Salah satu cara melindungi WP-Admin yaitu dengan menggunakan .htaccess, semua aktivitas situs WordPress dikendalikan dari WP-Admin. Sehingga apabila ada celah yang berhasil hacker exploitasi kemungkinan besar ia bisa masuk ke halaman belakang.
Kami pernah menulis beberapa artikel terkait cara melindungi situs WordPress berikut ini:
- Cara Melindungi WordPress dari Serangan Spam
- Cara Mengecek Versi Aman Plugin dan Tema WordPress
- Cara Mengamankan Password WordPress dengan Argon2ID
- Cara Mudah Mengganti Login WordPress
- Cara Mengamankan WP-Config.php WordPress
Setelah saya cek beberapa artikel kebelakang ternyata saya belum pernah membahas mengenai hal ini. Padahal cara ini cukup efektif melindungi situs WordPress dari serangan hacker jahat.
Kalau kamu mengikuti panduan dari beberapa situs online lainnya terkait cara melindungi WP-Admin dengan .htaccess. Kemungkinan besar kamu akan menemukan masalah pada admin-ajax.php dan admin-post.php.
Folder WP-Admin menjadi terproteksi dengan password sehingga request kepada file yang berada di dalamnya pun akan terblokir. Butuh sedikit penyesuian pada script .htaccess agar dua file tersebut sebaiknya tetap terbuka dan publik bisa akses.
Solusinya yaitu dengan menggunakan script .htaccess di bawah ini:
AuthType Basic
AuthName "Protected page"
AuthUserFile /home/.htpasswd
Require valid-user
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
<Files admin-post.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
<Files "\.(css|gif|png|js)$">
Order allow,deny
Allow from all
Satisfy any
</Files>Kita lihat bahwa request untuk ajax dan post tidak akan diblok, termasuk pada request ke berkas css, gif, png, dan js. Secara keseluruhan folder WP-Admin tetap membutuhkan autentikasi tambahan dengan password saat kamu akses.
Kamu juga bisa menggunakan tools online seperti Htpasswd Generator, untuk membuat berkas .htpasswd. Setelah berhasil membuat username dan pasword dengan menggunakan tools online di atas.
Tugas berikutnya yaitu kamu bisa mensalin hasil generate username dan password di atas, buatlah sebuah file .htpasswd pada folder /home/, bisa menggunakan File Manager pada cPanel, Plesk, dst. Atau bisa juga dengan menggunakan FTP.
Berarti kalau menggunakan FTP, kamu bisa menggunakan Notepad, Atom, dan semisalnya. Lalu kamu save as sebagai .htpasswd. Login dengan akun FTP, unggah file .htpasswd tadi.
Jika sudah berhasil, cobalah untuk mengakses halaman WP-Admin, akan muncul autentikasi tambahan yang baru saja kita buat ini. Semoga tips sederhana ini bisa bermanfaat ya!
