Setelah sebelumnya kami sudah membahas mengenai Http Security header, dalam artikel ini kami akan memberikan cara menerapkan https security header pada website yang kalian miliki.
Perlu kalian ketahui, terdapat beberapa cara dan langkah yang bisa dilakukan untuk menerapkan keamanan security header ini karena pada setiap webserver yang digunakan biasanya memiliki beberapa perbedaan dan cara.
Untuk itu kami akan memberikan panduannya secara lengkap untuk kalian.
Table of Contents
Panduan Menerapkan Http Security Header
File .htaccess
Panduan pertama yang bisa kalian lakukan adalah menambahkan file dibawah ini pada file .htaccess yang kalian miliki.
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" env=HTTPS
Header set X-XSS-Protection 1;mode=block
Header set X-Frame-Options SAMEORIGIN
Header set x-content-type-options: nosniff
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy: accelerometer=*, autoplay=*, camera=*, display-capture=*, encrypted-media=*, fullscreen=*, geolocation=*
</IfModule>
Kemudian simpan dan lakukan pengecekkan apakah file .htaccess bekerja pada website yang kalian miliki, apabila tidak bekerja kalian bisa mengikuti panduan dibawah ini
Webserver Apache
Bagi kalian yang menggunakan webserver apache silahkan tambahkan ini ke konfigurasi host virtual di /etc/apache2/sites-enabled/domain.conf atau /etc/httpd/sites-enabled/domain.conf
<VirtualHost *:443>
Header always set Strict-Transport-Security "max-age=31536000"
Header always set X-Frame-Options "deny"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Content-Security-Policy "default-src 'self'"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
</VirtualHost>
Webserver NGINX
Untuk nginx, Anda harus memperbarui file konfigurasi. Biasanya terletak di /etc/nginx/nginx.conf , /etc/nginx/sited-enabled/yoursite.com (Ubuntu / Debian) atau /etc/nginx/conf.d/nginx.conf (RHEL / CentOS) .
server {
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;" always;
add_header X-Frame-Options "deny" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Content-Security-Policy "default-src 'self'" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
}
Webserver LiteSpeed Enterprise
Untuk kalian yang menggunakan webserver LiteSpeed Enterprise kalian bisa menambahkan file security header pada file .htaccess yang kalian miliki. Untuk file security header kalian bisa gunakan file dibawah ini.
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" env=HTTPS
Header set X-XSS-Protection 1;mode=block
Header set X-Frame-Options SAMEORIGIN
Header set x-content-type-options: nosniff
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy: accelerometer=*, autoplay=*, camera=*, display-capture=*, encrypted-media=*, fullscreen=*, geolocation=*
</IfModule>
Webserver OpenLiteSpeed
Bagi kalian yang menggunakan webserver OpenLiteSpeed sedikit rumit untuk melakukannya. Adapaun langkahnya sebagai berikut:
Login Ke Control Panel LiteSpeed
Langkah pertama yang harus kalian lakukan adalah login terlebih dahulu ke laman control panel Openlitespeed. Untuk laman defaultnya adalah port 7080 ( domain.com:7080 / ip-server:7080 ). Untuk username default adalah admin dan password default adalah 1234567.
Apabila username dan password tidak dapat digunakan silahkan kalian ubah atau buat terlebih dahulu melalui login ke server menggunakan SSH dan menjalankan perintah
/usr/local/lsws/admin/misc/admpass.sh
Pilih Menu Virtual Hosts
Setelah berhasil login maka langkah selanjutnya adalah memilih menu virtual hosts pada kolom sebelah kiri.
Pilih Nama Domain
Pada menu Virtual Hosts silahkan klik icon kaca pembesar pada nama domain yang kalian miliki.
Pilih Tab Context
Selanjutnya adalah memilih tab context pada virtual hosts domain kalian.
Buat Rules Baru
Selanjutnya adalah klik icon + pada kolom Context List. dan ikuti langkah dibawah ini
- Pilih statis dan klik icon (>|)
- URI : /
- Location : /home/$VH_NAME/public_html
- Accessible : Yes
- Header Operations isi Seperti Dibawah ini
- Klik Save atau logo diskete
Referrer-Policy "no-referrer-when-downgrade"
X-Content-Type-Options "nosniff"
X-Download-Options "noopen"
X-Frame-Options "DENY"
X-XSS-Protection "1; mode=block"
Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
Reboot Server
Setelah berhasil menyimpan maka langkah terakir adalah melakukan reboot server dengan klik icon reboot yang terletak pada bagian atas halaman dashboard berwarna hijau untuk melakukan reboot server.
Setelah kalian melakukan reboot server silahkan cek ulang apakah security header kalian berhasil diterapkan atau tidak menggunakan tools securityheaders.com.
Berdasarkan pengalaman team Qiannah Update Media, langkah diatas berhasil untuk mengaktifkan security header pada website yang dimiliki.
Itulah informasi, rekomendasi dan tutorial yang bisa Qiannah Update media berikan, semoga dapat membantu kalian