Kerentanan Keamanan Website OJS (Open Journal Systems)

Sebagai platform pengelolaan jurnal ilmiah yang banyak digunakan, Open Journal Systems (OJS) menjadi target potensial bagi berbagai ancaman siber. Kerentanan keamanan website OJS dapat muncul karena berbagai hal. Dalam artikel ini, kami akan membahas tentang kerentanan keamanan website OJS beserta optimasinya, agar website Anda selalu aman dan dapat berjalan dengan baik.

Keamanan sistem informasi adalah praktik yang dirancang untuk melindungi integritas, kerahasiaan, dan ketersediaan data serta sistem informasi dari ancaman yang berpotensi merusak. Dalam era serba digital seperti saat ini, data sangat berharga dan memerlukan keahlian tambahan untuk mengamankan sistem informasi untuk mencegah akses tidak sah, kebocoran data, dan serangan siber.

Pencegahan kerentanan keamanan hingga saat ini hampir merata diterapkan pada semua aplikasi web, mulai dari yang terkenal seperti CMS WordPress hingga kebutuhan akademik seperti Open Journal System (OJS). Pembaruan keamanan yang diberikan masing-masing vendor aplikasi terus dilakukan agar aplikasi yang mereka buat dapat digunakan oleh banyak orang dan tetap eksis.

Apa itu OJS (Open Journal System)

Open Journal Systems, atau yang biasa disingkat menjadi OJS adalah salah satu CMS yang populer digunakan untuk mengelola jurnal online berbasis website. OJS dapat Anda gunakan secara gratis karena bersifat open source. Anda juga dapat menginstalnya secara mudah di hosting, karena OJS sudah terdaftar sebagai salah satu fitur di Softaculous cPanel hosting.

OJS pertama kali dirilis pada tahun 2001 oleh Public Knowledge Project (PKP) untuk kebutuhan website jurnal ilmiah. Hingga artikel ini terbit, versi stabil OJS sendiri adalah 3.4.0.8. OJS menjadi salah satu CMS populer di kalangan Akademik karena penggunaannya yang mudah dan lebih penting lagi yaitu sudah mendukung bahasa Indonesia.

Karena itulah, jika Anda ingin mengelola website jurnal ilmiah dengan mudah, murah, dan aman, Open Journal Systems adalah pilihan tepat yang patut dicoba. Anda cukup memiliki layanan domain dan hosting di Rumahweb, dan menginstalnya melalui Softaculous.

Celah Keamanan yang Ditemukan

Sama halnya dengan kebanyakan platform framework atau CMS website, Open Journal Systems juga masih sering menjadi target uji keamanan para hacker dan beberapa diantaranya memiliki temuan celah keamanan di versi 3.4.0.6, sehingga Anda wajib untuk memperbaruinya. Berikut adalah beberapa kerentanan yang belum lama ditemukan:

• CVE-2024-24512: Kerentanannya ini adalah perkembangan dari CVE-2024-24511, terkait dengan Cross-Site Scripting (XSS) pada komponen input subtitle di OJS 3.4. Penyerang dapat mengeksekusi kode arbitrer, yang berisiko tinggi. 

• CVE-2024-24511: Resiko celah keamanan ini berkaitan dengan XSS yang mengincar komponen input judul di OJS 3.4. Penyerang dapat memanfaatkan kerentanannya ini untuk mengeksekusi kode berbahaya. 

• CVE-2024-7902: Kerentanannya ini ditemukan pada OJS versi hingga 3.4.0-6, yang memungkinkan terjadinya open redirect melalui manipulasi parameter ‘source’ pada fungsi ‘/login/signOut’.

Ketiga celah keamanan diatas dapat dijalankan pada program OJS dengan versi dibawah 3.4.0.8 dan dampak dari celah ini yaitu dapat menyebabkan website di hack atau diinjeksi script judi online yang belakangan ini marak terjadi.

Cara meningkatkan keamanan website OJS

Meningkatkan keamanan Open Journal Systems (OJS) sangat penting untuk melindungi integritas data dan memastikan bahwa platform jurnal berjalan dengan aman. Berikut adalah beberapa metode yang dapat digunakan untuk melakukan analisis keamanan OJS:

1. Pemeriksaan Keamanan Aplikasi Web 

Penetration Testing: Uji penetrasi dilakukan untuk mengidentifikasi celah keamanan yang mungkin ada di OJS. Pengecekan standar keamanan dilakukan menggunakan beberapa teknik seperti SQL injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), dan kelemahan lain yang sering ditemukan pada aplikasi berbasis web.

