Cara Menerapkan Http Security Header Pada Website Lengkap 2023

Cara Menerapkan Http Security Header Pada Website Lengkap 2023
Cara Menerapkan Http Security Header Pada Website Lengkap 2023

Setelah sebelumnya kami sudah membahas mengenai Http Security header, dalam artikel ini kami akan memberikan cara menerapkan https security header pada website yang kalian miliki.

Perlu kalian ketahui, terdapat beberapa cara dan langkah yang bisa dilakukan untuk menerapkan keamanan security header ini karena pada setiap webserver yang digunakan biasanya memiliki beberapa perbedaan dan cara.

Untuk itu kami akan memberikan panduannya secara lengkap untuk kalian.

Panduan Menerapkan Http Security Header

Panduan Menerapkan Http Security Header
Cara Menerapkan Http Security Header Pada Website Lengkap 2023 3

File .htaccess

Panduan pertama yang bisa kalian lakukan adalah menambahkan file dibawah ini pada file .htaccess yang kalian miliki.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" env=HTTPS
Header set X-XSS-Protection 1;mode=block
Header set X-Frame-Options SAMEORIGIN
Header set x-content-type-options: nosniff
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy: accelerometer=*, autoplay=*, camera=*, display-capture=*, encrypted-media=*, fullscreen=*, geolocation=*
</IfModule>

Kemudian simpan dan lakukan pengecekkan apakah file .htaccess bekerja pada website yang kalian miliki, apabila tidak bekerja kalian bisa mengikuti panduan dibawah ini

Webserver Apache

Bagi kalian yang menggunakan webserver apache silahkan tambahkan ini ke konfigurasi host virtual di /etc/apache2/sites-enabled/domain.conf atau /etc/httpd/sites-enabled/domain.conf

<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=31536000"
    Header always set X-Frame-Options "deny"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set X-Content-Type-Options "nosniff"
    Header always set Content-Security-Policy "default-src 'self'"
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
</VirtualHost>

Webserver NGINX

Untuk nginx, Anda harus memperbarui file konfigurasi. Biasanya terletak di /etc/nginx/nginx.conf , /etc/nginx/sited-enabled/yoursite.com (Ubuntu / Debian) atau /etc/nginx/conf.d/nginx.conf (RHEL / CentOS) .

server {
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;" always;
    add_header X-Frame-Options "deny" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Content-Security-Policy "default-src 'self'" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
}

Webserver LiteSpeed Enterprise

Untuk kalian yang menggunakan webserver LiteSpeed Enterprise kalian bisa menambahkan file security header pada file .htaccess yang kalian miliki. Untuk file security header kalian bisa gunakan file dibawah ini.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" env=HTTPS
Header set X-XSS-Protection 1;mode=block
Header set X-Frame-Options SAMEORIGIN
Header set x-content-type-options: nosniff
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy: accelerometer=*, autoplay=*, camera=*, display-capture=*, encrypted-media=*, fullscreen=*, geolocation=*
</IfModule>

Webserver OpenLiteSpeed

Bagi kalian yang menggunakan webserver OpenLiteSpeed sedikit rumit untuk melakukannya. Adapaun langkahnya sebagai berikut:

BACA JUGA  Panduan Migrasi Cyberpanel Ke Cyberpanel Terbaru 2023

Login Ke Control Panel LiteSpeed

Langkah pertama yang harus kalian lakukan adalah login terlebih dahulu ke laman control panel Openlitespeed. Untuk laman defaultnya adalah port 7080 ( domain.com:7080 / ip-server:7080 ). Untuk username default adalah admin dan password default adalah 1234567.

Apabila username dan password tidak dapat digunakan silahkan kalian ubah atau buat terlebih dahulu melalui login ke server menggunakan SSH dan menjalankan perintah

/usr/local/lsws/admin/misc/admpass.sh

Pilih Menu Virtual Hosts

Setelah berhasil login maka langkah selanjutnya adalah memilih menu virtual hosts pada kolom sebelah kiri.

Pilih Nama Domain

Pada menu Virtual Hosts silahkan klik icon kaca pembesar pada nama domain yang kalian miliki.

Pilih Tab Context

Selanjutnya adalah memilih tab context pada virtual hosts domain kalian.

Buat Rules Baru

Selanjutnya adalah klik icon + pada kolom Context List. dan ikuti langkah dibawah ini

  1. Pilih statis dan klik icon (>|)
  2. URI : /
  3. Location : /home/$VH_NAME/public_html
  4. Accessible : Yes
  5. Header Operations isi Seperti Dibawah ini
  6. Klik Save atau logo diskete
Referrer-Policy "no-referrer-when-downgrade"
X-Content-Type-Options "nosniff"
X-Download-Options "noopen"
X-Frame-Options "DENY"
X-XSS-Protection "1; mode=block"
Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"

Reboot Server

Setelah berhasil menyimpan maka langkah terakir adalah melakukan reboot server dengan klik icon reboot yang terletak pada bagian atas halaman dashboard berwarna hijau untuk melakukan reboot server.

Setelah kalian melakukan reboot server silahkan cek ulang apakah security header kalian berhasil diterapkan atau tidak menggunakan tools securityheaders.com.

Berdasarkan pengalaman team Qiannah Update Media, langkah diatas berhasil untuk mengaktifkan security header pada website yang dimiliki.

Itulah informasi, rekomendasi dan tutorial yang bisa Qiannah Update media berikan, semoga dapat membantu kalian

Penulis: Aurelia, S.KomEditor: Andini Yustina, S.Kom