Sandi Cara-Melindungi Situs Web Apache menggunakan .htaccess

Bagaimana-Untuk

OlehSteve Krause

Terakhir diperbarui saat7 Mei 2018

Jika Anda menjalankan Situs web dengan Apache, mengamankan situs dengan kata sandi adalah proses yang sederhana. Baru-baru ini saya menjalankan proses pada kotak Windows (Mayoritas gambar di bawah) namun langkah-langkahnya hampir sama untuk situs Windows atau Linux Apache.

Langkah 1: Konfigurasikan file .htaccess Anda

Semua pekerjaan akan dilakukan menggunakan file .htaccess Anda. Anda dapat menemukan file ini di root sebagian besar Situs Web Apache.

Tangkapan layar diambil dari instalasi vanilla WordPress yang berjalan di Windows 2003 Server:

File .htaccess diperiksa oleh Apache sebelum menampilkan halaman web. Biasanya ini digunakan untuk ReWrites atau ReDirects namun Anda juga dapat menggunakannya untuk memanfaatkan fitur keamanan bawaan dari Apache.

Jadi, langkah pertama adalah menambahkan beberapa parameter ke file. Di bawah ini adalah contoh file .htaccess. (TIP: Saya menggunakan notepad ++ untuk mengedit sebagian besar PHP dan file terkait)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Silakan Masuk ke Pengguna & PW" AuthType Basic. membutuhkan pengguna yang valid

Beberapa Penjelasan:

AuthUserFile: APACHE membutuhkan lokasi file Pengguna / Kata Sandi. Masukkan saja path lengkap ke file basis data kata sandi Anda seperti yang ditunjukkan di atas. Contoh di atas diambil dari kotak Windows saya. Jika Anda menjalankan Linux, itu akan menjadi seperti: AuthUserFile /full/path/to/.htpasswd

Nama Otomatis: Bidang ini mendefinisikan Judul dan Teks untuk kotak sembulan yang akan meminta Nama Pengguna dan PW. Anda dapat membuat APA SAJA ini yang Anda inginkan. Berikut ini contoh pada kotak pengujian saya:

AuthType: Bidang ini memberi tahu Apache jenis Otentikasi apa yang digunakan. Dalam hampir semua kasus, "Basic" baik-baik saja (dan yang paling umum).

Membutuhkan pengguna yang valid: Perintah terakhir ini memberi tahu Apache bahwa WHO diizinkan. Dengan menggunakan "pengguna yang valid“, Anda memberi tahu Apache bahwa SIAPAPUN diizinkan untuk mengautentikasi jika mereka memiliki nama pengguna dan kata sandi yang valid.

Jika Anda lebih suka EXACT, Anda dapat menentukan PENGGUNA atau PENGGUNA tertentu. Perintah ini akan terlihat seperti:

Membutuhkan pengguna mrgroove groovyguest

Dalam hal ini, hanya pengguna mrgroove dan groovyguest yang akan diizinkan memasuki halaman / direktori yang Anda lindungi (setelah memberikan nama pengguna dan kata sandi yang benar tentu saja). Semua pengguna lain (termasuk yang valid) akan ditolak aksesnya. Jika Anda ingin mengizinkan lebih banyak pengguna, cukup pisahkan dengan spasi.

Jadi, sekarang kita memiliki semua pengaturan konfigurasi yang dibuat, di sini akan terlihat seperti apa file .htaccess Anda:

Cuplikan layar diambil dari kotak Windows Server 2003 yang menjalankan WordPress:

Langkah 2: Buat file .htpasswd

Membuat file .htpasswd adalah proses yang sederhana. File tersebut tidak lebih dari file teks yang berisi daftar Pengguna dan kata sandi terenkripsi mereka. Setiap string Pengguna harus dipisahkan ke barisnya. Secara pribadi, saya hanya menggunakan notepad ++ atau Windows Notepad untuk membuat file.

Dipotret di bawah adalah contoh file .htpasswd dengan dua pengguna:

Meskipun Apache tidak “mengharuskan” Anda untuk mengenkripsi kata sandi, ini adalah proses sederhana untuk Windows dan Sistem Linux.

Windows

Arahkan ke folder BIN Apache Anda (biasanya ditemukan di C: \ Program Files \ Apache Group \ Apache2bin) dan jalankan alat htpasswd.exe untuk menghasilkan string Username / Password terenkripsi MD5. Anda juga dapat menggunakan alat ini untuk membuat file .htpasswd untuk Anda (apa pun yang berfungsi ...). Untuk semua detail, cukup jalankan sakelar bantuan dari baris perintah (htpasswd.exe /?).

Namun, dalam hampir semua kasus, jalankan saja perintah berikut:

htpasswd -nb nama pengguna kata sandi

Setelah perintah dieksekusi, alat htpasswd.exe akan menampilkan string Pengguna dengan kata sandi dienkripsi.

Cuplikan layar di bawah ini adalah contoh dari mengeksekusi alat htpasswd.exe pada Windows 2003 Server

Setelah Anda memiliki String Pengguna, salin ke file .htpasswd Anda.

Linux:

Pergi ke: http://railpix.railfan.net/pwdonly.html untuk membuat string Pengguna Anda dengan kata sandi terenkripsi. Prosesnya sangat sederhana.

Langkah 3: Verifikasi Apache dikonfigurasi dengan benar * opsional

Secara default, Apache mengaktifkan Modul yang benar. Yang sedang berkata, tidak ada salahnya untuk sedikit proaktif plus itu "cek" cepat.

Buka file Apache httpd.conf Anda dan verifikasi modul AUTH diaktifkan:

Jika Anda menemukan modul tidak diaktifkan, perbaiki saja seperti yang ditunjukkan di atas. Jangan lupa; Anda harus memulai ulang Apache agar perubahan pada httpd.conf Anda berlaku.

Itu harus mengurusnya. Semua selesai.

Tag:apache, enkripsi, htaccess, keamanan, windows