Apps Artificial Intelligence CSS DevOps Go JavaScript Laravel Linux MongoDB MySQL PHP Python Rust Svelte Vue

.htaccess untuk Mencegah Eksekusi PHP

2 min read .
Published on
.htaccess untuk Mencegah Eksekusi PHP

Salah satu titik rawan dalam aplikasi web adalah folder uploads—tempat pengguna bebas mengunggah file. Jika tidak hati-hati, folder ini bisa jadi pintu masuk hacker. Bayangkan ada yang mengunggah file bernama shell.php. Kalau server mengizinkan file itu dieksekusi, game over.

Untungnya, ada cara sederhana tapi efektif untuk mencegah hal ini: konfigurasi .htaccess.

Kenapa .htaccess Penting?

Di server Apache, .htaccess adalah file konfigurasi lokal. Artinya, kita bisa menaruh aturan keamanan spesifik untuk sebuah direktori, tanpa harus mengutak-atik konfigurasi global server.

Folder seperti /uploads, /assets, atau /media biasanya tidak butuh script PHP, cukup file statis seperti gambar, PDF, atau dokumen. Nah, inilah target ideal untuk proteksi .htaccess.

Contoh .htaccess Anti-Eksekusi PHP

Berikut contoh konfigurasi:

php_flag engine off

<FilesMatch "\.(php|php[34578]?|phtml)$">
  RemoveHandler .php .php3 .php4 .php5 .php7 .php8 .phtml
  RemoveType .php .php3 .php4 .php5 .php7 .php8 .phtml
  ForceType text/plain
  Require all denied
</FilesMatch>

Options -ExecCGI
Options -Includes

Mari kita kupas satu per satu.

1. php_flag engine off

Baris ini mematikan PHP engine di folder tersebut. Jadi, meskipun ada file .php, server tidak akan mengeksekusinya.

2. <FilesMatch "\.(php|php[34578]?|phtml)$">

Aturan ini menargetkan semua file PHP atau turunannya. Di dalamnya:

  • RemoveHandler & RemoveType → Menghapus asosiasi file dengan PHP.
  • ForceType text/plain → Kalau file .php tetap diakses, server akan mengirimnya sebagai teks biasa, bukan script.
  • Require all denied → Blokir total akses ke file PHP.

Dengan ini, shell.php tidak akan pernah bisa dijalankan.

3. Options -ExecCGI

Mematikan eksekusi CGI script. Ini mencegah file .cgi atau sejenisnya dipakai sebagai pintu belakang.

4. Options -Includes

Mematikan Server Side Includes (SSI). SSI memang fitur lama, tapi masih bisa disalahgunakan untuk menjalankan perintah berbahaya.

Best Practice: Taruh di Folder Upload

Biasanya aturan ini ditempatkan di folder:

/var/www/html/uploads/.htaccess

atau kalau pakai struktur Laravel/CodeIgniter:

/public/uploads/.htaccess

Dengan begitu, file hasil upload (gambar, PDF, zip, dll.) tetap bisa diakses, tapi script PHP berbahaya tidak akan pernah jalan.

Tambahan: Batasi Akses File Tertentu

Anda juga bisa memperketat dengan membatasi hanya tipe file tertentu yang boleh diakses:

<FilesMatch "\.(jpg|jpeg|png|gif|pdf|docx|zip)$">
  Require all granted
</FilesMatch>

<FilesMatch ".*">
  Require all denied
</FilesMatch>

Aturan ini hanya mengizinkan file gambar, PDF, dokumen, dan ZIP. Sisanya otomatis ditolak.

Kesimpulan

Menambahkan .htaccess di folder upload adalah langkah kecil dengan dampak besar. Dengan konfigurasi ini:

  • File PHP atau script berbahaya tidak bisa dijalankan.
  • CGI dan SSI dimatikan.
  • Server lebih aman dari eksploitasi upload.

Kalau aplikasi Anda berjalan di Apache dan punya folder upload publik, segera pasang aturan ini. Lebih baik mencegah sebelum terlambat.

