Dokumen tersebut memberikan informasi tentang pengamanan sistem jurnal elektronik Open Journal System (OJS) dengan menjelaskan beberapa teknik seperti captcha, filtering file, konfigurasi .htaccess, pembaruan versi, dan sertifikasi SSL untuk mengamankan akses dan mencegah serangan terhadap jurnal elektronik. Diberikan juga contoh kasus serangan terhadap salah satu jurnal elektronik dan saran untuk penerapan keamanan jurnal elektronik.

1. Ngamanin
Software OJS
Dwi Fajar Saputra
Yogyakarta, TOT RJI 2018
All images belong to Putra Firmansyah

2. Dwi Fajar Saputra
085693341215 I dfsptra@gmail.com
- Ketua Korda DKI Jakarta RJI 2017 – 2019
- Manager Helpdesk IOS
- Pegiat FOSS (Free/Libre Open Source Software)

3. Latar Belakang :
Pengembangan sistem atau aplikasi berbasis web terus berkembang
dengan kecenderungan bahwa web menjadi main environment.
Aplikasi berbasis web memiliki keunggulan yang kuat dibandingkan
native (desktop) app.
- akses luas
- akses ke analytics
- lebih mudah
Resiko keamanan pada aplikasi web relatif lebih tinggi dari pada
aplikasi native (desktop). Hal ini dikarenakan penyerang lebih
mudah menjangkau aplikasi (melalui jaringan atau internet).

4. Arsitektur Aplikasi Web
https://amiarrahman.wordpress.com/2015/04/25/arsitektur-client-
server/

5. System Requirements
OJS 2
PHP 4.2.x or later (including PHP 5.x) with MySQL or
PostgreSQL support.
A database server: MySQL 4.1 or later OR PostgreSQL 8.0 or
later.
UNIX-like OS recommended (such as Linux, FreeBSD, Solaris,
Mac OS X, etc.). OJS 2.0.2 and above supports Windows servers
(including IIS).
https://pkp.sfu.ca/ojs/ojs_download/

6. System Requirements
OJS 3
PHP 5.3.7 or later with MySQL or PostgreSQL support.
A database server: MySQL 4.1 or later OR PostgreSQL 9.1.5 or
later.
UNIX-like OS recommended (such as Linux, FreeBSD, Solaris,
Mac OS X, etc.).
https://pkp.sfu.ca/ojs/ojs_download/

7. Contoh Kasus :
Deface/serangan yang
umum dilihat oleh para
pemerhati jurnal. Terjadi
pada salah satu jurnal
elektronik yang diterbitkan
oleh Universitas di Provinsi
Kalimantan (12/7/2017).
Tampilan menjadi sesuai
dengan apa yang ditanam
pada server dan memiliki
suara hingga dapat
terdengar jika memanggil
URL dari jurnal elektronik
tersebut.

8. Mengapa itu bisa terjadi?

9. Berpotensi :
Kerentanan web (Kelemahan pada aplikasi web, yang
dapat berupa cacat desain atau berupa sebuah bug
implementasi).
Ancaman (Dapat disengaja atau kebetulan).
Serangan (Teknik yang penyerang gunakan untuk
mengeksploitasi kerentanan dalam aplikasi web).

10. Ruang Lingkup :
1. Tidak berkaitan dengan console/ coding yang diharuskan
memiliki kompetensi khusus.
2. Dapat dikerjakan oleh Jurnal Manajer, dengan syarat
memiliki akses pada root.
3. Mengedepankan solusi praktis yang dapat diterapkan dengan
sarana tampilan antar muka dari sebuah alat bantu.

11. Best Practices :
1. Capctha
2. Filtering
3. .htaccess
4. Updating
5. SSL

12. Captcha
Definisi :
Suatu bentuk uji tantangan-tanggapan (challange-response test) yang digunakan dalam
perkomputeran untuk memastikan bahwa jawaban tidak dihasilkan oleh suatu komputer (Wikipedia :
2017).
Alur Aktifasi :
Pastikan server terinstal GD2 (PHP5)
Simpan fontstyle
Buka config.inc.php pada root server
captcha = on
captcha_on_register = on
captcha_on_comments = on
captcha_on_mailinglist = on
font_location = /usr/share/fonts/truetype/freefont/FreeSerif.ttf
recaptcha = on
recaptcha_public_key = public_key
recaptcha_private_key = private_key
Kolom registrasi akan muncul captcha untuk validasi pendaftaran dan menghindari dari spam

