On 10/27/2005 at 11:07 AM Budi Rahardjo wrote: >Saya masih mencari CMS yang cocok untuk saya :) > >#1: >Apakah memang state of the art dari CMS harus menggunakan >database? >Dan apakah database sekarang sudah jauh lebih aman daripada >beberapa tahun yang lalu?
Database sih saya rasa bisa diamankan dengan relatif mudah (akses hanya bisa via localhost/unix socket, tiap situs punya database & user sendiri, dst). Yang susah itu adalah mengamankan script-nya sendiri. Biasanya pakai PHP, nah PHP ini memang mempermudah kita meng-hack script yang kita butuhkan dalam waktu singkat - namun, di lain pihak juga mudah bagi script kita utk ada security hole-nya. Untuk beberapa situs yang terpaksa pakai CMS, biasanya setup security-nya saya buat beberapa lapis. Contoh; saya install package dari Debian (bukan install dari source) - sehingga security patchesnya selalu up to date dengan usaha minimal dari saya. Lalu, saya proteksi dengan mod_throttle, untuk mencegah / meminimalkan efek DoS/DDoS. Kemudian juga ada su_php, yang menyebabkan script PHP dieksekusi dengan privileges dari owner script ybs (instead of Apache's privilege) Dan lain-lainnya. Tapi, untuk mensetting ini semua memang memakan waktu... Tapi, alhamdulillah jadinya sudah beberapa kali script kiddies jadi gagal membobol server via CMS ybs. >#2: >Kalau misalnya saya ingin mengelola CMS di desktop >saya (running Linux) dengan menggunakan MySQL secara >offline, kemudian update ke remote. >(Ala rsync, gitu.) Kalau begini, masih tetap ada potensi masalah, karena CMS-nya masih tetap dinamis. Sehingga masih bisa dijebol, dan kemudian dari situ who knows kemana saja attacker ybs bisa mendapatkan akses. Solusi alternatif yang lebih aman mungkin begini: 1. Setup CMS di server local / LAN 2. Secara rutin, dari server live/internet, jalankan "wget --mirror" ke situs CMS di server lokal tsb 3. Hasil mirroring tadi (yang berupa static HTML files) dibuka aksesnya kepada umum. Sementara akses KE server local DARI Internet diblokir total. >#3: >Saya masih ngotot ingin menggunakan static files saja >karena takut mengganggu kinerja dari server. >Apakah ketakutan saya ini beralasan? IMHO, sangat beralasan (menilik spek server ybs), dan juga jika kita paranoid utk soal security. Salam, Harry
