Cara memprotek web menggunakan .htaccess dan .htpasswd
Belakangan ini telah ditemukan beberapa security hole yang sangat memprihatinkan di dalam paket-paket berbasis web yang menggunakan PHP. Terakhir yang menjadi korban adalah phpMyAdmin, sebuah web based administration tool bagi MySQL yang sangat populer. Security hole yang ada memungkinan penyerang untuk menjalankan command2 shell! Dan yang cukup mengejutkan, ternyata banyak sekali dari kita yang hanya mengandalkan security dari mekanisme login dari phpMyAdmin tersebut. Sudah saatnya kita lebih mengamankan server kita dengan menggunakan .htaccess dan .htpasswd.
Apakah .htaccess dan .htpasswd ini? Ia adalah mekanisme otentifikasi bawaan dari web server. Dengan menggunakan metode otentifikasi ini, kita harapkan keamanan server kita, khususnya dari sisi web dapat lebih terlindungi. Marilah kita segera menerapkannya. Caranya sangat singkat dan mudah.
1. Login ke server sebagai root, dan buatlah file .htaccess di dalam direktori web yang ingin kita lindungi, misalnya: /var/www/html/phpmyadmin/
2. Isi file .htaccess itu dengan ini:
AuthUserFile /home/kamu/rahasia/.htpasswd
AuthGroupFile /dev/null
AuthName "Tolong isi dahulu identitas dan password"
AuthType Basic
<LIMIT GET>
require user inisaya
</LIMIT>
3. Sekarang kita buat file .htpasswd yang berisi username dan passwordnya tersebut. Caranya:
htpasswd -c /home/kamu/rahasia/.htpasswd inisaya
Masukkan password yang kamu inginkan.
Isi dari file .htpasswd ini nanti akan kira2 seperti ini: inisaya:fdfq/gLB5VOKSjU
Tulisan fdfq/gLB5VOKSjU ini adalah password yang telah diacak.
4. Coba test dengan membuka web yang telah kita proteksi. Maka akan muncul kotak login seperti berikut:
Nah, mudah kan? Artikel ini memang singkat, tapi semoga cukup untuk memberikan gambaran kepada kamu mengenai salah satu cara melindungi server kita dari sisi web access. Masih banyak options dan tools yang bisa kita pakai untuk membuat file .htaccess dan .htpasswd ini.
Sebagai bahan referensi dan bacaan lanjutan:
http://www.webdevelopersjournal.com/articles/htpasswd.html
http://www.ssi-developer.net/htaccess/htaccess_protection_simple.shtml
v.1.0 by ari_stress a.k.a tiger74 a.k.a Fajar Priyanto
Jakarta, 29 Desember 2004. fajarpri at arinet dot org
Penulis adalah Microsoft Certified Professional, yang jatuh cinta kepada Linux. Bekerja di sebuah lembaga pendidikan di Jakarta