Simplicity is not Simple

Tips ini saya dapatkan setelah ngobrol-ngobrol sama Tyo. Kebetulan si Tyo ini suka banget memperhatikan sesuatu dari sudut di mana orang lain mungkin jarang memperhatikan. Bahkan sesuatu yang sangat detil dan kecil pun tak luput dari pandangannya. Suatu saat mungkin dia bisa jadi analis security yang mantab.

Mungkin ini udah basbang, tapi masih banyak juga yang kurang memperhatikan masalah ini. Ndak usah jauh-jauh, saya aja masih teledor untuk urusan yang satu ini. Bahkan beberapa web yang saya cek juga sama. Untung saya diingatkan. Matur nuwun, dab!

Ada suatu hal yang cukup “mengganggu” yang bisa jadi merupakan bugs dari WordPress. Sebenernya bukan kesalahan mutlak WP-nya, tetapi karena kebanyakan server-server hosting dikonfigurasikan agar direktori-direktori yang ada untuk bisa di-indeks, alias bisa dilihat isinya bila di dalam direktori itu tidak ditemukan file index.php atau pun index.html, maka seharusnya WP bisa mengantisipasi hal ini.

Bagi yang kebetulan konfigurasi direktorinya tidak mengijinkan peng-indeks-an, tips ini mungkin tidak berguna. Tetapi bagi mereka yang direktorinya bisa di-indeks secara default, bisa menjadi suatu bencana. Mulai dari melihat berbagai file di dalam direktori yang seharusnya tidak terlihat, hingga bisa saja user iseng bisa mengutak-atik isi direktori bila salah memberikan permission misalnya.

Mari kita cek apakah server kita mengijinkan peng-indeks-an direktori secara default atau tidak. Caranya mudah, coba buka alamat web kamu yang menunjuk ke sebuah direktori yang tidak ada file index.php atau pun index.html (kita sebut dengan direktori haram?). Contohnya, silakan buka http://url.wp.kamu/wp-includes/. Kalo muncul seperti gambar di bawah ini berarti direktori kamu bisa di-indeks.

Silakan dicoba pada direktori lainnya, misalkan /wp-content/plugins atau /wp-content/themes kalo ingin melihat plugins atau themes apa saja yang terinstall di WP seseorang. So, cukup “mengganggu”, bukan?

Cara mengatasinya cukup mudah sebenernya. Tinggal tambahkan saja sebuah file kosong yang diberi nama index.php atau index.html pada direktori haram? tersebut untuk menutup direktori tersebut. Sehingga bila kita mengakses direktori ini yang muncul hanyalah halaman kosong, seperti pada direktori /wp-content.

Oke, cara itu cukup efektif bila hanya ada sedikit direktori. Tetapi bagaimana kalo kita punya banyak direktori, misal pada /wp-content/uploads di mana pada direktori tersebut terdapat banyak direktori yang dibuat secara otomatis oleh WP? Memberikan file index.php atau index.html ke dalam masing-masing direktori sungguh pekerjaan yang kurang praktis, sayang!

Ada cara yang lebih praktis, tapi juga cukup njlimet bagi yang kurang familiar dengan hal-hal teknis, untuk mencegah diaksesnya direktori haram? ini, yaitu dengan memberikan akses FORBIDDEN (error 403) bila seseorang mencoba mengakses direktori haram? tersebut.

Bagaimanakah caranya? Eces bin gampang alias mudah! Sebaiknya kita harus tahu dulu bagaimana mengkonfigurasi sebuah webserver. Pada Apache HTTP Server, konfigurasi dilakukan pada file httpd.conf. Salah satu perintah untuk mengatur tingkah laku direktori berada pada directive directory dengan memberikan opsi Options Indexes FollowSymLinks yang berarti server hanya akan menampilkan indeks file dan symbolic link pada direktori ini.

Ah, pusing ngomongin soal teknis! Bagi yang doyan bermain tennis eh teknis, silakan baca manualnya!

Nah, karena kita tidak mempunyai akses ke file httpd.conf tersebut, kita bisa menggunakan file .htaccess yang berfungsi untuk mengatur konfigurasi secara lokal untuk disesuaikan dengan direktori yang kita inginkan. Dengan catatan, opsi ini diijinkan pada file konfigurasi utama httpd.conf dan biasanya opsi ini diaktifkan oleh adminnya.

Anggap kita punya file .htaccess dan diijinkan mengubah konfigurasi direktori melalui file .htaccess ini. File ini terletak pada direktori yang mo kita atur, dalam hal ini direktori utama dari WP kita. Kalo pun ndak ada file .htaccess ini, silakan buat dengan menggunakan teks editor, kemudian tuliskan atau sisipkan kode berikut ini pada file .htaccess tersebut. Ada baiknya untuk membuat back-up sebelum mengutak-atik file .htaccess ini.

Options FollowSymLinks
ServerSignature Off

Baris pertama untuk menghilangkan opsi indexes pada direktori, sehingga bila kita mengakses direktori haram? maka yang muncul adalah halaman error 403 alias FORBIDDEN. Sedangkan baris kedua digunakan untuk menghilangkan informasi server yang biasanya ikut muncul pada halaman error semacam ini.

Harus diingat bahwa dengan memberikan opsi ini pada .htaccess maka konfigurasi seluruh direktori di bawahnya akan ikut dengan direktori yang kita atur pada file .htaccess alias konfigurasinya besifat rekursif. Untuk mengembalikan direktori seperti semula, tinggal hapus saja opsi itu dari file .htaccess.

Kini, setiap kali orang iseng ingin melihat apa isi direktori kita, ia akan mendapatkan halaman error 403, sehingga data kita cukup aman dari mereka yang suka ngintipin perempuan direktori haram? ini.

Semoga bermanfaat!