[ASK] Cara Memprotek Folder wp-includes

Beberapa hari yang lalu saya terkejut membaca pesan peringatan di Google Console tentang terindexnya folder wp-includes dan sub folder di dalamnya pada salah satu website saya. Setelah saya cek, ternyata folder wp-includes website saya memang bisa diakses dengan mengetik langsung URL nya.

Hal itu memang akhirnya bisa saya atasi setelah saya tanya sana sini tapi yang membuat saya penasaran, kenapa folder wp-includes yang permissionnya masih 0755 dan seharusnya tidak bisa diakses koq bisa dibuka langsung, padahal saya sama sekali tidak pernah merubah permission maupun settingan htacces nya.

Ada apa dengan Wordpress? Karena kalau kita browsing dengan query "inurl /wp-includes" maka kita akan melihat terdapat ribuan website berbasis WP yang folder wp-includes nya terindex Google.

Buat aden ajeng yang punya website dari WP silahkan cek sendiri website masing-masing dengan mengetik URL domain-anda/wp-includes
Kalau ternyata bisa dibuka, tidak usah panik, karena anda bisa mengatasinya baik dengan plugin disable directory listings atau dengan merubah file htacces website anda.

Barangkali ada mastah yang lebih mengetahui cara mengatasinya, mohon berbagi pengalaman dengan mengomentari thread pertamax saya ini ya den/jeng..

Referensi :

1. digwp.com/2012/05/complete-list-wordpress-files
2. wpsuperstars.net/how-to-disable-directory-browsing-wordpress/
   
3. blog.sucuri.net/2010/05/seo-spam-network-details-of-the-wp-includes-infection.html
   
4. yoast.com/wordpress-robots-txt-example

 

Memang bisa diakses, namun kalau setingan benar akan muncul:
"You don't have permission to access /wp-includes/ on this server".

 

yang literasipublik kok bisa diakses Kang?

Sepertinya sudah terjawab

yup, memang rata-rata yang terindex Google itu karena pengaturan directory listings pada server diaktifkan sehingga ketika tidak terdapat file index pada suatu direktori akan terlihat bagian dalamnya.

 

Saya malah baru tahu, sudah lama gak buka blog WP, coba saya cek dulu

 

apa karena pengaruh dari update wordpress, settingan yang sudah kita atur balik lagi ke awal

tambahan:
bisa ditambahkan baris ini di htaccess

Code:

Options All -Indexes

 

wag gx pernah oprek giinian./.
setting template ajah mumet ommm wkwkw

 

Ups lupa setting deindex, masih pakai Pengaturan Sistem Default. Beda hosting dengan blog yang lain sih... tapi aman kok..

 

Apakah bisa di hack kalo foldernya bisa di akses seperti ini..

 

Hanya tahu "jerohan"nya saja. Selebihnya nggak dpt diakses.

 

Ini hanya pendapat saya, langkah awal untuk mengatasinya agar tidak terindex search bot yaitu
1. Disallow directori listening dari robots.txt
2. Proteksi dari root htaccess atau di dalam wp-includes/.htaccess

 

Bukannya bisa di setting /wp-includes di Disallow di robots.txt ya?

 

di website saya tidak bisa diakses lewat url langsung ../wp-includes

 

Secara default, Wordpress membatasi File Permission atau Hak Akses di cPanel.

 

WordPress sudah membatasi ini secara default...di robots.txt defaultnya memang tidak di proteksi karena tidak ada alasan kenapa harus diproteksi? karena directory tersebut inaccessible buat public. Ini default konfigurasi robots.txt WP:

User-agent: *
Disallow: /wp-admin/
Allow: /wp-admin/admin-ajax.php

Kalau mau, bisa ditambahkan wp-includes disana, meski saya ga yakin ini perlu dilakukan.

Yang wajib dilakukan adalah melakukan update WP secara teratur dan memilih web hosting yang terpercaya