Cara Mengamankan Server OJS
2 likes882 views
Dokumen tersebut memberikan informasi tentang pengamanan sistem jurnal elektronik Open Journal System (OJS) dengan menjelaskan beberapa teknik seperti captcha, filtering file, konfigurasi .htaccess, pembaruan versi, dan sertifikasi SSL untuk mengamankan akses dan mencegah serangan terhadap jurnal elektronik. Diberikan juga contoh kasus serangan terhadap salah satu jurnal elektronik dan saran untuk penerapan keamanan jurnal elektronik.
Cara Mengamankan Server OJS
- 1. Ngamanin Software OJS Dwi Fajar Saputra Yogyakarta, TOT RJI 2018 All images belong to Putra Firmansyah
- 2. Dwi Fajar Saputra 085693341215 I [email protected] - Ketua Korda DKI Jakarta RJI 2017 – 2019 - Manager Helpdesk IOS - Pegiat FOSS (Free/Libre Open Source Software)
- 3. Latar Belakang : Pengembangan sistem atau aplikasi berbasis web terus berkembang dengan kecenderungan bahwa web menjadi main environment. Aplikasi berbasis web memiliki keunggulan yang kuat dibandingkan native (desktop) app. - akses luas - akses ke analytics - lebih mudah Resiko keamanan pada aplikasi web relatif lebih tinggi dari pada aplikasi native (desktop). Hal ini dikarenakan penyerang lebih mudah menjangkau aplikasi (melalui jaringan atau internet).
- 5. System Requirements OJS 2 PHP 4.2.x or later (including PHP 5.x) with MySQL or PostgreSQL support. A database server: MySQL 4.1 or later OR PostgreSQL 8.0 or later. UNIX-like OS recommended (such as Linux, FreeBSD, Solaris, Mac OS X, etc.). OJS 2.0.2 and above supports Windows servers (including IIS). https://pkp.sfu.ca/ojs/ojs_download/
- 6. System Requirements OJS 3 PHP 5.3.7 or later with MySQL or PostgreSQL support. A database server: MySQL 4.1 or later OR PostgreSQL 9.1.5 or later. UNIX-like OS recommended (such as Linux, FreeBSD, Solaris, Mac OS X, etc.). https://pkp.sfu.ca/ojs/ojs_download/
- 7. Contoh Kasus : Deface/serangan yang umum dilihat oleh para pemerhati jurnal. Terjadi pada salah satu jurnal elektronik yang diterbitkan oleh Universitas di Provinsi Kalimantan (12/7/2017). Tampilan menjadi sesuai dengan apa yang ditanam pada server dan memiliki suara hingga dapat terdengar jika memanggil URL dari jurnal elektronik tersebut.
- 8. Mengapa itu bisa terjadi?
- 9. Berpotensi : Kerentanan web (Kelemahan pada aplikasi web, yang dapat berupa cacat desain atau berupa sebuah bug implementasi). Ancaman (Dapat disengaja atau kebetulan). Serangan (Teknik yang penyerang gunakan untuk mengeksploitasi kerentanan dalam aplikasi web).
- 10. Ruang Lingkup : 1. Tidak berkaitan dengan console/ coding yang diharuskan memiliki kompetensi khusus. 2. Dapat dikerjakan oleh Jurnal Manajer, dengan syarat memiliki akses pada root. 3. Mengedepankan solusi praktis yang dapat diterapkan dengan sarana tampilan antar muka dari sebuah alat bantu.
