BerandaFramework PHPCara Menonaktifkan Directory Listing di Apache, Nginx, dan IIS
Framework PHPInternet

Cara Menonaktifkan Directory Listing di Apache, Nginx, dan IIS

by Bardimin

Directory listing adalah fitur server yang menampilkan daftar file dan folder ketika tidak ada file indeks. Menonaktifkannya merupakan langkah kritis dalam keamanan website untuk mencegah information disclosure. Artikel ini membahas risiko directory listing, cara menonaktifkannya di Apache, Nginx, dan IIS, serta praktik terbaik untuk melindungi direktori server Anda.

Apa Itu Directory Listing dan Mengapa Perlu Dinonaktifkan?

Directory listing (atau daftar direktori) adalah perilaku default server web yang menampilkan seluruh isi direktori jika tidak ada file indeks seperti index.html, index.php, atau default.htm. Browser kemudian menampilkan daftar file dan folder dalam format hyperlink, sehingga pengunjung dapat mengakses atau mengunduh file tersebut secara langsung.

Fitur ini sebenarnya berguna untuk debuging atau berbagi file secara cepat. Namun, dari sisi keamanan, directory listing menjadi celah serius. Penyerang dapat memanfaatkannya untuk menemukan file sensitif seperti backup database, file konfigurasi (.env, config.php), log, atau skrip yang tidak seharusnya diakses publik. Informasi ini dapat digunakan untuk melancarkan serangan lebih lanjut, seperti forced browsing atau enumerasi direktori.

Baca juga: Amankan Login Yii2 dari Brute Force dengan CAPTCHA

Membiarkan directory listing aktif sama saja dengan memberikan peta lokasi semua file sensitif Anda kepada calon penyerang.

Contoh Directory Listing yang Aktif

Jika directory listing tidak dinonaktifkan, ketika seseorang mengakses direktori tanpa file indeks, mereka akan melihat tampilan seperti berikut.

Contoh directory listing yang aktif menampilkan daftar file dan folder
Contoh directory listing yang aktif: semua file dan folder terlihat jelas

Cara Menonaktifkan Directory Listing di Berbagai Server

Metode penonaktifan directory listing bergantung pada jenis server web yang Anda gunakan. Berikut panduan teknis untuk server yang paling umum: Apache, Nginx, dan IIS.

1. Menonaktifkan Directory Listing di Apache

Di Apache, Anda dapat mengontrol directory listing melalui file .htaccess atau konfigurasi virtual host. Dua direktif utama yang sering digunakan adalah Options -Indexes dan IndexIgnore.

Menggunakan Options -Indexes

Tambahkan baris berikut ke dalam file .htaccess di root direktori atau di dalam blok <Directory> pada konfigurasi utama:

Baca juga: Menghilangkan Frontend Web Yii2 di Apache dan Nginx

Options -Indexes

Direktif ini melarang Apache untuk menampilkan daftar direktori. Ketika pengguna mengakses direktori tanpa file indeks, server akan mengembalikan respons 403 Forbidden. Ini adalah metode yang paling direkomendasikan karena benar-benar memblokir akses.

Tampilan error 403 Forbidden setelah menonaktifkan directory listing dengan Options -Indexes
Setelah menerapkan Options -Indexes, browser menampilkan pesan 403 Forbidden

Menggunakan IndexIgnore

Alternatif lain adalah direktif IndexIgnore yang berfungsi menyembunyikan file atau direktori tertentu dari tampilan listing. Contoh:

IndexIgnore *

Perintah ini menyembunyikan semua file sehingga listing direktori tampak kosong. Namun, berbeda dengan Options -Indexes, direktori tetap dapat diakses jika pengguna mengetahui nama file secara langsung. Oleh karena itu, IndexIgnore tidak seaman Options -Indexes.

