Cara Proteksi WordPress admin login dengan .htaccess

Kamu dapat mengunci WordPress admin login dengan .htaccess rules untuk mencegah login yang tidak di inginkan.

If your WordPress access is blocked due to WordPress brute force attacks this will help.

Limit WordPress admin login attempts

Langkah berikut membantu kamu untuk membuat batasan login ke WordPress admin berdasarkan IP address, atau referrer.

    1. Log ke akun cPanel.
    2. Temukan Files category dan klik File Manager.
      cpanel
    3. Klik Settings di kanan atas.

cpanel

  1. Pilih Document Root untuk domain Anda dan pastikan kotak centang di sebelah Show Hidden Files dicentang. Klik tombol Save.
    file-manager-show-hidden
  2. Lihat file .htaccess dan klik kanan. Kemudian akan muncul menu edit.
    file-manager-htaccess
  3. Anda mungkin memiliki kotak dialog encoding editor teks pop-up, Anda cukup mengklik Edit.
  4. Ada beberapa cara untuk membatasi akses ke bagian admin WordPress Anda menggunakan file .htaccess ini.

    Aturan ini harus ditempatkan di bagian paling atas dari file .htaccess Anda agar berfungsi dengan baik.

    Batasi akses admin WordPress via:

    Password admin .htaccess yang kedua (Disarankan jika IP anda dinamik)

    Single IP address

    Multiple IP addresses

    Perujuk tepercaya

    Single IP address access

    Anda bisa mengecek IP anda untuk mendapatkan alamat IP komputer anda.

    Jika Anda menggunakan layanan penyaringan tingkat CloudFlare atau DNS, metode ini tidak akan berfungsi, Anda ingin menyiapkan kata sandi .htaccess sekunder untuk perlindungan.

    Untuk mengizinkan akses dari satu alamat IP, ganti 123\.123\.123\.123 dengan IP address anda:

    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
    RewriteRule ^(.*)$ - [R=403,L]
    </IfModule>

    Multiple IP address access

    Anda bisa mengecek IP anda untuk mendapatkan alamat IP komputer anda.

    Jika Anda menggunakan layanan penyaringan tingkat CloudFlare atau DNS, metode ini tidak akan berfungsi, Anda ingin menyiapkan kata sandi .htaccess sekunder untuk perlindungan.

    Untuk mengizinkan akses dari satu alamat IP, ganti 123\.123\.123\.xxx dengan IP address anda:

    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.121$
    RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.122$
    RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
    RewriteRule ^(.*)$ - [R=403,L]
    </IfModule>
    Dynamic IP address access, limit by referer

    Jika alamat IP Anda berubah, Anda dapat melindungi situs WordPress Anda dengan hanya mengizinkan permintaan masuk datang langsung dari nama domain Anda. Cukup ganti example\.com dengan nama domain anda sendiri

    Kebanyakan serangan brute force bergantung pada pengiriman permintaan POST langsung ke skrip wp-login.php Anda. Jadi membutuhkan permintaan POST untuk memiliki domain Anda karena perujuk dapat membantu menyingkirkan bot.

    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_METHOD} POST
    RewriteCond %{HTTP_REFERER} !^http://(.*)?example\.com [NC]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteRule ^(.*)$ - [F]
    </IfModule>
  5. Tunggu minimal 15-20 menit, dan coba login ke situs WordPress anda lagi. Jika Anda mencoba mengakses dasbor WordPress dalam jendela 15 menit dari blok, ini bisa memperpanjang blok lebih lama. 

    Penting untuk menunggu blok sebelumnya kadaluarsa dan bersabar sebelum mencoba mengakses situs WordPress Anda lagi.

Anda sekarang harus memblokir upaya login admin WordPress yang tidak sah yang menggunakan peraturan .htaccess.

Apakah Artikel ini bermanfaat?
Beri tahu kami jika ini bermanfaat. Itulah satu-satunya cara kami dapat improve.
Ya0
Tidak0

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *