating pacthing, no-ftp, sedapat mungkin menggunakan SSL, ubah prefix terjadwal, ubah password admin rutin) maka tentu saja free-CMS dapat digunakan. Dengan melakukan hal tersebut maka CMS yang kita gunakan sudah unik, sudah tidak sama dengan 60jt CMS yang lain.

    Mungkin akan dipertimbangkan juga peraturan untuk admin subdomain di bawah um.ac.id untuk wajib melakukan hal-hal tersebut. Bagaimana jika admin tidak dapat melakukannya? Tentu saja kembali ke opsi awal yaitu menggunakan CMS khas hasil pengembangan sendiri.

    Untuk pertimbangan seberapa aman sebuah free-CMS, kita dapat googling dengan kata kunci misal “wodpress exploit”, “joomla exploit” atau semacam itu. Pertimbangkan juga bahwa “fis-um exploit” akan menghasilkan apa (fis-um adalah CMS buatan sendiri)

  • Menurut aku untuk mengembangkan CMS boleh-boleh saja tapi apa tidak lebih baik menggunakan yang sudah amat populer saja spt: Joomla!, WordPress atau Drupal? Selain dikembangkan secara kelompok oleh orang-orang profesional dari seluruh penjuru dunia, update-nya pun dapat dilakukan secara otomatis sehingga menjamin kinerja dan keamanan. Khusus untuk Joomla! aku sudah pakai selama 8 tahun tanpa masalah, intinya adalah: Updating, Patching, matikan semua fungsi FTP layer, kalau bisa gunakan SSL, rubah table prefix dan secara periodik merubah password admin (mis. 1 bulan sekali)..

    Artikel ini sungguh menarik jadi ingin ikutan sharing.. Semoga dapat membantu yaaa…

    Salam,
    Donna

  • dsatyananda

    @Nugroho
    Terima kasih atas tanggapannya, semoga segera terwujud

  • Sangat bagus bila UM akan mengembangkan CMS sendiri.
    Akan lebih baik bila semua unit dapat memakai CMS yang dibuat UM, sehingga dapat menguji dan memberikan masukan untuk pengembangan CMS selanjutnya.
    Tampilan web antara satu subdomain dan yang lainnya dapat dibuat hampir seragam (hanya beda isi, tata letak, dan kepala situs).

    SIAP Online yang dibuat PT Telkom Indonesia dapat dijadikan contoh, http://www.siap-online.com

    Michael
    (Alumnus)

  • @dsatyananda

    Mengembangkan sendiri dalam arti CMS atau interface yang digunakan untuk halaman web bukan sesuatu yang tersedia secara masal sehingga dapat dipelajari kelemahannya.

    Dalam rapat koordinasi 15 Mei, The Dream Team TIK sanggup mengembangkan interface yang dapat dipakai oleh unit-unit. Namun unit diberi kebebasan untuk mengembangkan sendiri atau menggunakan jasa pihak ketiga selain TIK

    Tentang wordpress yang didownload 60jt kali, di sinilah poinnya. Dengan 60jt pengguna, maka besar kemungkinan celah keamanan akan segera terdeteksi. Apakah tidak boleh menggunakan wordpress? Tentu saja boleh asal kita mengkustom cms tersebut sehingga menjadi wordpress khas yang beda dari yang lain, dengan celah keamanan yang telah tertutup baik oleh patch maupun oleh kita sendiri

  • Judaz

    Wah penjelasan yang mudah dipahami. Semakin paham sekarang dengan jaringan.
    thanks pak Nugroho

  • dsatyananda

    “mengembangkan interface halaman web sendiri” itu maksudnya merancang sendiri?
    Saya rasa, lebih baik UM / Pokja / siapapun yang terkait menyediakan alternatif produknya (ibaratnya yang tersertifikasi oleh UM) atau sekalian jasa pembuatannya, sehingga pihak lain yang awam urusan teknis atau tidak menggeluti hal itu bisa memanfaatkan dengan mudah dan terstandar.
    Apakah wordpress kurang memadai? Saya rasa kalau tidak memadai atau bocor tentu tidak mungkin akan diklaim “Over 60 million people have chosen WordPress” seperti di websitenya 🙂
    CMIIW

Categories

A sample text widget

Etiam pulvinar consectetur dolor sed malesuada. Ut convallis euismod dolor nec pretium. Nunc ut tristique massa.

Nam sodales mi vitae dolor ullamcorper et vulputate enim accumsan. Morbi orci magna, tincidunt vitae molestie nec, molestie at mi. Nulla nulla lorem, suscipit in posuere in, interdum non magna.