Cara Menambahkan Header Keamanan HTTP di Website

Bagikan

Apakah Anda ingin menambahkan header keamanan HTTP di Website?

Header keamanan HTTP memungkinkan Anda menambahkan lapisan keamanan terbaik ke situs web Website Anda. Mereka dapat membantu memblokir aktivitas berbahaya umum agar tidak memengaruhi kinerja situs web Anda.

Dalam panduan pemula ini, kami akan menunjukkan cara mudah menambahkan header keamanan HTTP di Website.

Apa itu Header Keamanan HTTP?

Header keamanan HTTP adalah ukuran keamanan yang memungkinkan server situs web Anda mencegah beberapa ancaman keamanan umum sebelum memengaruhi situs web Anda.

Pada dasarnya, ketika pengguna mengunjungi situs web Anda, server web Anda mengirimkan respons header HTTP kembali ke browser mereka. Respons ini memberi tahu browser tentang kode kesalahan, kontrol cache, dan status lainnya.

Respons header normal mengeluarkan status yang disebut HTTP 200. Setelah itu situs web Anda dimuat di browser pengguna. Namun, jika situs web Anda mengalami kesulitan maka server web Anda mungkin mengirimkan header HTTP yang berbeda.

Misalnya, mungkin mengirim kesalahan server internal 500, atau kode kesalahan 404 tidak ditemukan.

Header keamanan HTTP adalah bagian dari header ini dan digunakan untuk mencegah situs web dari ancaman umum seperti pembajakan klik, skrip lintas situs, serangan brute force, dan banyak lagi.

Mari kita lihat sekilas seperti apa header keamanan HTTP dan apa yang mereka lakukan untuk melindungi situs web Anda.

HTTP Strict Transport Security (HSTS)

Header HTTP Strict Transport Security (HSTS) memberi tahu browser web bahwa situs web Anda menggunakan HTTP dan tidak boleh dimuat menggunakan protokol tidak aman seperti HTTP.

Jika Anda telah memindahkan situs Website Anda dari HTTP ke HTTPs, maka header keamanan ini memungkinkan Anda untuk menghentikan browser memuat situs web Anda di HTTP.

Perlindungan X-XSSX

Header Perlindungan X-XSS memungkinkan Anda memblokir skrip lintas situs agar tidak dimuat di situs Website Anda.

X-Frame-Options

Header keamanan X-Frame-Options mencegah iframe lintas domain atau pembajakan klik.

X-Content-Type-Options

X-Content-Type-Options memblokir sniffing tipe mime konten.

Karena itu, mari kita lihat cara menambahkan header keamanan HTTP dengan mudah di Website.

Menambahkan Header Keamanan HTTP di Website

Header keamanan HTTP berfungsi paling baik saat disetel di tingkat server web (yaitu akun hosting Website Anda). Ini memungkinkan mereka untuk dipicu sejak awal selama permintaan HTTP biasa dan memberikan manfaat maksimal.

Mereka bekerja lebih baik jika Anda menggunakan firewall aplikasi situs web tingkat DNS seperti Sucuri atau Cloudflare. Kami akan menunjukkan kepada Anda setiap metode, dan Anda dapat memilih salah satu yang paling sesuai untuk Anda.

  • Menambahkan header keamanan HTTP menggunakan Sucuri
  • Menambahkan header keamanan HTTP menggunakan Cloudflare
  • Menambahkan header keamanan HTTP menggunakan .htaccess
  • Menambahkan header keamanan HTTP menggunakan Plugin Website
  • Menguji header keamanan HTTP

1. Menambahkan Header Keamanan HTTP di Website menggunakan Sucuri

Sucuri adalah plugin keamanan Website terbaik di pasar. Jika Anda juga menggunakan layanan firewall situs web mereka, Anda dapat mengatur header keamanan HTTP tanpa menulis kode apa pun.

Pertama, Anda harus mendaftar untuk akun Sucuri. Ini adalah layanan berbayar yang dilengkapi dengan firewall situs web tingkat tinggi, plugin keamanan, CDN, dan jaminan penghapusan malware.

Selama mendaftar, Anda akan menjawab pertanyaan sederhana, dan dokumentasi Sucuri akan membantu Anda mengatur firewall aplikasi situs web di situs web Anda.

Setelah mendaftar, Anda perlu menginstal dan mengaktifkan plugin Sucuri gratis. Untuk detail lebih lanjut, lihat panduan langkah demi langkah kami tentang cara menginstal plugin Website.

Setelah aktivasi, buka halaman Sucuri Security »Firewall (WAF) dan masukkan kunci API Firewall Anda. Anda dapat menemukan informasi ini di bawah akun Anda di situs web Sucuri.

Klik tombol Save untuk menyimpan perubahan Anda.

Selanjutnya, Anda perlu beralih ke dasbor akun Sucuri Anda. Dari sini, klik menu Pengaturan di atas dan kemudian beralih ke tab Keamanan.

Dari sini Anda dapat memilih tiga set aturan. Proteksi bawaannya, HSTS, dan HSTS Full. Anda akan melihat header keamanan HTTP mana yang akan diterapkan untuk setiap rangkaian aturan.

Klik tombol ‘Save Changes in The Additional Headers’ untuk menerapkan perubahan Anda.

Itu saja, Sucuri sekarang akan menambahkan header keamanan HTTP yang Anda pilih di Website. Karena ini adalah WAF tingkat DNS, lalu lintas situs web Anda dilindungi dari peretas bahkan sebelum mereka mencapai situs web Anda.

