Joomla Indonesia

Login or Sign Up
Sign In or Register
Avatar
Not Registered Yet?

Join Now! It's FREE. Get full access and benefit from this site

Reset My password - Remind Me My username

Username
Password
Remember me
  • Home
    Home This is where you can find all the blog posts throughout the site.
  • Categories
    Categories Displays a list of categories from this blog.
  • Tags
    Tags Displays a list of tags that have been used in the blog.
  • Bloggers
    Bloggers Search for your favorite blogger from this site.
  • Team Blogs
    Team Blogs Find your favorite team blogs here.
  • Login
    Login Login form

5 Langkah Jitu (5P) Keamanan Website Joomla

Posted by on in Security
  • Font size: Larger Smaller
  • Hits: 10125
  • 10 Comments
  • Subscribe to this entry
  • Print

Di awal dulu ketika baru mulai membuat website Joomla dan mencoba menawarkan layanan pembuatan website untuk publik, tidak terpikir oleh saya  lebih jauh bagaimana mengamankan sebuah website joomla yang saya bangun.

Dalam perjalanan ketika sudah ada beberapa website yang berhasil saya buat dan berjalan lebih dari 1 tahun, ternyata mulai timbul kepercayaan dari para pengguna jasa pembuatan website yang saya tawarkan. Seiring juga perkembangan Joomla yang semakin populer dan kian banyak penggunanya di seluruh dunia, membuat kekhawatiran terutama aksi oknum-oknum yang tidak bertanggung jawab dengan sengaja merubah paksa tampilan [baca deface], mencoba masuk dengan paksa dengan metode-metode tertentu hingga menanam program-program jahat yang tidak diketahui.


Dengan dasar pemahaman pemrograman dan keamanan yang seadanya jujur saya tidak tahu bahkan tidak mampu memberi rasa aman terhadap website yang saya tawarkan kepada seluruh pengguna jasa, sehingga saya juga tidak tahu harus memulai dari mana.

Berawal dari kejadian website salah satu instansi pemerintah yang berhasil dirubah paksa tampilan mukanya oleh oknum yang kalau dari jejaknya adalah bukan dari bangsa sendiri, dan kebetulan website instansi tersebut menggunakan Joomla. Di saat kejadi itu Joomla 2.5 sudah rilis resmi dan Joomla 1.5 sudah tidak lagi mendapat dukungan dari para pengembang inti, kebetulan website instansi tersebut masih menggunakan Joomla 1.5.

Website yang berjalan di server sendiri dengan sistem operasi sumber kode terbuka tersebut ternyata belum cukup aman dan terbukti masih terdapat celah yang memungkinkan oknum-oknum tersebut dapat dengan mudah mengambil alih ataupun melakukan perubahan secara paksa.

Dari kejadian itu saya sebagai konsultan dan pengembang website dengan joomla sempat kebingungan langkah untuk melakukan perbaikannya dimulai dari sisi mana, tapi dengan beberapa informasi yang saya peroleh dari berbagai macam sumber muncullah beberapa langkah yang saya tawarkan kepada instansi tersebut, diantaranya :

  1. Migrasi/upgrade inti Joomla ke versi yang lebih baru dan didukung secara serius dalam kurun waktu yang panjang, pilihannya pada saat itu adalah migrasi dari Joomla 1.5 ke Joomla 2.5
  2. Evaluasi Ekstensi pihak ketiga (component, module, plugin, template) dari sumber yang terpercaya dan jika diperlukan ikut serta menjadi anggota resmi dari para pengembang.
  3. Audit keamanan jaringan oleh tim khusus


Dari ke-3 solusi yang saya tawarkan tersebut 2 opsi yang dipercayakan untuk saya kerjakan, yaitu opsi nomor 1 dan 2, sedangkan opsi nomor 3 ada tim khusus yang akan mengerjakannya.

Opsi pertama migrasi cukup mengalami hambatan, terutama dengan konten yang sudah ada cukup banyak, namun berjalan dengan baik dan lancar. Berikutnya giliran opsi kedua, dari evaluasi yang saya lakukan ternyata membutuhkan beberapa extension yang berbayar dengan sistem keanggotaan per tahun. Di opsi kedua ini yang terjadi diskusi alot dari sisi anggaran dana berjalan yang harus dikeluarkan oleh instansi yang bersangkutan, saya menawarkan untuk selalu update dalam penggunaan extension agar kita mendapatkan jaminan terbaik di setiap versi yang kita gunakan, dengan begitu kemungkinan celah yang ditimbulkan oleh penggunaan extensions tadi semakin sedikit.

