Proteksi web Site ( .htaccess & .htpasswd)

Belakangan ini telah ditemukan beberapa security hole yang sangat memprihatinkan di

dalam paket­paket berbasis web yang menggunakan PHP. Terakhir yang menjadi korban

adalah phpMyAdmin, sebuah web based administration tool bagi MySQL yang sangat

populer. Security hole yang ada memungkinan penyerang untuk menjalankan command2

shell! Dan yang cukup mengejutkan, ternyata banyak sekali dari kita yang hanya

mengandalkan security dari mekanisme login dari phpMyAdmin tersebut. Sudah saatnya

kita lebih mengamankan server kita dengan menggunakan .htaccess dan .htpasswd.

Apakah .htaccess dan .htpasswd ini? Ia adalah mekanisme otentifikasi bawaan dari web

server. Dengan menggunakan metode otentifikasi ini, kita harapkan keamanan server kita,

khususnya dari sisi web dapat lebih terlindungi. Marilah kita segera menerapkannya. Caranya

sangat singkat dan mudah.

1. Login ke server sebagai root, dan buatlah file .htaccess di dalam direktori web yang ingin

kita lindungi, misalnya: /var/www/html/phpmyadmin/

2. Isi file .htaccess itu dengan ini:

AuthUserFile /home/kamu/rahasia/.htpasswd

AuthGroupFile /dev/null

AuthName ”Tolong isi dahulu identitas dan password”

AuthType Basic



require user inisaya



3. Sekarang kita buat file .htpasswd yang berisi username dan passwordnya tersebut.

Caranya:

htpasswd ­-c /home/kamu/rahasia/.htpasswd inisaya

Masukkan password yang kamu inginkan.

Isi dari file .htpasswd ini nanti akan kira2 seperti ini: inisaya:fdfq/gLB5VOKSjU

Tulisan fdfq/gLB5VOKSjU ini adalah password yang telah diacak.

4. Coba test dengan membuka web yang telah kita proteksi. Maka akan muncul kotak login

seperti berikut:

Nah, mudah kan? Artikel ini memang singkat, tapi semoga cukup untuk memberikan

gambaran kepada kamu mengenai salah satu cara melindungi server kita dari sisi web access.

Masih banyak options dan tools yang bisa kita pakai untuk membuat file .htaccess dan .

htpasswd ini.

Sebagai bahan referensi dan bacaan lanjutan:

http://www.webdevelopersjournal.com/articles/htpasswd.html

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
 
monkey blog-->> © 2011