DevOps Security Apache Htaccess

Lihat Juga

Cara Memblokir Rentang IP Menggunakan `.htaccess`
Updated on
Cara Memblokir Rentang IP Menggunakan `.htaccess`
Salah satu fitur menarik dari Apache adalah fleksibilitas .htaccess. Selain dipakai untuk rewrite URL atau mengatur caching, .htaccess juga bisa digunakan untuk membatasi akses berdasarkan alamat IP. Kalau Anda pernah menghadapi spam bot, brute force, atau trafik berbahaya dari negara/region tertentu, salah satu solusi cepatnya adalah memblokir IP address atau bahkan satu range sekaligus. Dasar: Memblokir Satu IP Untuk memblokir satu IP saja, contoh konfigurasinya sederhana: Copy <RequireAll> Require all granted Require not ip 192.168.1.100 </RequireAll> Aturan ini akan memblokir 192.168.1.100, sementara IP lain tetap bisa mengakses.
DevOps Apache htaccess Security
Cara Whitelist IP Address Range dengan .htaccess
Updated on
Cara Whitelist IP Address Range dengan .htaccess
.htaccess bukan hanya dipakai untuk rewrite URL atau setting caching. File kecil ini juga bisa jadi lapisan keamanan tambahan. Salah satunya: membatasi akses ke aplikasi hanya dari IP atau rentang IP tertentu (whitelisting). Teknik ini berguna, misalnya: Saat aplikasi masih tahap development dan hanya boleh diakses tim internal. Untuk melindungi area sensitif seperti /admin atau /api. Membatasi akses ke server hanya dari jaringan kantor atau VPN. Whitelist Satu IP Kalau Anda hanya ingin mengizinkan satu IP, cukup sederhana:
DevOps Security Apache htaccess
Membuat CA Bundle dan Mengonversi Sertifikat SSL ke .PFX
Published on
Membuat CA Bundle dan Mengonversi Sertifikat SSL ke .PFX
Bagi banyak developer maupun sysadmin, pengelolaan sertifikat SSL/TLS adalah pekerjaan rutin yang cukup teknis. Salah satu kebutuhan yang sering muncul adalah menggabungkan sertifikat intermediate menjadi CA Bundle dan kemudian mengonversi file sertifikat ke format .pfx. Format .pfx (atau PKCS#12) biasanya dibutuhkan saat kita ingin menginstal sertifikat di server Windows (IIS), Exchange, atau aplikasi tertentu yang hanya mendukung format tersebut. Di artikel ini, kita akan membahas langkah-langkahnya. 1. Membuat CA Bundle Biasanya, saat membeli SSL, kita menerima beberapa file:
DevOps SSL
Mengenkripsi Atribut Model Eloquent Secara Otomatis
Published on
Mengenkripsi Atribut Model Eloquent Secara Otomatis
Di era aplikasi modern, keamanan data sensitif bukan lagi opsi—tapi keharusan. Salah satu trik sederhana namun powerful di Laravel adalah mengenkripsi field tertentu di database langsung lewat model Eloquent. Bayangkan kita punya data profil user dengan kolom seperti gender dan email. Informasi ini, kalau bocor, bisa dipakai untuk profiling. Dengan sedikit sentuhan di model, kita bisa memastikan field tersebut selalu terenkripsi saat disimpan dan didekripsi otomatis saat diakses. Contoh Implementasi Berikut contoh kelas Profile yang memanfaatkan Crypt Laravel untuk mengenkripsi data:
Laravel Security Encryption
Menggunakan Nginx sebagai Reverse Proxy untuk Aplikasi Go
Updated on
Menggunakan Nginx sebagai Reverse Proxy untuk Aplikasi Go
Kalau kamu bikin aplikasi web dengan Go, biasanya aplikasinya jalan langsung di port tertentu, misalnya :8080. Masalahnya, kalau saya ingin aplikasi ini bisa diakses lewat domain (misalnya yourdomain.com) dengan port standar :80 atau bahkan :443 (HTTPS), saya butuh “penengah”. Nah, di sinilah Nginx berperan sebagai reverse proxy. Dengan Nginx di depan aplikasi Go, kita bisa dapat banyak keuntungan: Request dari user lewat dulu ke Nginx sebelum diteruskan ke Go. Bisa tambah SSL (HTTPS) dengan gampang. Bisa bagi-bagi beban (load balancing) kalau aplikasinya jalan di beberapa instance. Nginx juga lebih efisien untuk melayani file statis (gambar, CSS, JS, dll). Di artikel ini, saya bahas cara setup-nya langkah demi langkah.
DevOps Golang Linux Nginx Reverse Proxy
chevron-up