Apache tetap menjadi perangkat lunak server web terkemuka di dunia dengan pangsa pasar 45,8%. Itu akhirnya menjadi sekitar 80 juta situs web yang server webnya didukung oleh Apache. Cukup mengesankan, bukan?
Apache adalah perangkat lunak server web open source yang telah ada sejak 1995, jadi ini hanya berbicara banyak tentang keandalan dan umur panjangnya. Lalu ada situs web profil tinggi yang berjalan di server Apache – Apple, Adobe, dan Paypal hanyalah beberapa merek besar yang mempercayakan situs web mereka ke Apache.
Tentu saja, itu tidak membuat Apache 100% aman karena tidak ada perangkat lunak yang 100% aman dari peretas, terutama jika itu adalah platform yang terkenal dan tepercaya (seperti WordPress). Tetapi jika Anda mencari e-book keamanan server web Apache, modul, panduan, tutorial, kerangka kerja, atau daftar periksa, Anda telah datang ke tempat yang tepat.
Jika Anda ingin memperkuat keamanan Apache atau mengalami masalah keamanan Apache atau mencoba memperbaiki satu atau dua kerentanan, daftar periksa berikut akan memberi Anda 14 praktik terbaik keamanan untuk ditambahkan ke paket keamanan situs web Anda.
Daftar Periksa Praktik Terbaik Keamanan Apache
Bagi Anda yang ingin benar-benar memperkuat situs WordPress Anda, sangat penting untuk mengamankan Apache seperti yang Anda lakukan pada perangkat lunak lain yang menghubungkan dan mendukung situs web Anda. Kegagalan untuk melakukannya bahkan dapat memengaruhi kecepatan situs Anda. Jadi, beginilah cara Anda melakukannya:
1. Perbarui Apache
Tahukah Anda bahwa WordPress dan plugin serta tema yang telah Anda instal perlu diperbarui secara berkala? Begitu juga server web Anda.
Jika Anda khawatir situs Anda tidak akan berjalan pada versi terbaru Apache, Anda dapat memverifikasinya dengan baris perintah httpd -v. Jika versi yang dirilis tidak cocok dengan versi Apache saat ini, Anda dapat memperbaruinya dengan yang berikut:
# yum perbarui httpd
# apt-get install (tambahkan versi Apache di sini) c
2. Nyalakan register
Jika Anda bekerja dengan penyedia hosting WordPress yang dikelola, mereka akan memantau server Anda dan WordPress untuk kerentanan dan tanda peringatan lainnya. Karena itu, Anda juga harus mengawasi lalu lintas server Anda.
Dengan Apache, Anda dapat mengakses log aktivitas ini dengan memperbarui modul mod_log_config Anda. Pada dasarnya, ini akan memberi tahu Anda apa yang dilakukan pengguna setiap kali mereka menyentuh server Anda.
3. Dapatkan sertifikat SSL
Karena server web Anda menangani semua permintaan browser / server ke situs web Anda, penting untuk mengamankannya dengan sertifikat SSL. Kabar baiknya adalah sekarang Anda bisa mendapatkan sertifikat SSL secara gratis. Ini lebih penting sekarang daripada sebelumnya, jadi jika Anda tidak memiliki kemampuan teknis untuk menginstalnya sendiri, penyedia hosting berkualitas mana pun akan dapat melakukannya untuk Anda.
4. Tambahkan firewall
Selain perlindungan tambahan dari enkripsi SSL, server web Anda harus diperkuat dengan firewall. Untuk Apache, ini berarti mengaktifkan ModSecurity.
Untuk menginstalnya di server Anda, Anda dapat menjalankan yang berikut ini:
# yum instal mod_security
# /etc/init.d/httpd restart
Setelah firewall aktif, ini akan mencegah sejumlah aktivitas berbahaya mencapai server Anda, seperti injeksi SQL, pembajakan sesi, dan skrip lintas situs.
Pembaruan konten
Daftar Periksa Keamanan Apache Gratis
(4 halaman) Daftar periksa 21 langkah untuk
Amankan situs web WordPress yang aman 99,9%
untuk mengunduh
5. Instal mod_evasive
Mod_evasive adalah modul yang akan melindungi server Apache Anda dari serangan brute force dan DDoS, jadi pastikan itu juga diaktifkan. Ini akan membuat daftar hitam upaya masuk bersamaan dan gagal, serta memantau alamat IP berbahaya.
6. Tetapkan batas HTTP
Serangan Distributed Denial of Service (DDoS) cukup mudah diblokir jika Anda tahu jenis tindakan yang harus diperhatikan. Karena DDoS cenderung terjadi dengan berulang kali masuk ke server Anda dengan permintaan besar, tujuan Anda adalah menetapkan batas yang mencegah hal ini terjadi.
Ini adalah beberapa batasan yang ingin Anda tetapkan:
- KeepAlive = aktif
- Menjaga waktu tunggu tetap hidup
- LimitRequestBody
- LimitRequestFields
- LimitRequestFieldSize
- LimitRequestLine
- LimitXMLRequestBody
- Klien maksimal
- MaxKeepAliveRequests
- MaxRequestWorkers
- RequestReadTimeout
- Waktunya habis
7. Hapus modul yang tidak digunakan
Dengan meninggalkan modul yang tidak digunakan, tidak dirawat, atau kedaluwarsa di server Apache Anda, Anda membiarkan situs Anda terbuka untuk peretas melalui titik masuk yang bahkan tidak perlu ada di sana.
