Disable Handler PHP pada Uploadable Directory Apache

Penggunaan CMS memang memudahkan seseorang membuat web. CMS membantu sekali para wirausahawan muda dalam membuat usaha di bidang web. CMS digunakan oleh para pengembang mulai dari profesional hingga kelas pemula sekalipun. Hanya saja, kadang jika tidak dilengkapi dengan kehati-hatian penggunaan CMS dan plugins, CMS dapat menjadi bumerang bagi pemilik web.

Para cracker pemula, bersenjatakan dork yang dipublish pada situs-situs vulnerability publish, mencari bug-bug CMS dan plugins, selanjutnya melakukan cracking web, dan melakukan ritual vandalisme di sana. Plugins, memang memudahkan seseorang dalam melakukan custom webnya. Namun plugins juga menjadi celah besar kalau tidak malah masalah yang sesungguhnya. Salah satu celah tersebut dapat dimanfaatkan oleh para cracker.

Cracker, apapun metode hackingnya, memiliki target besar menuliskan sesuatu ke dalam DocumentRoot. Salah satu wujudnya adalah upload file. Biasanya para cracker akan memiliki target besar melakukan upload shell-shell script ke dalam web melalui directory yang sifatnya writable. Directory images dan files, adalah target bulan-bulanan para cracker. Setelah melakukan upload ke directory itu, mereka memanggilnya dari browser, dan .. bingo.. Halaman shell script sukses diupload.

Agak dilematis bagi si pemilik web.. Jika halaman upload dihilangkan writablenya, maka dia tidak bisa upload gambar web sendiri. Namun jika dibuka, dan ternyata plugins bocor, maka memudahkan jalan bagi cracker.

Ada tips yang dapat digunakan, antara lain adalah membuang handler PHP pada direktori-direktori yang biasa digunakan untuk upload, semisal files dan images. Directory selain itu akan kita no-writable. Sedangkan untuk files dan images akan tetap writable, namun file berekstensi PHP tidak akan dieksekusi. Caranya adalah dengan menambahkan pada .htaccess atau httpd.conf seperti berikut:
Untuk .htaccess:

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

Untuk httpd.conf, misal:


RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3

Restart apache anda dan buatlah sebuah file info.php dalam directory images anda, maka yang akan muncul hanyalah tulisan biasa yang tidak dieksekusi PHP oleh apache.. Lumayan untuk tambahan tips keamanan. Selamat mencoba

2 thoughts on “Disable Handler PHP pada Uploadable Directory Apache

Leave a Reply

Your email address will not be published. Required fields are marked *