Tips Menggunakan htaccess Pada Apache Web Server
Security / Keamanan Web merupakan bagian yang sangat penting dalam pengelolaan web. Tanpa penerapan security yang bagus, web kita akan mudah dirusak / dibobol oleh orang lain. Menerapkan security pada web salah satunya dapat menambahkan beberapa kode kedalam file htaccess.
Berikut beberapa tips security yang dapat kita gunakan dengan file htaccess:
Mencegah Mengakses File .htaccess
File .htaccess merupakan file yang sangat penting bagi website kita. File ini harus diberikan security agar tidak dapat diakses oleh orang lain. Ketika ada yang mengakses file .htaccess biasanya akan timbul pesan error 403. Itu disebabkan karena setting permissionnya didalam server hosting telah menggunakan CHMOD 644, yang mengakibatkan file ini tidak dapat diakses oleh publik. Tetapi jika kita ingin menambahkan security pada file .htaccess kita dapat menambahkan kode berikut:
# security file htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
Mencegah Mengakses File Khusus
Untuk mencegah agar pengunjung website tidak dapat mengakses file-file khusus, kita dapat menambahkan beberapa kode dalam file .htaccess, dengan menspesifikasikan nama file tersebut.
# mencegah melihat file khusus
<files secretfile.jpg>
order allow,deny
deny from all
</files>
Arti dari kode tersebut adalah bahwa file secretfile.jpg telah diblok dan tidak dapat dilihat atau diakses oleh pengunjung.
Mencegah Mengakses Beberapa Tipe File
Untuk mencegah pengunjung web agar tidak dapat mengakses beberapa tipe file khusus, kita dapat menambahkan kode pada file .htaccess sebagai berikut:
<FilesMatch "\.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
Order Allow,Deny
Deny from all
</FilesMatch>
Arti dari kode tersebut adalah bahwa file yang berekstension htaccess, htpasswd, ini, phps, fla, psd, log dan sh telah di blok dan tidak dapat dilihat atau diakses oleh pengunjung secara langsung.
Mencegah Browsing Direktori
Jika dalam direktori di server hosting kita tidak terdapat ada index-nya, maka pengunjung akan dapat mengakses dan browsing ke dalam server hosting kita pada saat mengakses direktori tersebut. Demi keamanan website kita, hal ini harus kita cegah dengan menambahkan beberapa kode kedalam file .htaccess
# disable directory browsing
Options All -Indexes
Kebalikannya, untuk mengaktifkan agar dapat browsing ke direktori, kita dapat gunakan kode:
# enable directory browsing
Options All +Indexes
Jika ingin mencegah untuk melihat daftar dari isi direktori kita dapat gunakan kode:
# mencegah melihat isi direktori / folder
IndexIgnore *
Jika kita ingin mencegah untuk tipe-tipe file tertentu kita dapat menambahkan kode:
# mencegah menampilkan tipe file tertentu dalam direktori
IndexIgnore *.wmv *.mp4 *.avi *.etc
Mengganti Default Halaman Index
Halaman index kadang menjadi sasaran untuk dibobol / dihack oleh orang lain, jika dirasa sangat perlu demi keamanan website, kita dapat mengganti halaman index dengan menggunakan nama file lain. Misalkan kita ingin mengganti halaman index dengan menggunakan nama file “bisnis.html”, maka kita dapat menambahkan kode pada file .htaccess sebagai berikut:
# mengganti halaman index
DirectoryIndex bisnis.html
Untuk mengganti urutan dari halaman index, kita dapat menggunakan kode berikut:
# Mengubah urutan halaman index
DirectoryIndex namafile.html index.cgi index.pl default.htm
Membuat Redirect pada saat memperbaiki atau mengupdate website.
Jika kita ingin memperbaiki website, entah itu saat mengganti desain website atau memperbaiki kerusakan-kerusakan yang lain, sehingga pada saat orang lain mengunjungi website kita masih terlihat adanya kerusakan pada website. Bagi seorang webmaster, hal tersebut haruslah dihindari karena untuk menjaga keprofesionalan dari website tersebut. Untuk menghindarinya kita dapat mengarahkan pengunjung secara langsung dengan melakukan redirect kehalaman lain, dimana halaman tersebut dapat berisi pesan bahwa website yang kita kelola tersebut masih diperbaiki.