Hal pertama yang harus dilakukan adalah mencari tahu modul mana yang sebenarnya aktif. Anda dapat melakukan ini dengan menggunakan perintah LoadModule. Setelah Anda menelusuri daftar dan mengidentifikasi modul mana yang tidak Anda perlukan, cukup tambahkan simbol “#” sebelum setiap modul yang ingin Anda nonaktifkan, lalu reboot.
8. Ubah pengguna dan grup default
Pengaturan default dan pengguna yang tersisa di perangkat lunak apa pun, secara umum, merupakan praktik keamanan yang buruk. Alasannya sederhana: jika Anda menggunakan nama pengguna atau grup default Apache, Anda dapat bertaruh para peretas juga tahu apa nama-nama default itu.
Alih-alih membiarkan default di tempatnya, Anda harus membuat akun non-hak istimewa baru untuk menjalankan proses Apache Anda. Dengan menggunakan perintah # groupadd dan # useradd, Anda dapat menyetel entitas baru. Ingatlah untuk memperbarui httpd.conf Anda dengan nama pengguna dan grup baru yang telah Anda buat.
9. Blokir akses direktori
Berikut adalah contoh lain dari pengaturan default yang harus diubah. Dalam kasus ini, ini adalah akses yang diberikan ke file di direktori Anda yang memungkinkan siapa saja untuk menjelajah di mana pun mereka mau.
Untuk menempatkan blok total, gunakan perintah berikut:
Wajibkan semua ditolak
Jika Anda ingin mengaktifkan akses untuk pengguna tertentu, Anda dapat melakukannya dengan ini:
Wajibkan semua diberikan
Jika Anda ingin mengaktifkan akses ke folder tertentu di dalam direktori, Anda dapat melakukannya dengan ini:
Wajibkan semua diberikan
Anda mungkin juga ingin membaca dengan teliti repositori modul Apache untuk lebih menyesuaikan hak akses pengguna.
10. Jangan mempublikasikan direktori
Tahukah Anda bahwa jika server Anda tidak memiliki file indeks, pengguna akan dapat melihat semua konten yang telah Anda simpan di direktori root Anda? Jelas itu tidak bagus jadi Anda harus menonaktifkan pengaturan default ini dengan yang berikut:
Opsi-Indeks
11. Sembunyikan detail server
Karena Apache adalah perangkat lunak sumber terbuka, detail tentang versi yang digunakan sudah tersedia jika pengaturan ini tidak dinonaktifkan di sisi server. Karena peretas dapat menggunakan informasi sensitif itu untuk mencari tahu cara masuk ke server Anda, Anda pasti ingin memblokir informasi ini.
Ada dua hal yang ingin Anda nonaktifkan:
- ServerSignature – apa itu versi Apache
- ServerTokens: yang menyertakan versi sistem operasi, di antara detail rahasia server lainnya
Pengguna lain dapat menemukan informasi ini hanya dengan melihat halaman kesalahan di situs web Anda, jadi sangat penting untuk mencegahnya ditampilkan. Untuk melakukannya, perbarui httpd.conf dengan yang berikut ini:
ServerSignature Nonaktif
ServerTokens Prod
12. Sembunyikan ETag
Header ETag di Apache, sayangnya, menyertakan sejumlah detail rahasia tentang server Anda. Jelas, apa pun yang membagikan informasi semacam itu dengan dunia luar harus disembunyikan. Selain itu, jika Anda menjalankan situs web e-niaga, Anda harus menyembunyikannya agar sesuai dengan PCI.
Untuk melakukan ini, tambahkan direktif berikut ke httpd.conf Anda:
FileETag Tidak Ada
13. Nonaktifkan .htaccess Override
.Htaccess adalah file penting untuk situs WordPress mana pun. Inilah mengapa Anda perlu menguncinya dan memastikan tidak ada orang lain yang dapat mengganti pengaturan konfigurasi Anda.
Untuk menonaktifkan ini, tambahkan berikut ini ke httpd.conf Anda di root:
Opsi-Indeks
AllowOverride Tidak Ada
14. Nonaktifkan SSI dan CGI
File yang mendukung sisi server (SSI) dapat membuka situs Anda hingga sejumlah masalah keamanan jika dibiarkan tidak dicentang. Hal yang sama berlaku untuk skrip CGI. Untuk mencegah salah satu dari ini mengizinkan peretas membebani server Anda atau menyuntikkan skrip berbahaya ke dalam kode Anda, ingatlah untuk menonaktifkannya atau membatasi apa yang mereka lakukan melalui petunjuk Opsi.
Berikut beberapa nilai Opsi yang dapat Anda gunakan:
- Semua opsi
- Pilihannya termasuk NOEXEC
- Pilihan -Termasuk
- Opsi -ExecCGI
- Pilihan -Termasuk -ExecCGI
- Opsi MultiView
Pembaruan konten
Daftar Periksa Keamanan Apache Gratis
(4 halaman) Daftar periksa 21 langkah untuk
Amankan situs web WordPress yang aman 99,9%
untuk mengunduh
Jaga server Apache Anda
Dalam upaya memperkuat keamanan situs web Anda, berikan perhatian khusus pada server Apache Anda. Masalah seperti pengaturan server yang salah dan membiarkan pengaturan default di tempat dapat membuat situs Anda berisiko seperti kernel yang kedaluwarsa atau praktik pengkodean PHP yang tidak aman.
Apakah Anda ingin memberikan pendapat Anda atau bergabung dalam percakapan? Tambahkan komentar Anda 🐦 di Twitter.