13. Filtering
Definisi :
Suatu cara untuk melakukan filter terhadap file yang akan masuk kedalam sistem
(dalam hal ini diproses upload file pada peran author)
Alur Aktifasi :
Buka ArticleFileManager.inc.php
Simpan code berikut
Sumber File :
Busro (Jurnal Wawasan - UIN SGD)

14. //$articleFile->setFileType($this->getUploadedFileType($fileName));
// deff
$mimes = array(
'"application/pdf"',
'application/pdf',
'application/msword',
'application/vnd.openxmlformats-
officedocument.wordprocessingml.document',
'application/vnd.ms-excel',
'application/vnd.openxmlformats-
officedocument.spreadsheetml.sheet',
'image/jpeg',
'image/png',
'application/zip',
'application/x-tar',
'application/x-rar-compressed'
//'text/plain'
);
if( in_array($this->getUploadedFileType($fileName), $mimes)) {
$articleFile->setFileType($this->getUploadedFileType($fileName));
} else {
die( '<h3>' . $this->getUploadedFileType($fileName) . ' file type is not
allowed! </h3>');
}
// !deff

15. .htaccess
Definisi :
File ini akan memberikan dampak pada seluruh folder dan subfolder yang
akan di-load oleh Apache Server (idCloudhost.com : 2017).
Alur Aktifasi :
Simpan code berikut
Folder Public & Files
Fungsi : Supaya ketika foldernya diakses lewat browser isi filenya tidak
muncul.

16. RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off
Options -Indexes

17. Updating
Definisi :
Suatu cara untuk melakukan pembaruan, sehingga celah yang ditemukan pada
versi sebelumnya diharapkan dapat ditutup dan meminimalisir ancaman dari luar.
Alur Aktifasi :
Setiap perkembangan, dapat dilihat pada https://github.com/pkp/ojs/branches
Pada umumnya biasa juga disebut patch

18. SSL (Secure Socket Layer)
Definisi :
Lapisan keamanan untuk melindungi transaksi di website dengan teknologi enkripsi
data (dewaweb.com : 2017).
Fungsi : Untuk menjaga informasi sensitive selama dalam proses pengiriman melalui
internet dengan cara dienkripsi, sehingga hanya penerima pesan saja yang dapat
memahami dari hasil enkripsi tersebut.
Jenis : Domain validation, Business validation, Extended validation (it-jurnal.com :
2017)
Perbedaan HTTP & HTTPS :
1. Cara kerja : HTTPS menambahkan pengamanan lebih berupa enkripsi data,
dimana client dan server dapat berkomunikasi lebih aman sedangkan HTTP tidak.
2. Port : HTTPS menggunakan 443 sedangkan HTTP menggunakan 80.

19. Studi Kasus Aktivasi SSL di CloudKilat Untuk OJS
Alur Aktifasi :
Lakukan proses pembayaran (Biaya 200 – 300rb/Site/Tahun).
Buat akun SSL sertificate pada cpanel/root :

20. Setelah akun dibuat, lakukan copy-paste data CSR ke portal SSL.
Kemudian tentukan email yang akan diberikan notifikasi aktivasi SSL.
Pastikan proses konfigurasi berjalan tuntas.

21. Lakukan aktivasi, caranya klik URL yang dikirimkan provider by email.
Pastikan aktivasi sampai tuntas, dengan melakukan pemeriksaan SSL.
Sehingga memastikan proses pemesanan, konfigurasi dan aktivasi berjalan
dengan baik.

22. Pemeriksaan SSL : Sebelum :
Sesudah :

23. Saran :
1. Buat Tim ICT/Libatkan Tim ICT dalam tata kelola jurnal
elektronik.
2. Rajin melakukan pencadangan data sesering mungkin.
3. Jika baru akan menerapkan jurnal elektronik, sebaiknya
menggunakan versi yang paling update.
4. Jika mungkin menggunakan server yang berbeda dengan
aplikasi – aplikasi lainnya.

24. Khusus No 4 :
“Jangan Cintai Aku Apa
Adanya” (Tulus)

25. Thanks!
Any Question?