2. Menambahkan Header Keamanan HTTP di Website menggunakan Cloudflare

Cloudflare menawarkan firewall situs web gratis dasar dan layanan CDN. Ini tidak memiliki fitur keamanan canggih dalam paket gratisnya, jadi Anda perlu meningkatkan ke paket Pro mereka yang lebih mahal.

Untuk menambahkan Cloudflare di situs Anda, lihat tutorial kami tentang cara menambahkan CDN gratis Cloudflare di Website.

Setelah Cloudflare aktif di situs web Anda, buka halaman SSL/TLS di bawah dasbor akun Cloudflare Anda dan kemudian beralih ke tab Edge Certificates.

Sekarang, gulir ke bawah ke bagian HTTP Strict Transport Security (HSTS) dan klik tombol ‘Enable HSTS’.

Ini akan memunculkan popup dengan instruksi yang memberi tahu Anda bahwa Anda harus mengaktifkan HTTPS di blog Website Anda sebelum menggunakan fitur ini. Klik tombol Next untuk melanjutkan, dan Anda akan melihat opsi untuk menambahkan header keamanan HTTP.

Dari sini, Anda dapat mengaktifkan HSTS, header no-sniff, menerapkan HSTS ke subdomain (jika mereka menggunakan HTTPS), dan memuat HSTS terlebih dahulu.

Metode ini memberikan perlindungan dasar menggunakan header keamanan HTTP. Namun, itu tidak memungkinkan Anda menambahkan X-Frame-Options dan Cloudflare tidak memiliki antarmuka pengguna untuk melakukan itu.

Anda masih dapat melakukannya dengan membuat skrip menggunakan fitur Pekerja. Namun, membuat skrip header keamanan HTTPS dapat menyebabkan masalah yang tidak terduga bagi pemula, itulah sebabnya kami tidak merekomendasikannya.

3. Menambahkan Header Keamanan HTTP di Website menggunakan .htaccess

Metode ini memungkinkan Anda untuk mengatur header keamanan HTTP di Website di tingkat server.

Ini mengharuskan Anda untuk mengedit file .htaccess di situs web Anda. Ini adalah file konfigurasi server yang digunakan oleh perangkat lunak server web Apache yang paling umum digunakan.

Cukup sambungkan ke situs web Anda menggunakan klien FTP, atau aplikasi pengelola file di panel kontrol hosting Anda. Di folder root situs web Anda, Anda perlu mencari file .htaccess dan mengeditnya.

Ini akan membuka file dalam editor teks biasa. Di bagian bawah file, Anda dapat menambahkan kode untuk menambahkan header keamanan HTTPS ke situs Website Anda.

Anda dapat menggunakan kode contoh berikut sebagai titik awal, ini menetapkan header keamanan HTTP yang paling umum digunakan dengan pengaturan optimal:

Jangan lupa untuk menyimpan perubahan Anda dan kunjungi situs web Anda untuk memastikan semuanya berfungsi seperti yang diharapkan.

Catatan: Header atau konflik yang salah dalam file .htaccess dapat memicu 500 kesalahan server internal di sebagian besar host web.

4. Menambahkan Header Keamanan HTTP di Website menggunakan Plugin

Metode ini sedikit kurang efektif karena mengandalkan plugin Website untuk memodifikasi header. Namun, ini juga merupakan cara termudah untuk menambahkan header keamanan HTTP ke situs web Website Anda.

Pertama, Anda perlu menginstal dan mengaktifkan plugin Redirection. Untuk detail lebih lanjut, lihat panduan langkah demi langkah kami tentang cara menginstal plugin Website.

Setelah aktivasi, plugin akan menampilkan wizard pengaturan yang bisa Anda ikuti untuk mengatur plugin. Setelah itu, buka Tools »Redirection halaman dan beralih ke tab ‘Site’.

Selanjutnya, Anda perlu menggulir ke bawah ke bagian bawah halaman ke bagian HTTP Header dan klik tombol ‘Add Header’. Dari menu tarik-turun, Anda harus memilih opsi ‘Tambahkan Preset Keamanan’.

Setelah itu, Anda perlu mengkliknya lagi untuk menambahkan opsi tersebut. Sekarang, Anda akan melihat daftar preset header keamanan HTTP muncul di tabel.

Header ini dioptimalkan untuk keamanan, Anda dapat meninjaunya dan mengubahnya jika diperlukan. Setelah selesai, jangan lupa untuk mengklik tombol Perbarui untuk menyimpan perubahan Anda.

Anda sekarang dapat mengunjungi situs web Anda untuk memastikan semuanya berfungsi dengan baik.

Cara Memeriksa Header Keamanan HTTP untuk Situs Web

Sekarang, Anda telah menambahkan header Keamanan HTTP ke situs web Anda. Anda dapat menguji konfigurasi Anda menggunakan alat Header Keamanan gratis. Cukup masukkan URL situs web Anda dan klik tombol Pindai.

Ini kemudian akan memeriksa header keamanan HTTP untuk situs web Anda dan akan menampilkan laporan kepada Anda. Alat ini akan menghasilkan apa yang disebut label nilai yang dapat Anda abaikan karena sebagian besar situs web akan mendapatkan skor B atau C terbaik tanpa memengaruhi pengalaman pengguna.

Ini akan menunjukkan kepada Anda header keamanan HTTP mana yang dikirim oleh situs web Anda dan header keamanan mana yang tidak disertakan. Jika tajuk keamanan yang ingin Anda atur terdaftar di sana, maka Anda selesai.

Itu saja, kami harap artikel ini membantu Anda mempelajari cara menambahkan header keamanan HTTP di Website. Semoga Bermanfaat.

 

Subscribe & Dapatkan Info Lainnya

WEBZID DEVELOPER

Berita Terkait