Duh! Server KPU "DOWN". Ini Penyebab dan Pencegahannya


[PORTAL-ISLAM.ID]  Setelah masa pilkada selesai, hasil “Quick Count” bertebaran di dunia maya yang tentunya tidak dapat dijadikan acuan hasil penghitungan suara “Real Count”. Sayangnya situs KPU down dan ini dapat berakibat buruk pada proses demokrasi di Indonesia.

Lantas, mulai bermuculan spekulasi seputar insiden website tersebut. Mulai dari adanya manipulasi penghitungan suara, dan hingga akhirnya dari pihak KPU sendiri menyatakan bahwa situsnya memang sengaja dimatikan untuk mencegah serangan hacker. Alasan ini tentu tidak dapat diterima begitu saja, baik secara teknis maupun secara umum.

Apa Yang Sebabkan Situs KPU Down?

Beberapa pakar menyatakan bahwa situ KPU down disebabkan adanya serangan zombie yang melancarkan DDoS. Alasan ini memang lebih masuk akal, walaupun belum tentu benar 100%. Ini masih dugaan dari para pakar tersebut.

Berdasar pemantauan kami, baik website http://kpu.go.id maupun http://jabar.kpu.go.id memang tidak memiliki anti DDoS dan belum memakai firewall.

Karena website KPU merupakan website dengan misi kritis, seharusnya website tersebut menggunakan pengamanan berlapis (Multi Layered Firewall). Di samping itu, website KPU juga belum menggunakan SSL (Secure Socket Layer).

Pertama yang harus kita pahami di sini adalah, website KPU merupakan front end dari infrastruktur teknologi informasi mereka. Sedangkan penghitungan suara dilakukan di sistem backend untuk dapat kemudian ditampilkan di situs-situs KPU. Jika KPU melakukan update penghitungan suara dengan cara batch (upload data hasil penghitungan suara secara manual dari backend) maka, peretasan website KPU hanya akan berdampak pada frontend.

Oleh karena itu, tidak alasan untuk khawatir terhadap manipulasi hasil penghitungan suara KPU. Hanya saja, jika situs KPU down, maka akan menimbulkan prasangka di masyarakat. Dan jika tidak ditangani secara cepat, kepercayaan masyarakat terhadap proses demokrasi yang berlangsung akan merosot.

Berikut profil teknologi yang dipakai di website KPU Pusat dan KPU Jawa Barat.

Situs Web KPU Pusat

Situs KPU.GO.ID menggunakan platform Joomla, menggunakan database Debian, dan berjalan pada server Apache 2.4. Website KPU Pusat tidak terdeteksi adanya teknologi pengamanan website atau Web Firewall.



Selain keamanan website, kami tidak melihat adanya anti DDoS untuk situs tersebut walaupun ada penggunaan Max CDN. Adapun platform CMS Joomla, menurut pengalaman kami lebih sering terdapat kerentanan dan juga scriptnya tidak seefisien platform CMS wordpress (seperti yang kami pakai di sini).

Ketidak efisienan Joomla, jangankan terkena DDoS, jika situs ramai dikunjungi saja dapat sebabkan website tidak dapat di akses. Ini bukannya kami meragukan adanya serangan siber ke situs KPU, akan tetapi kami meragukan situs KPU down atau tidak bisa diakses karena aksi peretasan.

Kami juga melihat adanya keanehan pada situs web KPU Pusat, yakni ada penggunaan program periklanan dari doubleclick.net dan ini harus segera diinvestigasi.

Website pemerintahan tidak boleh dimonetasi dengan program periklanan, dan bisa saja kita berspekulasi bahwa ada kemungkinan oknum di KPU yang berusaha untuk mendapatkan keuntungan pribadi. Setidaknya, hal tersebut dapat menyebabkan ketidakprofesionalan dalam mengelola website jika terus dibiarkan.

Situs Web KPU JABAR

Website ini menggunakan platform CMS WordPress yang sebetulnya cukup efisien. Hanya saja, kami tidak melihat penggunaan cache, anti DDoS, SSL, dan lagi-lagi Firewall untuk keamanan website. Selain itu, Website KPU Jawa Barat ini memiliki size 896 KB yang mana menurut pengalaman kami 10x lipat dari website pada umumnya.

