Di awal dulu ketika baru mulai membuat website Joomla dan mencoba menawarkan layanan pembuatan website untuk publik, tidak terpikir oleh saya  lebih jauh bagaimana mengamankan sebuah website joomla yang saya bangun.

Dalam perjalanan ketika sudah ada beberapa website yang berhasil saya buat dan berjalan lebih dari 1 tahun, ternyata mulai timbul kepercayaan dari para pengguna jasa pembuatan website yang saya tawarkan. Seiring juga perkembangan Joomla yang semakin populer dan kian banyak penggunanya di seluruh dunia, membuat kekhawatiran terutama aksi oknum-oknum yang tidak bertanggung jawab dengan sengaja merubah paksa tampilan [baca deface], mencoba masuk dengan paksa dengan metode-metode tertentu hingga menanam program-program jahat yang tidak diketahui.


Dengan dasar pemahaman pemrograman dan keamanan yang seadanya jujur saya tidak tahu bahkan tidak mampu memberi rasa aman terhadap website yang saya tawarkan kepada seluruh pengguna jasa, sehingga saya juga tidak tahu harus memulai dari mana.

Berawal dari kejadian website salah satu instansi pemerintah yang berhasil dirubah paksa tampilan mukanya oleh oknum yang kalau dari jejaknya adalah bukan dari bangsa sendiri, dan kebetulan website instansi tersebut menggunakan Joomla. Di saat kejadi itu Joomla 2.5 sudah rilis resmi dan Joomla 1.5 sudah tidak lagi mendapat dukungan dari para pengembang inti, kebetulan website instansi tersebut masih menggunakan Joomla 1.5.

Website yang berjalan di server sendiri dengan sistem operasi sumber kode terbuka tersebut ternyata belum cukup aman dan terbukti masih terdapat celah yang memungkinkan oknum-oknum tersebut dapat dengan mudah mengambil alih ataupun melakukan perubahan secara paksa.

Dari kejadian itu saya sebagai konsultan dan pengembang website dengan joomla sempat kebingungan langkah untuk melakukan perbaikannya dimulai dari sisi mana, tapi dengan beberapa informasi yang saya peroleh dari berbagai macam sumber muncullah beberapa langkah yang saya tawarkan kepada instansi tersebut, diantaranya :

  1. Migrasi/upgrade inti Joomla ke versi yang lebih baru dan didukung secara serius dalam kurun waktu yang panjang, pilihannya pada saat itu adalah migrasi dari Joomla 1.5 ke Joomla 2.5
  2. Evaluasi Ekstensi pihak ketiga (component, module, plugin, template) dari sumber yang terpercaya dan jika diperlukan ikut serta menjadi anggota resmi dari para pengembang.
  3. Audit keamanan jaringan oleh tim khusus


Dari ke-3 solusi yang saya tawarkan tersebut 2 opsi yang dipercayakan untuk saya kerjakan, yaitu opsi nomor 1 dan 2, sedangkan opsi nomor 3 ada tim khusus yang akan mengerjakannya.

Opsi pertama migrasi cukup mengalami hambatan, terutama dengan konten yang sudah ada cukup banyak, namun berjalan dengan baik dan lancar. Berikutnya giliran opsi kedua, dari evaluasi yang saya lakukan ternyata membutuhkan beberapa extension yang berbayar dengan sistem keanggotaan per tahun. Di opsi kedua ini yang terjadi diskusi alot dari sisi anggaran dana berjalan yang harus dikeluarkan oleh instansi yang bersangkutan, saya menawarkan untuk selalu update dalam penggunaan extension agar kita mendapatkan jaminan terbaik di setiap versi yang kita gunakan, dengan begitu kemungkinan celah yang ditimbulkan oleh penggunaan extensions tadi semakin sedikit.

