Secara default, sebagian besar server web seperti Apache, NGINX, dan LiteSpeed mengaktifkan penelusuran direktori.
Artinya, orang dapat melihat konten (direktori) di situs web Anda.
Dari sudut pandang keamanan, Anda tidak ingin ini terjadi, karena Anda tidak ingin orang melihat struktur situs Anda.
Peretas dapat dengan mudah menemukan potensi kerentanan dalam tema dan plugin dengan merayapi file tersebut.
Mari kita mulai…
Jika Anda membuka tautan berikut dan menemukan banyak file, itu berarti penjelajahan direktori dinonaktifkan di server Anda.
Tautan: http://yoursitename.com/wp-includes/ (di mana nama situs WordPress Anda).
Jika tautan di atas berisi daftar folder, ini berarti penjelajahan direktori diaktifkan.
Jika penjelajahan direktori diaktifkan, akan terlihat seperti ini:
Kami akan menunjukkan kepada Anda cara menonaktifkannya untuk menghindari potensi masalah keamanan.
Beberapa informasi latar belakang tentang file indeks
Jika folder berisi file atau, maka server web, secara default, menjalankan atau mengunggah file itu ketika seseorang masuk ke folder itu.
Jadi jika seseorang melihat file di direktori dan ada file di sana maka itu tidak mungkin karena server web akan memanggil file PHP atau HTML tersebut.
Jika file index.php / html tidak ada di sana, siapa pun dapat membuat daftar isi direktori.
Mengacu pada direktori default di server web Anda. Semua situs web yang sesuai memiliki file index.php atau index.html di direktori dasarnya. Periksa situs web Anda sendiri, Anda akan menemukan bahwa folder dasar berisi file jika Anda menggunakan WordPress (atau CMS lainnya) atau file jika Anda menggunakan template HTML biasa.
Jadi mengapa menonaktifkan penjelajahan direktori?
Beberapa folder WordPress menyukai atau berisi data rahasia yang tidak diperlukan untuk mengintip. Seperti yang Anda ketahui, folder tersebut berisi tema, plugin, dan unggahan media Anda.
Siapa pun dapat dengan mudah menelusuri file media tersebut dan peretas dapat menemukan potensi kerentanan. Jadi ya, di satu sisi, Anda membuat pekerjaan peretas lebih mudah dengan tidak menonaktifkan penjelajahan direktori.
Cara menonaktifkan penelusuran direktori di WordPress
Menonaktifkan penjelajahan direktori di WordPress atau CMS atau situs web lain untuk kasus itu memerlukan akses ke direktori dasar melalui FTP atau beberapa pengelola file seperti cPanel.
Ada beberapa klien FTP gratis yang akan membantu Anda di sini, opsi yang bagus adalah FileZilla.
Anda hanya perlu membuat file .htaccess dengan baris kode berikut:
Options All -Indexes
Kemudian unggah file kembali ke folder masing-masing. Ini adalah gambaran umum dari proses tersebut. Dalam kebanyakan kasus, Anda mungkin sudah memiliki file .htaccess di dalam direktori instalasi WordPress Anda. Dibuat ketika pengaturan permalink telah berubah.
Berhati-hatilah: jangan menimpa file ini atau Anda akan kehilangan tautan permanen dan pengaturan keamanan lainnya.
Jika Anda sudah memiliki file .htaccess, buat cadangan terlebih dahulu. Kemudian buka di Notepad (atau editor teks biasa) dan tempel baris berikut di akhir:
Options All -Indexes
Secara umum, sebagian besar file .htaccess berisi kode berikut:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – (L)
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php (L)
# END WordPress
Kode yang dimodifikasi akan terlihat seperti ini:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – (L)
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php (L)
# END WordPress
Options All -Indexes
Simpan file dan unggah kembali ke direktori tempat Anda mengunduhnya, kali ini menimpa file tersebut. Jika ada yang rusak, gantilah dengan file cadangan Anda dan coba prosesnya lagi.
Setelah Anda menonaktifkan penjelajahan direktori, semua direktori yang sebelumnya terlihat sekarang mengarahkan Anda ke satu atau satu halaman. Bagaimanapun, itu berhasil.
Saya mencoba tutorial di pengaturan WAMP saya dan itu bekerja dengan sangat baik!
kesimpulan
Menonaktifkan penjelajahan direktori adalah salah satu tindakan pengamanan yang paling dirusak di antara sebagian besar webmaster. Sebagian besar dari mereka hanya melupakan kekosongan yang membuat pekerjaan peretas jadi lebih mudah.
Sebagai contoh praktis, berikut ini adalah gambar dari salah satu situs klien saya sebelum menerapkan perbaikan. Seperti yang Anda lihat, siapa pun dapat menelusuri unggahan media kapan pun mereka mau, bahkan yang telah diunggah tetapi tidak pernah ditampilkan di situs sebenarnya.
Saya harap saya dapat mengomunikasikan pentingnya menonaktifkan penjelajahan direktori dan cara melakukannya.
