Modifikasi HTTP Respon Header

Pada saat pengunjung situs web (client) membuka peramban lalu mengetik URL (Uniform Resource Locator) www.example.com maka perintah/permintaan HTTP (HyperText Transfer Protocol) tersebut akan direspon oleh web server. Respon dari server terdiri dari header dan body yang berupa data dalam format audio, gambar, hypertext, plaintex, video, dan lain-lain yang akan tampil pada browser pengunjung.

Tanggapan/respon header dari server di layar pengunjung, client, kata para pakar keamanan situs web mungkin saja merupakan publikasi informasi sensitif yang dapat mengarah isu celah keamanan. Nah, tujuan modifikasi respon header (Modify HTTP Response Headers) adalah untuk mengurangi informasi server terutama versi Apache dan PHP tampilan pada browser tidak akurat. Akan tetapi triks ini hanya berlaku pada request dari aplikasi online sejenis Header Check Tools, atau HTTP Headers and Status Check Tool, namun informasi masih dapat ditembus dengan aplikasi scanner web site.

Meskipun dapat ditembus oleh scanner tak apa-apalah buat lucu-lucuan. Barangkali ada orang iseng yang mengecek respon header dari aplikasi online dan ternyata blog masih menggunakan PHP dan Apache versi jadul, maka tidak ketahuan. Dan bila selalu menggunakan versi terbaru agar tidak sombong karena respon header yang tampil dikacaukan. Gitu aja cukup, tidak usah muluk-muluk menutup celah keamanan karena tidak ada komputer yang terhubung dengan jaringan internet yang benar-benar aman.

Contoh respon header “X-Powered-By: PHP/5.2.17” atau “Server: Apache/versi XXX” memberi informasi versi PHP dan Apache yang digunakan. Apabila hosting blog menggunakan dedicated server maka menyembunyikan versi PHP mudah yaitu dengan menambah kode di file php.ini “expose_php = Off”. Tetapi pelanggan share hosting tidak dapat mengubah pengaturan server secara global, kecuali teriak tolong-tolong ke adm*n*strator web server. Itu pun bila adm*n*stratornya mau mengubah dan menyembunyikan versi Apache dan PHP.

Bila beruntung informasi respon header dapat ditimpa hanya dengan menambah kode di file functions.php. Misalkan akan menyembunyikan atau menimpa versi PHP.

 
// override PHP X-Powered-By Mr X
header('X-Powered-By: Mr X');

Blog ini menggunakan plugin WP-Super Cache maka cara penambahan pada file function.php tidak efektif. Kode respon header yang akan ditampilkan pada browser adalah informasi yang terdapat pada file wp-cache-phase1.php. Dengan demikian saya modifikasi http respon header pada baris 188-194 direktori wp-content/plugins/wp-super-cache file wp-cache-phase1.php.

Di antaranya mengubah respon header Expires dan X-Powered-By. Respon header lain dapat ditambahkan sesuai kebutuhan dengan menimpa kode header.

 
header( "Expires: Domain 24-Apr-2017" );
header( "X-Powered-By: Isnan Wijarno" );

Respon header yang ditampilkan sebenarnya bermanfaat bagi browser untuk menafsirkan isi dari situs web. Di antaranya server header apakah menggunakan Apache, IIS atau yang lain. Juga informasi tentang Content-Type, Connection, Set-Cookie, Content-Encoding, dan lain lain. Dengan demikian sebaiknya jangan dikacaukan semua informasi respon header agar browser dapat akurat menerjemahkan isi situs web Anda.