Dengan directory browsing, orang lain dapat mengakses folder WordPress yang kamu miliki. Dan kamu tentu tidak ingin hal itu terjadi bukan? Pada artikel kali ini, kita akan belajar cara mencegah directory browsing / directory listing agar situs WordPress kamu bisa lebih terlindungi.
Secara default, situs yang menggunakan server Apache seperti yang banyak dipakai hosting WordPress membolehkan orang untuk melihat isi folder WordPress yang kamu gunakan.
Hal ini disebut directory browsing atau drectory listing.
Bila kamu ingin tahu, coba akses salah satu link berikut ini:
http://namadomainkamu.com/wp-includes, atauhttp://namadomainkamu.com/wp-content/upload.
Bila kamu bisa melihat daftar berisi nama file atau folder, ini artinya situs kamu belum menonaktifkan fitur directory browsing / directory listing dan orang lain dapat dengan mudah mengakses isi folder situs kamu.
Dari segi keamanan, hal ini tentu menjadi masalah besar.
Dengan directory listing, orang yang berniat jahat bisa saja mencari celah keamanan yang ada pada situs kamu dengan lebih mudah.
Daftar Isi
Kenapa hal ini bisa terjadi?
Saya mungkin tidak akan menjelaskannya secara teknis, tapi directory browsing bisa dilakukan bila sebuah folder tidak memiliki file index.
Jika sebuah folder memiliki file dengan nama index.html atau index.php, maka kita tidak akan bisa melihat isi folder tersebut karena server justru akan menampilkan isi file tersebut.
Namun bila sebuah folder tidak memiliki file tersebut, maka kita bisa dengan mudah melihat isi folder tersebut melalui browser.
Cara Mencegah Directory Browsing pada WordPress
Ada beberapa cara yang bisa dilakukan untuk mencegah directory listing pada WordPress.
Beberapa plugin keamanan seperti Sucuri memiliki fitur untuk melakukan hal semacam ini. Namun pada artikel kali ini, kita akan mencegah directory browsing dengan dua cara manual, yaitu:
- Melalui fitur Indexes bawaan cPanel
- Menggunakan file .htaccess
Untuk kamu yang belum familiar dengan file .htaccess, silahkan merujuk ke tutorial cara membuat file htaccess yang pernah dibuat bisablog.com.
1. Mencegah Directory Browsing dengan fitur bawaan cPanel
Cara termudah untuk mencegah directory listing secara manual adalah dengan memakai fitur Indexes bawaan cPanel.
Untuk melakukannya, masuk ke cPanel dan pilih menu Advanced » Indexes.
Setelah itu akan muncul daftar folder yang dimiliki situs kamu, pilih salah satunya. Bila kamu bingung, pilih saja folder public_html.
Setelah itu akan ada empat pilihan, pilih No Indexing lalu simpan.
Bila kamu berhasil, akan ada tanda silang sebelum nama folder yang kamu pilih.
2. Mencegah Directory Browsing dengan File .htaccess
Mencegah directory browsing adalah salah satu tips dan trik htaccess terpopuler dan dapat dilakukan dengan cepat. File htaccess dapat dibuat dengan mudah secara manual melalui file manager cPanel atau menggunakan plugin Yoast SEO yang mungkin sudah kamu miliki.
Untuk membuatnya melalui cPanel, cukup ikuti langkah-langkah berikut ini:
- Masuk ke cPanel dan pilih menu file manager.
- Klik menu Settings dan centang opsi Show Hidden Files (dotfiles).
- Masuk ke folder
public_html. - Bila kamu sudah memilikinya, file htaccess kini akan terlihat. Bila belum, saatnya membuat file htaccess baru.
- Pilih menu File » New File dan buat file dengan nama .htaccess (ingat! ada titik di depannya), lalu simpan.
- Untuk menambahkan kode pada file htaccess, cukup klik menu Edit.
Setelah kamu berhasil membuatnya, tambahkan kode berikut ini:
Options All -Indexes
Sebagai catatan, file htaccess kamu mungkin sudah terisi oleh beberapa baris kode. Bila iya, tambahkan kode di atas setelah tag #END WordPress. Dengan begitu, file htaccess kamu akan terlihat seperti ini:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Options All -IndexesSimpan file htaccess dan kini coba akses kembali dua link yang saya beri sebelumnya.
Bila kamu berhasil, sekarang akan muncul pesan error 403 Access Forbidden atau error 404 Not Found Page seperti contoh berikut:
Forbidden
You don’t have permission to access /wp-includes/ on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
Penutup
Keamanan adalah salah satu hal yang harus mendapat prioritas tertinggi bila kamu memiliki sebuah website.
Mengetahui ada orang lain yang bisa mengakses isi folder WordPress tanpa sepengetahuan kamu tentu bukanlah hal yang menyenangkan.
Untuk itu selalu lakukan backup secara rutin dan gunakan plugin keamanan karena kita tidak tahu kapan bahaya akan mengancam.
Bila kamu lebih memilih cara manual, saya harap tutorial ini bisa banyak membantu.
Apakah kamu berhasil melakukannya? Bila kamu memiliki pertanyaan atau saran seputar pencegahan directory browsing, jangan sungkan meninggalkan komentar di bawah ini yah!