Hasil dari IndexIgnore *: direktori tampak kosong meskipun sebenarnya berisi file
Hasil dari IndexIgnore *: direktori tampak kosong meskipun sebenarnya berisi file

Peringatan: Jika menggunakan Options -Indexes dan tetap ingin mengizinkan akses ke file tertentu, Anda dapat mengombinasikannya dengan DirectoryIndex atau aturan rewrite.

Baca juga: Cara Membuat Domain Controller pada Windows Server

2. Menonaktifkan Directory Listing di Nginx

Nginx memiliki modul ngx_http_autoindex_module yang mengatur directory listing. Secara default, autoindex dalam keadaan off. Namun, Anda dapat memastikannya dengan menambahkan konfigurasi berikut di dalam blok location atau server:

location / {
    autoindex off;
}

Jika Anda ingin menonaktifkan untuk seluruh server, letakkan di blok http atau server. Untuk memeriksa apakah autoindex aktif, gunakan perintah nginx -T untuk melihat konfigurasi lengkap.

3. Menonaktifkan Directory Listing di IIS (Internet Information Services)

Di IIS, directory listing dikelola melalui fitur Directory Browsing. Anda dapat menonaktifkannya melalui IIS Manager:

  • Buka IIS Manager, pilih situs atau direktori yang ingin dikonfigurasi.
  • Klik ganda fitur Directory Browsing.
  • Pada panel Actions, klik Disable.

Alternatif, Anda dapat mengubah konfigurasi melalui file web.config dengan menambahkan elemen berikut:

<configuration>
  <system.webServer>
    <directoryBrowse enabled="false" />
  </system.webServer>
</configuration>

Metode Alternatif: Membuat File Indeks Kosong

Jika Anda tidak memiliki akses ke konfigurasi server, cara paling sederhana adalah dengan membuat file indeks kosong di setiap direktori. Cukup buat file bernama index.html (atau index.php) tanpa konten. Ketika pengguna mengakses direktori, server akan menampilkan halaman kosong atau mengalihkan ke file tersebut.

Metode ini efektif untuk website kecil, tetapi tidak praktis jika Anda memiliki ribuan direktori. Selain itu, file indeks kosong tetap dapat diakses dan tidak memberikan perlindungan jika seseorang mencoba menebak nama file.

Untuk keamanan maksimal, kombinasikan pembuatan file indeks dengan penonaktifan directory listing di level server.

Praktik Terbaik Keamanan Direktori

Selain menonaktifkan directory listing, ada beberapa langkah tambahan yang perlu dilakukan untuk melindungi direktori server:

  • Batasi akses dengan autentikasi: Gunakan .htpasswd di Apache atau fitur otentikasi di Nginx/IIS untuk melindungi direktori administratif.
  • Letakkan file sensitif di luar document root: File konfigurasi dan data penting sebaiknya disimpan di direktori yang tidak dapat diakses melalui web.
  • Periksa secara berkala: Gunakan alat pemindai keamanan atau crawler untuk mendeteksi apakah ada direktori yang masih mengaktifkan listing.
  • Nonaktifkan eksekusi skrip di direktori upload: Dengan konfigurasi Options -ExecCGI di Apache atau aturan serupa di server lain.

OWASP (Open Web Application Security Project) merekomendasikan untuk selalu menonaktifkan directory listing sebagai bagian dari hardening server. Anda dapat membaca panduan resminya di halaman OWASP tentang forced browsing.

Kesimpulan

Menonaktifkan directory listing adalah langkah fundamental dalam mengamankan website. Dengan mengikuti panduan di atas, Anda dapat mencegah kebocoran informasi yang tidak disengaja. Pilih metode yang sesuai dengan infrastruktur server Anda: gunakan Options -Indexes di Apache, autoindex off di Nginx, atau disable directory browsing di IIS. Jangan lupa untuk mengombinasikannya dengan praktik keamanan lainnya guna menciptakan pertahanan berlapis.

Untuk dokumentasi lebih lanjut, kunjungi situs resmi Apache mod_autoindex dan Nginx ngx_http_autoindex_module.

Table of contents [hide]

Artikel Terbaru

Artikel Terkait