Dilema CMS Open Source

CMS (Content Management System) adalah sebuah sistem (saya lebih suka menyebutnya framework — bingkai kerja) yang ditujukan untuk manajemen isi suatu situs, misalnya portal. CMS yang sudah jadi sendiri sudah sangat banyak, baik yang bersifat lisensi berbayar (propietary) maupun yang open source. CMS Open Source juga sangat banyak yang populer, diantaranya adalah Joomla dan Drupal.

Kemudahan memakai CMS tentu saja adalah kecepatan pengembangannya. Tinggal lakukan instalasi, set up database, lakukan penyesuaian (customize) sesuai kebutuhan, sesuaikan tampilan, dan selesai. Siap launching. Live. Ini sangat berguna ketika kita diminta untuk menyelesaikan sebuah situs portal dengan deadline yang hampir tidak masuk akal. Apa pasal? Dalam pengembangan sebuah situs, paling tidak kita memerlukan beberapa pekerjaan besar, yaitu:

  • Desain tampilan, dan potong-potong (kawan saya yang pakai Adobe Photoshop pasti mengerti maksud potong-potong ini 😀 ) menjadi HTML
  • Serahkan HTML mentah kepada tim programmer untuk membuatnya dinamis dan bisa memuat data dari database
  • Tahap desain: database, site map, site flow
  • Pembuatan halaman administrasi situs, lengkap dengan validasinya
  • Set up database, set up webserver, set up DNS Server, dan lakukan proses deployment agar siap diluncurkan

Dalam waktu singkat, semua pekerjaan itu hampir mustahil dilakukan dengan sangat baik. Oleh karena itu, kemudahan dan kecepatan pengembangan situs dengan menggunakan CMS yang sudah jadi menjadi salah satu pilihan yang patut menjadi pertimbangan serius.

Namun demikian, memakai CMS yang sudah jadi apalagi open source mendatangkan masalah baru: sisi keamanan. Karena open source, semua orang menjadi tahu sudut-sudut terkecil dari infrastruktur CMS. Dengan demikian, semua orang (inilah contoh generalisasi hiperbolistik 😀 ) juga tahu kelemahan setiap CMS. Semua orang berpotensi menjadi penyerang sistem keamanan yang menggunakan CMS open source. Apalagi, dalam forum-forum terbuka, selalu ada saja kelemahan titik keamanan yang dipublikasikan, lengkap dengan cara penyerangannya.

Oleh karena itu, sebenarnya situs yang menggunakan CMS open source harus rajin-rajin dirawat, diteliti, dan diupdate agar celah-celah keamanan yang muncul dapat ditutup dengan cepat. Inilah yang jarang tidak pernah terjadi di sebagian besar portal yang memakai CMS open source. Biasanya memang pembuatan sebuah portal adalah outsourcing, dan kontrak yang ada tidak melibatkan proses perawatan. Sehingga tentu saja, portal-portal itu demikian mudah diserang oleh para script kiddies1.

Bagi saya, ini adalah pilihan yang dilematis. Kalau saya pakai CMS, saya harus merawatnya baik-baik. Kalau saya buat CMS sendiri, tentu saja saya lebih bisa mengendalikan infrastruktur keamanannya, tapi saya babak belur di waktu pembuatannya. Ironisnya, jika melihat bagaimana kontrak pembuatan sebuah website yang tidak menyertakan klausul perawatan, kebanyakan orang memilih memakai CMS yang jauh lebih cepat dan mengabaikan sisi keamanannya.

Catatan Kaki:
1: Penyuka kegiatan penyerangan sisi keamanan sistem dengan mencontek informasi yang sudah ada yang tersedia di forum-forum underground di internet atau IRC.

By Galih Satriaji

Bookaholic, Workaholic. Chubby. That's me!

12 comments

  1. salam kenal mas galih…
    saya udah lama jadi pembaca blog ini terutama yang bagian fotografi sama kisah cintanya mas galih…
    tapi baru kali ini bisa ngasih comment…

  2. #tukang foto keliling:
    itu artinya kita harus tahu infrastruktur sebuah CMS secara mendalam. ini juga perlu waktu. dan sebuah perjudian juga karena nasib sebuah CMS open source sangatlah tidak menentu. sekarang populer, besok bisa jadi sudah ditinggal komunitasnya.

    #journalight:
    salam kenal juga 🙂

  3. Yap, CMS memang sangat membantu orang yang gak ngeh program komputer seperti saya ini..

    Bahkan website presidensby.info dulu juga pake Joomla/Mamboo lho.. tapi ndak tau sekarang, kayaknya dah diganti [lihat dari struktur link yang beda dengan khas Joomla]

  4. kalau menurutku, sebenarnya gak terlalu gak aman juga sih, ini semacam algoritma kritpografi yang algoritmanya terbuka, tapi tetap saja sulit untuk mem-break-nya (memang analoginya agak kejauhan juga :)). coba lihat browser paling terkenal saat ini, eh maksudku yang kedua, dia terbuka juga kan? dan memang OSS sangat dinamis, jadi juga benar kata sampyan barang OSS harus selalu dirawat,dan up date, kalo gak yang “hari sial” tinggal nunggu saja datangnya. [kayaknya bisnis maintenance s/w bakal sip nih di indonesia]

  5. Tapi lih, minimal kalo pak OSS ada lubang keamanan, ada satu kompi programmer yang bakal nambal.

    Lah kalo bikin sendiri? Pek2en masalahmu 😛

    Ya nggak sesederhana itu juga sih…

  6. Kelebihan aplikasi OSS itu kalo ada lubang, ada sekompi programmer yang siap nambal.
    Kalo bikin sendiri? Tambal sendiri.

    Security is a continuous effort.

  7. #dnial:
    masalahnya dan, ketika ada update patch terbaru tentang keamanan, mampukah kita mengupdate? kebanyakan situs telah ditinggal pembuatnya. lubang keamanan telah diketahui publik. tinggal tunggu waktu bagi para script kiddies beraksi.

    contohnya: blog-ku sendiri ini aja. ada update dari WP aku males upgrade.

    kalau bikin sendiri, paling tidak infrastruktur jauh lebih sederhana (karena spesifik). para script kiddies dalam mencari lubang keamanan tak semudah waktu menjebol CMS yang sudah lemah karena patch yang tidak terupdate.

  8. Kalo dianalogikan dengan sistem operasi, kenapa ya Linux yang opensource malah terbukti lebih aman dibandigkan windows. Dugaan kita memang tidak selalu benar dalam segala hal…

  9. #B.S.:
    saya tidak mengatakan bahwa CMS Open Source tidak aman. CMS Open Source “aman”, asal rajin mengupdate setiap patch. kenyataan di lapangan sekarang, situs pesanan tidak pernah dirawat dan menyisakan CMS yang seharusnya diupdate dua tahun lalu. Walhasil, kita mendapatkan begitu banyak situs yang memakai CMS open source dideface dengan mudah. 🙂

Leave a comment

Your email address will not be published. Required fields are marked *