Directory listing yang muncul di environment production berbahaya. Bagaimana cara disable directory listing Apache XAMPP dan beberapa web server lainnya?
Bagi yang sedang mengembangkan website, penting untuk memperhatikan keamanannya juga. Jika directory listing dapat diakses publik, ini merupakan celah keamanan.
Beberapa web server, secara default mengaktifkan directory listingnya, salah satunya Apache XAMPP. Itulah salah satu alasan tidak menggunakan XAMPP untuk environment production.
Lantas, apa itu directory listing dan mengapa directory listing seharusnya tersembunyi? Bagaimana cara menonaktifkan directory listing di Apache XAMPP, Nginx, LiteSpeed, dan Lighttpd? Berikut informasi lengkapnya.
Apa itu Directory Listing dan Kenapa Tidak Boleh Terlihat?
Apa itu Directory Listing dan apa bahayanya? Directory listing adalah fungsi dari web server untuk menampilkan isi direktori ketika dalam direktori tersebut tidak ada file index.html atau index.php.
Misalnya saja, jika Anda mengakses https://tonjoo.com/konten/ namun tidak ada file index.php dalam direktori konten, server mungkin akan menampilkan daftar file dan folder yang ada pada direktori tersebut. Contohnya seperti berikut:
Directory listing merupakan daftar direktori berisi konten website Anda yang dapat diakses melalui browser.
Jika Anda memutuskan menggunakan XAMPP sebagai web server untuk environment production, sebaiknya Anda disable directory listing ini.
Alasan kenapa directory listing tidak boleh terlihat karena dengan mengetahui struktur website, seseorang dapat mengakses file sensitif website Anda.
Contohnya file config database dan yang semisal, di mana informasi penting seperti username dan password disimpan.
Untuk bisa mengakses directory listing, memang seseorang harus sudah tahu path menuju directory listing ini. Jika path sudah diketahui, tentu ini bahaya.
Lantas, bagaimana cara menonaktifkan directory listing? Berikut ini kami sediakan cara disable directory listing Apache XAMPP. Namun selain itu, terdapat juga untuk tutorial web server lainnya.
Cara Disable Directory Listing Apache XAMPP
Jika Anda install xampp di Linux atau install XAMPP di Windows, secara default, directory listing di XAMPP memang aktif. Karena XAMPP memang didesain untuk environment development.
Maka dari itu, jika ingin menggunakan XAMPP untuk environment production, directory listing harus dinonaktifkan. Berikut ini cara menonaktifkan directory listing di XAMPP:
- Buka Control Panel XAMPP. Pastikan Apache sudah berjalan.
- Pada bari module Apache, klik Config > pilih opsi Apache (httpd.conf).
- Temukan baris Options. Ubah
+Indexesmenjadi-Indexes.<Directory /your/website/directory> Options -Indexes </Directory>
- Save konfigurasi yang sudah Anda lakukan.
- Restart Apache, kemudian coba akses path ke directory yang memunculkan directory listing. Jika sudah muncul error Forbidden, berarti sudah berhasil.
Dengan demikian, directory listing Anda tidak dapat diakses oleh publik. Namun ini hanya salah satu langkah pengamanan pada web server XAMPP.
Jika memang gigih menggunakan XAMPP untuk environment production, Anda juga perlu mengganti password MySQL XAMPP dan langkah proteksi lainnya.
Cara Disable Directory Listing di Web Server Lainnya
Berikut ini beberapa cara disable directory listing di webserver lain, yakni Nginx, LiteSpeed, dan Lighttpd:
1. Menonaktifkan Directory Listing di Nginx
Secara default, directory listing di Nginx sudah disable. Untuk memeriksa atau mengubah pengaturan directory listing di Nginx, lakukan langkah-langkah berikut ini:
- Buka file konfigurasi Nginx bernama
nginx.conf. Anda dapat menemukannya di path/usr/local/nginx/conf,/etc/nginx, atau/usr/local/etc/nginx. - Tampilan file
nginx.confseperti berikut:server { listen 80; server_name tonjoo.com www.tonjoo.com; access_log /var/...........................; root /path/to/root; location / { index index.php index.html index.htm; } location /somedir { autoindex on; } } - Lihat pada parameter baris ke 10. Jika
autoindex on, berarti directory listing enable. Untuk menonaktifkannya, ubah menjadiautoindex off. - Jika sudah, restart Nginx.
2. Disable Directory Listing di LiteSpeed
Apabila Anda menggunakan web server LiteSpeed, Anda dapat menonaktifkan directory listing pada web server ataupun website. Untuk menonaktifkan directory listing pada level web server, berikut langkah-langkahnya:
- Buka file konfigurasi LiteSpeed bernama
httpd_config.xmlatau menggunakan kontrol panel LiteSpeed. - Temukan baris
<indexFiles>index.html, index.php</indexFiles>. - Tambahkan kode
<autoIndex>0</autoIndex>di bawahnya. - Simpan dan restart.
Untuk menonaktifkan directory listing di level website, berikut langkah-langkahnya:
- Buka file path
/VIRTUAL_HOST_ADI/conf/vhconf.xml. - Temukan baris
<indexFiles>index.html, index.php</indexFiles>. - Tambahkan kode
<autoIndex>0</autoIndex>di bawahnya. - Simpan dan restart.
3. Disable Directory Listing di Lighttpd
Secara bawaan , directory listing di Lighttpd sudah disable. Namun jika dilakukan konfigurasi, kadang directory listing juga ikut enabled. Untuk menonaktifkannya, berikut caranya:
- Buka file
dirlisting.confdengan path/etc/lighttpd/conf.d/dirlisting.conf. - Jika terdapat baris
dir-listing.activate ="disable", artinya directory listing sudah non-aktif. - Jika masih
enable, ganti dengandisable. - Simpan dan restart.
Sudah Berhasil Disable Directory Listing Apache XAMPP?
Demikian tutorial tentang cara disable directory listing Apache XAMPP, Nginx, LiteSpeed, Lighttpd. Dengan menonaktifkan directory listing web server, satu celah keamanan telah tertutup.
Apabila belum yakin dengan sistem keamanan website Anda, berkonsultasi dengan jasa pengembang web seperti Tonjoo bisa Anda coba.
Terutama jika Anda membangun website korporasi besar atau pemerintah, tentu keamanannya harus benar-benar diperhatikan. Jangan sampai kejadian peretasan dengan menggunakan Google Dork terjadi lagi.
Baca artikel serupa oleh Moch. Nasikhun Amin di blog Tonjoo mengenai WordPress, WooCommerce, plugin, dan topik-topik pengembangan web lainnya.
Updated on August 15, 2024 by Moch. Nasikhun Amin