Pemeriksaan source code: Pemeriksaan kode sumber OJS dapat mengidentifikasi potensi kerentanannya. Pengecekan ini bisa secara manual atau bantuan tool otomatisasi seperti SonarQube atau Checkmarx.

2. Audit Konfigurasi Keamanan 

• Memastikan bahwa konfigurasi OJS dan server web (Apache atau Nginx) sudah tepat dan aman. Misalnya, memastikan bahwa izin file dan folder ditetapkan dengan benar dan memastikan respon server tidak mengungkapkan informasi sensitif dari permintaan yang tidak terotorisasi.

• Menggunakan HTTP Headers yang benar seperti Content Security Policy (CSP), HTTP Strict Transport Security (HSTS) dan X-Content-Type-Options.

• Memindahkan folder data OJS diluar folder public, settingan ini dapat Anda cek di file config.inc.php bagian files_dir.

• Batasi ekstensi file yang dapat diupload ke web OJS, caranya melalui menu Website > Plugins > Installed Plugins > Centang nama “Allowed Uploads Plugin” > Setting dan tentukan ekstensi yang diperbolehkan saja.

3. Pemantauan Keamanan 

Menggunakan alat pemantauan untuk mendeteksi potensi ancaman di sistem OJS. Contoh pemantauan keamanan ini seperti akses log dan memeriksa pola lalu lintas yang mencurigakan seperti IP Source – IP Dest, permintaan GET/POST, referrer URL dan respons server dari permintaan tersebut.

4. Pembaruan Terjadwal

Selalu memastikan bahwa OJS dan semua komponen perangkat lunak yang mendukungnya (PHP, MySQL, Apache) selalu diperbarui ke versi terbaru.

Secepatnya menerapkan pembaruan keamanan yang dirilis oleh tim pengembang OJS untuk menutupi celah-celah keamanan yang diketahui.

5. Autentikasi dan Kontrol Akses  

Memastikan bahwa kebijakan password yang kuat diterapkan dan kebijakan autentikasi multi-faktor (MFA) digunakan, jika memungkinkan. Selain itu, menetapkan hak akses sesuai peran masing-masing, hal ini mengurangi dampak dari pengguna biasa yang mengakses area sensitif.

Password admin yang kuat dan acak juga dapat membantu mengamankan webnya agar tidak mudah di bruteforce. Idealnya, 12 karakter dengan kombinasi huruf besar, kecil, angka dan karakter spesial.

6. Backup

Memastikan bahwa sistem OJS memiliki mekanisme pencadangan yang jelas dan dapat diakses dengan mudah untuk pemulihan data dalam keadaan darurat. Proses backup harus mencakup basis data dan file-file konfigurasi yang terkait dengan OJS.

BACA JUGA : Manfaat Melakukan Backup File Website Secara Rutin

7. Penerapan Keamanan tambahan

• Gunakan SSL/TLS untuk mengenkripsi komunikasi antara server OJS dan pengguna.
• Mengkonfigurasi server untuk hanya mengizinkan koneksi melalui protokol HTTPS dan menonaktifkan protokol yang tidak aman seperti HTTP.
• Pastikan permissions file dan folder web OJS sudah benar dan aman seperti 664 untuk file dan 755 untuk folder.
• Mengaktifkan Google Captcha pada form login dan signup untuk mengatasi aktivitas bot ilegal untuk melakukan percobaan bruteforce dan sejenisnya. 

Sebagai salah satu framework website jurnal ilmiah populer, OJS akan lebih sering menjadi target kejahatan siber sehingga tidak cukup hanya dengan mengandalkan settingan default dari OJS.

Dengan menggabungkan metode-metode pencegahan yang telah kami bahas di atas, diharapkan website OJS Anda akan lebih optimalkan untuk memberikan tingkat keamanan yang lebih tinggi.

Demikian artikel kami tentang kerentanan keamanan website OJS (Open Journal Systems), semoga bermanfaat.