Saya juga menawarkan penggunaan ekstensi pihak ketiga yang berfungsi secara menyeluruh di joomla 2.5 dan berjalan beriringan dengan joomla untuk mengamankan joomla berdasarkan kaidah-kaidah keamanan sebuah website. Meskipun sebenarnya poin ini bukan kewenangan saya untuk mengerjakannya akan tetapi pihak dari instansi tersebut setuju untuk menggunakan ekstensi pihak ketiga dengan sistem keanggotaan.

Proses migrasi yang berjalan kurang dari 1 bulan tersebut cukup membuahkan hasil, saat ini di tahun kedua website instansi tersebut belum pernah ada lagi kejadian perubahan paksa [deface] yang terjadi.

Dari peristiwa tersebut ada beberapa hal yang mungkin berguna bagi saya khususnya dan bagi rekan-rekan pengguna Joomla pada umumnya, hal-hal tersebut saya bagi menjadi rincian sebagai berikut dalam;

 

5P Keamanan Website Joomla


1. Pentingnya memilih dan membangun server beserta seluruh sistem keamanannya.
Jika kita menggunakan layanan hosting mungkin ada baiknya sangat dipertimbangkan dalam pemilihan layanan hosting, anda dapat belajar di forum berikut.

2. Pentingnya untuk selalu update di setiap versi joomla dan jangan sampai terlewat jauh.
Tentunya dengan hal ini kita harus rajin memantau berita perkembangan joomla. Untuk hal ini anda dapat memantau langsung di website resmi Joomla.

3. Pentingnya untuk selalu update di setiap ekstensi (component, module, plugin, template) yang kita gunakan.
Untuk hal ini jika anda menggunakan ekstensi gratis jangan lupa untuk update dan jika anda menggunakan ekstensi berbayar saya sangat menyarankan anda ikut serta dalam keanggotaan yang disediakan oleh pengembang ekstensi. Tentunya ada biaya tambahan jika anda menggunakan ekstensi berbayar, akan tetapi yang terpenting adalah penawaran dan pengertian yang anda berikan ke pengguna jasa untuk menciptakan website yang aman di tahun-tahun mendatang.

4. Pentingnya menggunakan ekstensi keamanan resmi dan selalu update.
Jujur memang terkesan kita sangat bergantung sekali terhadap penggunaan eksteni berbayar, tetapi saya berpendapat para pengembang ekstensi keamanan Joomla CMS tidak akan sembarangan dalam membuat satu ekstensi keamanan untuk joomla, mereka pastilah sangat berpengalaman dan paham benar dengan produk yang mereka buat. Nah kita sebagai pengguna tentunya ingin mendapatkan jaminan lebih agar website joomla kita aman. Ekstensi keamanan yang hingga kini saya selalu ikuti adalah RS Firewall buatan RS Joomla, bukan mempromosikan produk mereka, akan tetapi 3 tahun menggunakan produk tersebut banyak sekali manfaat dan informasi yang saya dapatkan, mulai dari alamat IP oknum yang melakukan penyerangan, melipat gandakan keamanan admin joomla, hingga memblokir otomatis alamat IP tertentu yang dianggap melakukan penyerangan.

5. Pentingnya untuk selalu melakukan Backup.
P yang kelima yang tidak kalah penting adalah dengan rutin melakukan backup seluruh file website joomla dan databasenya. Jika anda menggunakan server sendiri ada baiknya anda juga membuat perintah backup otomatis, begitu juga jika anda menggunakan server yang disewa di perusahaan hosting, alangkah baiknya anda lihat dulu apakah perusahaan hosting tersebut menyediakan layanan backup secara periodik. Atau anda dapat menggunakan ekstensi Joomla yang bernama Akeeba Backup untuk melakukan backup sendiri langsung dari website Joomla anda.

Itulah 5P Keamanan Website Joomla versi saya, tentunya artikel ini jauh dari kesempurnaan akan tetapi saya sudah menjalani dan mengalaminya sendiri, jika terdapat kekeliruan mohon masukannya dan jika ada hal positif mari kita manfaatkan bersama. Salam sukses.