Saya juga menawarkan penggunaan ekstensi pihak ketiga yang berfungsi secara menyeluruh di joomla 2.5 dan berjalan beriringan dengan joomla untuk mengamankan joomla berdasarkan kaidah-kaidah keamanan sebuah website. Meskipun sebenarnya poin ini bukan kewenangan saya untuk mengerjakannya akan tetapi pihak dari instansi tersebut setuju untuk menggunakan ekstensi pihak ketiga dengan sistem keanggotaan.

Proses migrasi yang berjalan kurang dari 1 bulan tersebut cukup membuahkan hasil, saat ini di tahun kedua website instansi tersebut belum pernah ada lagi kejadian perubahan paksa [deface] yang terjadi.

Dari peristiwa tersebut ada beberapa hal yang mungkin berguna bagi saya khususnya dan bagi rekan-rekan pengguna Joomla pada umumnya, hal-hal tersebut saya bagi menjadi rincian sebagai berikut dalam;

 

5P Keamanan Website Joomla


1. Pentingnya memilih dan membangun server beserta seluruh sistem keamanannya.
Jika kita menggunakan layanan hosting mungkin ada baiknya sangat dipertimbangkan dalam pemilihan layanan hosting, anda dapat belajar di forum berikut.

2. Pentingnya untuk selalu update di setiap versi joomla dan jangan sampai terlewat jauh.
Tentunya dengan hal ini kita harus rajin memantau berita perkembangan joomla. Untuk hal ini anda dapat memantau langsung di website resmi Joomla.

3. Pentingnya untuk selalu update di setiap ekstensi (component, module, plugin, template) yang kita gunakan.
Untuk hal ini jika anda menggunakan ekstensi gratis jangan lupa untuk update dan jika anda menggunakan ekstensi berbayar saya sangat menyarankan anda ikut serta dalam keanggotaan yang disediakan oleh pengembang ekstensi. Tentunya ada biaya tambahan jika anda menggunakan ekstensi berbayar, akan tetapi yang terpenting adalah penawaran dan pengertian yang anda berikan ke pengguna jasa untuk menciptakan website yang aman di tahun-tahun mendatang.

4. Pentingnya menggunakan ekstensi keamanan resmi dan selalu update.
Jujur memang terkesan kita sangat bergantung sekali terhadap penggunaan eksteni berbayar, tetapi saya berpendapat para pengembang ekstensi keamanan Joomla CMS tidak akan sembarangan dalam membuat satu ekstensi keamanan untuk joomla, mereka pastilah sangat berpengalaman dan paham benar dengan produk yang mereka buat. Nah kita sebagai pengguna tentunya ingin mendapatkan jaminan lebih agar website joomla kita aman. Ekstensi keamanan yang hingga kini saya selalu ikuti adalah RS Firewall buatan RS Joomla, bukan mempromosikan produk mereka, akan tetapi 3 tahun menggunakan produk tersebut banyak sekali manfaat dan informasi yang saya dapatkan, mulai dari alamat IP oknum yang melakukan penyerangan, melipat gandakan keamanan admin joomla, hingga memblokir otomatis alamat IP tertentu yang dianggap melakukan penyerangan.

5. Pentingnya untuk selalu melakukan Backup.
P yang kelima yang tidak kalah penting adalah dengan rutin melakukan backup seluruh file website joomla dan databasenya. Jika anda menggunakan server sendiri ada baiknya anda juga membuat perintah backup otomatis, begitu juga jika anda menggunakan server yang disewa di perusahaan hosting, alangkah baiknya anda lihat dulu apakah perusahaan hosting tersebut menyediakan layanan backup secara periodik. Atau anda dapat menggunakan ekstensi Joomla yang bernama Akeeba Backup untuk melakukan backup sendiri langsung dari website Joomla anda.

Itulah 5P Keamanan Website Joomla versi saya, tentunya artikel ini jauh dari kesempurnaan akan tetapi saya sudah menjalani dan mengalaminya sendiri, jika terdapat kekeliruan mohon masukannya dan jika ada hal positif mari kita manfaatkan bersama. Salam sukses.