twitterfacebookgoogleyoutubemail
PENAWARAN
butuh jasa pembuatan website? klik GarudaCode

Perketat Keamanan WordPress Melalui .htaccess

Perketat Keamanan WordPress Melalui .htaccess

Masalah keamanan di WordPress seperti tidak usai untuk dibahas. Ya, menurut Saya ini adalah salah satu resiko dari open source project. Sifat CMS WordPress yang open source membuat setiap orang mulai dari yang punya ilmu website programming level rendah sampai level advance bisa melihat semua struktur bangunan CMS WordPress.

Pada postingan beberapa waktu lalu, Saya telah mengulas cara mengamankan WordPress dengan menggunakan dua plugin saja (Hanya Dua Plugin Keamanan WordPress Ini Situs Anda Aman), dan kemudian Saya juga ulas cara mengamankan WordPress lewat cPanel (Cara Amankan WordPress Lewat cPanel). Semua cara yang Saya ulas dan Saya tulis merupakan pengalaman pribadi Saya mengelola semua website klien berbasis WordPress di GarudaCode.Com.

Tidak ada keamanan abadi di dunia internet, hal tersebut memang benar, tapi selalu mengantisipasi serangan yang mungkin akan datang ke website kita adalah hal wajib, jika kita tidak ingin website yang telah dibangun dengan keringat, keruwetan hingga kepala jadi pusing diacak-acak mereka yang tidak bertanggungjawab.

Dulu website yang Saya kelola sering mendapatkan serangan, tapi ada positifnya, Saya malah diajak bergabung di komunitas Surabaya Black Hat oleh oknum yang ngedeface website Saya. Berdasarkan pengalaman itu, Saya kemudian belajar tentang cara mengamankan website, kemudian jenis-jenis serangan yang mungkin dilancarkan para defacer, hacker atau bahkan cracker.

Ulasan kali ini akan membahas cara mengamankan WordPress menggunakan file .htaccess. Pertama buatlah file .htaccess di direktori utama (public_html) hosting website Anda. File ini akan membatasi aktifitas user sesuai perintah yang dituliskan di dalam file tersebut.

Keamanan WordPress Melalui .htaccess

1. Blok Akses ke Konfigurasi Database

Jika data login database kita diketahui orang, ya sudah hancurlah website kita.

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

2. Lindungi File .htaccess

<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

3. Proteksi SQL Injection

Salah satu metode penyerangan terbanyak dari para hacker adalah dengan SQL Injection. Cobalah tulis script di bawah ini di file .htaccess Anda untuk mencegahnya.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

4. Blok Akses Listing Folder Browsing

Options All –Indexes

5. Buat Akses Login Tunggal

Dengan metode ini, Anda hanya bisa login dari IP yang dituliskan di file .htaccess ini. Jika Anda berada di jaringan IP lain, maka Anda tidak bisa mengakses file login WordPress.

<Files wp-login.php>
Order deny,allow
Deny from All
Allow from **.***.***.** (isi dengan alamat IP Anda)
</Files>

6. Blok Akses ke Folder wp-include

Folder wp-include tidak diperlukan untuk diakses oleh siapapun.

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

Semoga bisa bermanfaat artikel yang berdasarkan pengalaman penulis pribadi ini :D Lengkapnya bisa dilihat di sini.

dishare yah :)
Written by Ananda Puja

Penulis saat ini aktif dalam dunia Digital Media. Meliputi pembuatan website, campaign melalui media sosial seperti Facebook, Twitter, Youtube, hingga forum-forum online, SEO dan kontrol terhadap berita media massa. Selain itu penulis juga aktif di organisasi kemahasiswaan dan pemuda.

12 Comments

  1. Alvira Mohamad · June 8, 2015

    Hlo om, mau tanya. kenapa htaccess saya jika ditambahkan konfigurasi tambahan awalnya aman2 saja. tapi dalam kurung waktu tertentu berubah secara sendiri. Misalnya ada karakter yg hilagn jadi hasilnya error 500. Kalau mnggunakan konfigurasi default nya aman2 saja

    • Ananda Puja · June 8, 2015

      kemungkinannya ada dua mas, memang sudah ada yang menyusup ke cPanel, atau mas menggunakan plugin lain yang bisa menulis di file .htaccess, nah biasanya plugin yang semacam ini juga punya kesesuaian dengan hosting yang digunakan, semacam, Saya pernah menggunakan plugin w3 total cache, itu kan bisa ngutak ngatik file .htacess, nah Saya pernah pakai plugin itu di host lokal, ternyata ga kuat yang ada malah eror-eror, jadi mungkin karena faktor-faktor itu mas. cb d review aja plugin yg dpake mas

  2. Altavesia · December 19, 2015

    berati w3total gak aman ya bang, kami pake Spanel bang.www.altavesia.com

    • Ananda Puja · December 19, 2015

      W3Total ane ga mahir di sana, biasanya pake WpSuperCache, tapi itu tergantung dg hostingnya mas, klo hostingnya ga kuat mending jangan pake deh, hehe

  3. Alfiandar · August 26, 2016

    Saat saya menambah script untuk block akses ke wp include muncul pesan error 404 dari server ketika mengakses blog saya. Kenapa ya?

  4. arya · September 23, 2016

    mas pingin ikut gabung ke surabaya black hat giman ?? tapi situsnya suspended…
    saya coba smua yg di atas dimasukan ke htaccess,,ga pengaruh mas ?ap ad yg salah y

  5. Cara Pakai Tudung Bawal Terkini · December 30, 2016

    wah perlu dicoba ini tekniknya mas, tapi blog saya kok httaccess pernah berubah sendiri padahal gak pernah otak atik itu kenapa ya ?

  6. rezaw · March 24, 2017

    saya upload file .htaccess yg di atas, web saya jadi putih blank

Leave A Reply