WordPress: Memproteksi Wp-login dari Brute Force

Jika situsweb Anda terus menerus mengalami serangan orang atau komputer yang digerakkan script untuk meretas, maka mungkin sudah saatnya mempertimbangkan memproteksi wp-login dari brute force attack di situsweb WordPress Anda. Salah satu indikasi serangan adalah situsweb menjadi lambat ketika diakses dan sering jatuh.

Brute force attack ke wp-login ke situsweb yang saya punya sudah berlangsung lama, dan itu pula salah satu alasan yang sempat membuat saya berpindah hosting selama beberapa bulan dengan mengambil paket VPS yang mahal. Namun persoalan bukannya selesai, malah menjadi rumit karena adanya masalah baru, dan itu menguras waktu serta tenaga.

Setelah kembali ke shared-hosting lama, lantaran masa kontraknya masih panjang, saya naikkan ke paket lebih tinggi. Namun website tetap sering jatuh. Sampai suatu saat seorang staf dukungan teknis memberi petunjuk untuk melihat Raw Access Logs di cPanel. Selama bertahun-tahun memakai cPanel, baru tahu ada alat analisis yang mencatat pengunjung website dengan sangat detail. Sungguh bodoh.

Ilmu memang sering diperoleh dengan cara yang tak mudah. Jika pun mestinya gampang, maka kebanyakan baru akan diperhatikan pada saat ia benar-benar dibutuhkan. Begitulah tabiat orang.

Petunjuk untuk memproteksi wp-login dari bruce force attack saya peroleh di situs ini. Namun saya tulis ulang agar Anda tidak melakukan kesalahan yang saya lakukan saat membuatnya. Saya tidak menganjurkan untuk password protect wp-admin, karena bisa membuat sejumlah plugin pada WordPress tidak bekerja.

Ikuti langkah-langkah sebagai berikut untuk memproteksi wp-login:

  1. Login ke cPanel, click File Manager
  2. Klik “Up One Level” pada menu
  3. Klik “New File” pada menu pojok kiri atas
  4. Ketik .wpadmin pada nama file, klik “Create New File”
  5. Klik tautan ini http://www.htaccesstools.com/htpasswd-generator/
  6. Ketik username sesuai kesukaan Anda: soblem (misalnya)
  7. Ketik password sesuai kesukaan Anda: sawilemNjot2andiKebon (misalnya)
  8. Klik tombol “Create .htpasswd”, dan akan muncul kode seperti ini soblem:$apr1$Ez69ZUR8$N9MvvnSTK5HKdcUQYM.3.0
  9. Kopi kode ini, paste di file .wpadmin yang Anda buat tadi, save, dan tutup filenya
  10. Buka file .htaccess
  11. Kopi dan paste kode ini ke file .htaccess dan pastikan GANTI username pada kode di bawah ini dengan username cPanel Anda.:

    ErrorDocument 401 "Unauthorized Access"
    ErrorDocument 403 "Forbidden"
    <FilesMatch "wp-login.php">
    AuthName "Authorized Only"
    AuthType Basic
    AuthUserFile /home/username/.wpadmin
    require valid-user
    </FilesMatch>

  12. Save, selesai. JANGAN dulu tutup file .htaccess Anda! Buka situsweb Anda, pastikan bisa dibuka. Jika ada error, teliti lagi script yang Anda paste karena mungkin ada yang tidak lengkap.

Jika tidak ada masalah dengan website, tutup file .htaccess dan setelah sekitar setengah jam atau lebih, coba buka Raw Access Logs, dan jika proteksi berjalan baik maka setiap akses ke wp-login akan mendapat respons http status 401 (Unauthorized).

Matched content

Bagikan tulisan ini di : Facebook | Twitter | WhatsApp | Email atau Print!
Home » Blog » WordPress » WordPress: Memproteksi Wp-login dari Brute Force
Tag :

Oleh Bambang Aroengbinang. BA lahir di Desa Mersi, Purwokerto, Jawa Tengah, sekarang tinggal di Jakarta. Seorang blogger dan pejalan musiman yang senang berkunjung ke situs, makam, dan tempat bersejarah. Menyukai pemandangan daratan subur dan pegunungan hijau ketimbang laut. Kontak BA. Subscribe via email untuk kabar tulisan terbaru. Diperbarui pada 23 Maret 2017.

Sebelumnya : «
Berikutnya : »
Lihat pula : Sitemap