- 11. Best Practices : 1. Capctha 2. Filtering 3. .htaccess 4. Updating 5. SSL
- 12. Captcha Definisi : Suatu bentuk uji tantangan-tanggapan (challange-response test) yang digunakan dalam perkomputeran untuk memastikan bahwa jawaban tidak dihasilkan oleh suatu komputer (Wikipedia : 2017). Alur Aktifasi : Pastikan server terinstal GD2 (PHP5) Simpan fontstyle Buka config.inc.php pada root server captcha = on captcha_on_register = on captcha_on_comments = on captcha_on_mailinglist = on font_location = /usr/share/fonts/truetype/freefont/FreeSerif.ttf recaptcha = on recaptcha_public_key = public_key recaptcha_private_key = private_key Kolom registrasi akan muncul captcha untuk validasi pendaftaran dan menghindari dari spam
- 13. Filtering Definisi : Suatu cara untuk melakukan filter terhadap file yang akan masuk kedalam sistem (dalam hal ini diproses upload file pada peran author) Alur Aktifasi : Buka ArticleFileManager.inc.php Simpan code berikut Sumber File : Busro (Jurnal Wawasan - UIN SGD)
- 14. //$articleFile->setFileType($this->getUploadedFileType($fileName)); // deff $mimes = array( '"application/pdf"', 'application/pdf', 'application/msword', 'application/vnd.openxmlformats- officedocument.wordprocessingml.document', 'application/vnd.ms-excel', 'application/vnd.openxmlformats- officedocument.spreadsheetml.sheet', 'image/jpeg', 'image/png', 'application/zip', 'application/x-tar', 'application/x-rar-compressed' //'text/plain' ); if( in_array($this->getUploadedFileType($fileName), $mimes)) { $articleFile->setFileType($this->getUploadedFileType($fileName)); } else { die( '<h3>' . $this->getUploadedFileType($fileName) . ' file type is not allowed! </h3>'); } // !deff
- 15. .htaccess Definisi : File ini akan memberikan dampak pada seluruh folder dan subfolder yang akan di-load oleh Apache Server (idCloudhost.com : 2017). Alur Aktifasi : Simpan code berikut Folder Public & Files Fungsi : Supaya ketika foldernya diakses lewat browser isi filenya tidak muncul.
- 16. RemoveHandler .php .phtml .php3 RemoveType .php .phtml .php3 php_flag engine off Options -Indexes
- 17. Updating Definisi : Suatu cara untuk melakukan pembaruan, sehingga celah yang ditemukan pada versi sebelumnya diharapkan dapat ditutup dan meminimalisir ancaman dari luar. Alur Aktifasi : Setiap perkembangan, dapat dilihat pada https://github.com/pkp/ojs/branches Pada umumnya biasa juga disebut patch
- 18. SSL (Secure Socket Layer) Definisi : Lapisan keamanan untuk melindungi transaksi di website dengan teknologi enkripsi data (dewaweb.com : 2017). Fungsi : Untuk menjaga informasi sensitive selama dalam proses pengiriman melalui internet dengan cara dienkripsi, sehingga hanya penerima pesan saja yang dapat memahami dari hasil enkripsi tersebut. Jenis : Domain validation, Business validation, Extended validation (it-jurnal.com : 2017) Perbedaan HTTP & HTTPS : 1. Cara kerja : HTTPS menambahkan pengamanan lebih berupa enkripsi data, dimana client dan server dapat berkomunikasi lebih aman sedangkan HTTP tidak. 2. Port : HTTPS menggunakan 443 sedangkan HTTP menggunakan 80.
- 19. Studi Kasus Aktivasi SSL di CloudKilat Untuk OJS Alur Aktifasi : Lakukan proses pembayaran (Biaya 200 – 300rb/Site/Tahun). Buat akun SSL sertificate pada cpanel/root :
- 20. Setelah akun dibuat, lakukan copy-paste data CSR ke portal SSL. Kemudian tentukan email yang akan diberikan notifikasi aktivasi SSL. Pastikan proses konfigurasi berjalan tuntas.
- 21. Lakukan aktivasi, caranya klik URL yang dikirimkan provider by email. Pastikan aktivasi sampai tuntas, dengan melakukan pemeriksaan SSL. Sehingga memastikan proses pemesanan, konfigurasi dan aktivasi berjalan dengan baik.
- 22. Pemeriksaan SSL : Sebelum : Sesudah :
- 23. Saran : 1. Buat Tim ICT/Libatkan Tim ICT dalam tata kelola jurnal elektronik. 2. Rajin melakukan pencadangan data sesering mungkin. 3. Jika baru akan menerapkan jurnal elektronik, sebaiknya menggunakan versi yang paling update. 4. Jika mungkin menggunakan server yang berbeda dengan aplikasi – aplikasi lainnya.
- 24. Khusus No 4 : “Jangan Cintai Aku Apa Adanya” (Tulus)