Website KPU Jawa  Barat masih menggunakan Platform CMS WordPress versi 4.4.3, sedangkan saat ini versi terbaru wordpres adalah 4.9. Ini sangat kritis!



Selain itu, themes avada di pertengahan tahun 2017 pernah terdapat kerentanan Cross-Site Scripting (XSS). Ini menunjukkan kualitas developer themes tersebut. Untuk mencegah terjadinya peretasan, website KPU Jawa Barat harus pasang firewall dan juga monitoring keamanan website.

Ada beberapa hal yang sebabkan website tersebut menjadi berat, selain gambar pada revolution slider di themes WP Avada yang mereka pakai, seperti plugin Woo Commerce. Hal tersebut dapat membebani kinerja database. Ada baiknya KPU Jabar menggunakan Wordrpress plus Divi Builder, untuk merampingkan website, sehingga dapat diakses lebih cepat.

Beberapa user name admin di Website KPU Jawa Barat (3 nama pengguna) juga terpapar. Ini dapat menjadi celah penerobosan ke dashboard admin website.

Bagaimana Cara Mengamankan Website?

Situs website KPU memiliki skala besar, baik dari sisi platform, server, dan jaringan. Selain harus menggunakan teknologi website, website juga harus memiliki pencadangan. Situs cadangan ini berguna untuk menjaga keberlangsungan operasional situs website. Sehingga, jika terjadi serangan atau masalah, website tetap dapat diakses oleh publik.

Untuk skala KPU, baik situs cadangan maupun situs operasional harus otomatisasi orkestrasi cloud. Website harus menggunakan sistem kontainerisasi agar mudah di rollback jika terjadi masalah pada fitur baru. Ini merupakan konsep transformasi digital secara teknis.

Jika kita perhatikan, anggaran untuk website pemerintahan selama ini baru berfokus pada pembuatan website, pembaruan website dan jasa maintenance website. Keamanan website memerlukan monitoring dari waktu ke waktu, dan ini membutuhkan jasa pengelolaan website secara holistik.

Secara umum untuk menjaga kelancaran akses website sekaligus mengamankan, berikut beberapa faktor yang dapat kami sampaikan.

Pemilihan Platform

Pemilihan platform website merupakan hal yang paling awal perlu dipertimbangkan. Harap kita tidak memandang platform opensource hanya untuk hal gratisan, namun lebih pada efisiensi dan kecepatan. Seperti yang kami jelaskan di atas, antara Joomla dengan WordPress (WP), memang masih lebih ‘ringan’ WP, akan tetapi WP dapat menjadi berat jika kita tidak efisien dalam mengelola plugin yang dipakai.

Seperti pada situ KPU Jawa Barat yang memakai themes Avada, dengan segudang plugin dari developer lainnya. Tentu suatu saat akan ada inefisiensi pada sistem karena ada perbedaan versi. Oleh karena itu, kami menyarankan untuk menggunakan DIVI plugin dari elegant themes agar lebih ringan, efisien, dan stabil.

Jika situs KPU memang tidak aman seperti yang kami jabarkan di atas, bisa saja halaman depan wesite KPU berubah menjadi “sesuatu”. Dalam insiden situs KPU down tersebut, mungkin saja banyak yang sudah berhasil masuk ke sistem website tersebut. Namun, ada kemungkinan para peretas “merah putih” juga ikut masuk ke dalam sistem untuk mempertahankan situs nasional tersebut.

Seluruh website pemerintahan sebaiknya mulai menganggarkan jasa manajemen website agar dapat terus diakses oleh masyarakat Indonesia. Mulailah rencanakan anggaran untuk lelang pengadaan jasa pengelolaan website agar insiden tersebut dapat ditekan lagi kemungkinan terjadinya.

Dapat kita bandingkan di sini, bahwa website diberikan oleh penyedia jasa pembuatan website dengan biaya hanya Rp. 2.5 juta per tahun saja memiliki SSL, anti DDoS dan Firewall. Tentunya website pemerintahan dengan anggaran yang jauh lebih besar harus bisa lebih tangguh dari website yang lebih murah biayanya.

Sebetulnya pengamanan website merupakan hal yang standard untuk website skala apapun. Semoga sekarang kita dapat mengerti kenapa Situs KPU down dan bagaimana cara mencegahnya.

Semoga bermanfaat untukmu Indonesiaku tercinta ..

Sumber: mobnasesemka
Baca juga :