Tagged in: security
Hi my name is Mico Kelana. Joomla web Developer from South Tangerang. Please visit my Joomla Web Solution to get services from me.
  • Helo bro Mico... Salam kenal ...thanks for a nice share !
    Saya setuju sama 5P utama diatas...
    sekedar menambahkan bila ingin lihat detail checklist situs yang dibangun bisa kunjungi : http://docs.joomla.org/Security_Checklist
    atau jika ingin audit situs joomla anda bisa di myjoomla.com (audit pertama gratis !)

    0 Like Short URL:
  • Terima kasih sudah memberi masukan, iya bener saya lupa juga tuh link dari joomla untuk ceklist keamanan. Layanan seperti myjoomla setau saya ada sekitar 4an deh, kebetulan yang bangun developer papan atas semua. Kalau ada dana lebih sih gak ada salahnya pake jasa mereka. Tapi kalau dananya terjangkau ceklis manual lebih oke, atau pakai komponen rsfirewall, nanti kita akan diberikan hasil audit security berdasarkan pengecekan, dan ada saran dari komponen tersebut untuk meningkatkan keamanan web joomla kita. Dan yang saya suka adalah fitur otomatis blokir jika ada yang salah tebak password, atau mencoba mengirimkan remote file dengan metode tertentu.

    0 Like Short URL:
  • Salam Mas MicoKelana, tadinya saya menggunakan joomla versi 1.sekian.. berhasil di deface halaman admin oleh Medo Dkh,, masih baik dia hanya defacing halaman admin.. Nah saya update ke joomla 2.5.4 paling baru banget ini.. komponen yg saya install hanya jupgradepro untuk restore data backup joomla versi 1.. web running di hosting.

    Nah sudah update ke versi 2.5.4 barusan di deface template beez5 karena saya modifikasi. Seluruh file template di hapus ganti dengan index.html e yg menampilkan Medo Dkh was here.. ada saran langkah preventif nya apa..

    ps : web yg kami kelola non profit, profile ponpes. mohon saran, kalopun saran berbayar ya jangan mahal2 hehe..

    terimakasih mas mico..

    0 Like Short URL:
  • Mas fadhil, boleh kontak saya di kelanasolution dot com untuk lebih personal tanya-tanya. Insya Allah siap membantu.

    Kalau sudah sampai 2 kali diserang alangkah baiknya mencari alternatif rumah baru untuk webnya, karena beberapa hacker juga bisa dengan mudah menyerang server hosting. Konsultasi juga dengan penyedia hosting, apakah mereka aware terhadap serangan yang terjadi.
    Tapi ada beberapa urutan yang perlu dilakukan sebelum upgrade?
    1. Usahakan website lama benar-benar bersih dari ruang server, untuk menghindari file-file tertentu yang tidak diketahui, biasanya para hacker ketika berhasil menyusup mereka akan menyimpan backdoor yang sulit untuk diketahui dengan cepat.
    2. Biarkan saja website dalam kondisi kosong, cukup dengan menempatkan 1 file html bahwa website sedang diperbaiki
    3. Bangun website baru dilokal, jangan online untuk menghindari diserang lagi ketika webnya sedang dibuat, khawatir celahnya ada di sisi server
    4. Coba pastikan standar keamanan joomla pada link berikut di jalankan : http://docs.joomla.org/Security_and_Performance_FAQs

    0 Like Short URL:
  • sangat bermanfaat. terimakasih atas artikelnya

    0 Like Short URL:
  • Mantap artikelnya dan amat berguna bagi pengguna Joomla Indonesia untuk lebih percaya diri menggunakan joomla sebagai CMS yang handal. Sukses ya mas! :)

    0 Like Short URL:
  • Pede donk mas..he..he.., salm sukses juga ;)

    0 Like Short URL:
  • Pede donk mas..he..he.., salm sukses juga ;)

    0 Like Short URL:
  • jombola teruskan perjuangan

    from Jakarta, Indonesia
    0 Like Short URL:
  • mas mico,,, gimana caranya masuk admin joomla yang kena hack?

    0 Like Short URL:

Kategori Blog

Joomla User Group Indonesia

Joomla User Group indonesia

Id-joomla.com adalah situs resmi Joomla User Group (JUG) Indonesia dan Joomla Translation Team

 
Download Terjemahan Joomla terakreditasi dari JoomlaCode dan laporkan bugs, ide dan saran nya di Sub Forum Hanacaraka

Socials

twitter id joomlafb idjoomla