Untuk melakukan redirect kita dapat menambahkan beberapa kode kedalam file .htaccess, sebagai berikut :
order deny,allow
deny from all
allow from 123.123.123.123
ErrorDocument 403 /page.html
<Files page.html>
allow from all
</Files>
Kita harus mengganti 123.123.123.123 dengan IP address dari komputer kita agar kita masih dapat melihat perubahan yang terjadi sebelum untuk konsumsi publik. Kita juga harus mengganti page.html dengan nama file halaman sesuai dengan file yang kita buat. File ini adalah halaman yang dilihat pengunjung saat kita melakukan perbaikan.
Setelah perbaikan dianggap selesai kita harus menghapus kembali kode diatas agar pengunjung dapat menikmati kembali website kita.
Menampilkan Halaman Error 404
Pada saat pengunjung website melihat suatu alamat URL dalam website kita tetapi alamat tersebut tidak ada dalam website maka didalam browser akan muncul pesan error yaitu “404 File Not Found“. Agar kelihatan lebih profesional website kita, pesan error ini dapat kita ganti dengan sebuah halaman yang kita definisikan sendiri pesannya, dengan cara menambahkan kode pada file .htaccess sebagai berikut:
ErrorDocument 404 /404.html
Kita dapat mengganti 404.html sesuai dengan nama file yang kita buat. Jadi saat terjadi error 404, pengunjung akan melihat halaman file tersebut.
Memindah atau Mengganti Nama File
Jika kita pernah memindah atau mengganti nama halaman dalam website kita, maka kita wajib melakukan Redirect agar pengunjung yang melihat halaman yang lama dapat langsung mengarah melihat halaman yang baru. Untuk melakukan itu dapat dilakukan dengan menambahkan kode pada file .htaccess sebagai berikut:
Redirect 301 /lama.html http://domainanda.com/baru.html
Bagus nih blog, banyak tuts yang berguna….
Salam kenal ya mas…..
iya salam kenal jg mas kaka, thx udah mau berkunjung
halllo…………………….:-)
salam kenal mas adhit…………………
numpang nanya nih…………………………
“kemaren saya mau updet smadav 8.0 di web nya smadav tapi ketika saya mau download yang muncul bukan web smdav melainkan “default web site page”!!!!! kira kira bagaimana ya mas agar saya bisa menghilangkan “default web site page” tersebut……………..
thanks ya sebelumnya……………………………………………
tolong dibales ke e-mail ini boy_inlog@yahoo.co.id
udah coba matikan web servernya?
salam,
saya sudah pake kode yg,
# security file htaccess
order allow,deny
deny from all
cuman yg pas kode
Order Allow,Deny
Deny from all
index saya jadi 403 forbiden mas.. he.. akhirnya saya del, kembali seperti semula..
oh ya, web saya sudah 2x di hack oleh;
1. hacked-by-shbh-baghdad (yg ini entah dari negara mana)
2. hacked by mc_intikam power crew (yg ini dari turki)
ya solusi saya, minta re-store ke pihak hosting berbayar saya,
kemudian ganti password cpanel dan wp-admin dgn password unik dgn karakter
lalu saya aktifkan plugin lockdownpassword, dan ganti smua akses permissions yg berbau index menjadi 0444. setelah ini entah deh kena serang lagi apa tidak..
tks infonya mas..
.-= arsitekturdotus´s last blog ..After 35 years of organic farming in Takahata: An Ordinance. =-.
wew sabar ya mas, te2p semangat buat belajar, sampeyan yg hosting berbayar aja bs kena korban aplg sy yg pake hosting gratisan
@adhit
maksud saya, kode:
Order Allow,Deny
Deny from all
saya letak di bawah kode:
# security file htaccess
order allow,deny
deny from all
malah tampilan file index saya jadi 403 forbidden..saya yg salah meletakkan atau bagaimana ya mas ? iya ni..akhirnya web saya sudah bisa online lagi stlh di restore dari hosting saya.. salam balik jg mas
sy msh nubie ni di dunia persilatan ini..he
.-= arsitekturdotus´s last blog ..After 35 years of organic farming in Takahata: An Ordinance. =-.
.-= arsitekturdotus´s last blog ..After 35 years of organic farming in Takahata: An Ordinance. =-.
ya jelas muncul kyk gt mas, klo .htaccess nya ditaruh langsung dibawah direktori root webnya misalnya http://arsitektur.us/htaccess gt. htaccess yg ini digunakan buat ngelindungi direktori tertentu web kita misalnya http://arsitektur.us/rahasia/ nah di dalam direktori rahasia itu kt tempatkan file htaccess yg mas udah buat itu
klo ditaruh disitu gk ada yg bs akses webnya mas 