Pada kali ini saya akan memberikan tutorial Cara Proteksi WordPress admin login dengan .htaccess, Kamu dapat proteksi WordPress admin login dengan .htaccess rules untuk mencegah login yang tidak di inginkan.

Proteksi WordPress admin

Limit WordPress admin login attempts

Langkah berikut membantu kamu untuk membuat batasan login ke WordPress admin berdasarkan IP address, atau referrer.

1. 1. Log ke akun cPanel.
   2. Temukan Files category dan klik File Manager.
      
   3. Klik Settings di kanan atas.

1. Pilih Document Root untuk domain Anda dan pastikan kotak centang di sebelah Show Hidden Files dicentang. Klik tombol Save.
   
2. Lihat file .htaccess dan klik kanan. Kemudian akan muncul menu edit.
   
3. Anda mungkin memiliki kotak dialog encoding editor teks pop-up, Anda cukup mengklik Edit.
4. Ada beberapa cara untuk membatasi akses ke bagian admin WordPress Anda menggunakan file .htaccess ini.

   Aturan ini harus ditempatkan di bagian paling atas dari file .htaccess Anda agar berfungsi dengan baik.

   Batasi akses admin WordPress via:

   Password admin .htaccess yang kedua (Disarankan jika IP anda dinamik)

   Single IP address

   Multiple IP addresses

   Perujuk tepercaya

   Single IP address accessAnda bisa mengecek IP anda untuk mendapatkan alamat IP komputer anda.

   Jika Anda menggunakan layanan penyaringan tingkat CloudFlare atau DNS, metode ini tidak akan berfungsi, Anda ingin menyiapkan kata sandi .htaccess sekunder untuk perlindungan.

   Untuk mengizinkan akses dari satu alamat IP, ganti 123.123.123.123 dengan IP address anda:

   RewriteEngine on
   RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
   RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
   RewriteCond %{REMOTE_ADDR} !^123.123.123.123$
   RewriteRule ^(.*)$ - [R=403,L]
   

   Multiple IP address accessAnda bisa mengecek IP anda untuk mendapatkan alamat IP komputer anda.

   Jika Anda menggunakan layanan penyaringan tingkat CloudFlare atau DNS, metode ini tidak akan berfungsi, Anda ingin menyiapkan kata sandi .htaccess sekunder untuk perlindungan.

   Untuk mengizinkan akses dari satu alamat IP, ganti 123.123.123.xxx dengan IP address anda:

   RewriteEngine on
   RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
   RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
   RewriteCond %{REMOTE_ADDR} !^123.123.123.121$
   RewriteCond %{REMOTE_ADDR} !^123.123.123.122$
   RewriteCond %{REMOTE_ADDR} !^123.123.123.123$
   RewriteRule ^(.*)$ - [R=403,L]
   

   Dynamic IP address access, limit by refererJika alamat IP Anda berubah, Anda dapat melindungi situs WordPress Anda dengan hanya mengizinkan permintaan masuk datang langsung dari nama domain Anda. Cukup ganti example.com dengan nama domain anda sendiri

   Kebanyakan serangan brute force bergantung pada pengiriman permintaan POST langsung ke skrip wp-login.php Anda. Jadi membutuhkan permintaan POST untuk memiliki domain Anda karena perujuk dapat membantu menyingkirkan bot.

   RewriteEngine on
   RewriteCond %{REQUEST_METHOD} POST
   RewriteCond %{HTTP_REFERER} !^http://(.*)?example.com [NC]
   RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
   RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
   RewriteRule ^(.*)$ - [F]
   

5. Tunggu minimal 15-20 menit, dan coba login ke situs WordPress anda lagi. Jika Anda mencoba mengakses dasbor WordPress dalam jendela 15 menit dari blok, ini bisa memperpanjang blok lebih lama.Penting untuk menunggu blok sebelumnya kadaluarsa dan bersabar sebelum mencoba mengakses situs WordPress Anda lagi.

Anda sekarang harus memblokir upaya login admin WordPress yang tidak sah yang menggunakan peraturan .htaccess.