Mengatasi hasil scan Wordfence “Publicly accessible config, backup, or log file found: .user.ini”

Bagi pengguna plugin wordfence di versi 6.3.20 atau versi update terbaru, ketika anda melakukan proses scan maka akan terdeteksi file bernama .user.ini yang menurut wordfence file ini berpotensi disalahgunakan karena dapat diakses secara publik dan bisa jadi berisi source code atau informasi penting. Nah yang membuat menarik adalah ketika file tersebut dibuka, ternyata isinya mengarah ke file punya wordfence.

Jadi apakah file ini berbahaya? Jawabannya tidak, untuk kasus ini anda gak perlu panik karena memang file .user.ini dan wordfence-waf.php adalah file yang diciptakan wordfence ketika anda baru menginstall plugin kemudian disuruh untuk mengkonfigurasi firewall.

Lah gimana donk, berarti hasil scan tadi dibiarin aja? Dalam hal ini mending jangan dibiarkan, disamping masalah file tersebut jadi bisa diakses publik, hasil scannya pun bisa ngotorin history hasil scan, rasanya gak enak dipandang haha..

Gimana solusinya?

Ada beberapa solusi yang bisa dilakukan, pertama anda bisa gunakan menu Hide this file in .htaccess. Dengan menu tersebut wordfence akan membuat perubahan di .htaccess untuk mencegah web server memperbolehkan akses terhadap file .user.ini.

Cara lainnya adalah menambahkan secara manual ke .htaccess, jika anda menggunakan web server apache versi 2.2 atau 2.4 anda bisa menggunakan kode berikut:

<Files ".user.ini">
<IfModule mod_authz_core.c>
        Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
        Order deny,allow
        Deny from all
</IfModule>
</Files>

Dan jika anda menggunakan web server Nginx maka anda dapat menambahkan kode di konfigurasi blok server web anda, caranya buka blok server anda, biasanya berada di

/etc/nginx/sites-available/default

kemudian tambahkan kode berikut tepat diposisi yang sama dengan setting “location” lain

location ~ \.user\.ini$ {
	deny all;
}

Nah jika langkah diatas sudah anda lakukan, maka file .user.ini tidak akan bisa diakses oleh publik, dan ketika anda scan ulang, anda tidak akan menjumpai lagi problem yang berhubungan dengan akses file tersebut.

Leave a Reply