Pada kali ini saya akan memberikan tutorial Cara Proteksi WordPress admin login dengan .htaccess, Kamu dapat proteksi WordPress admin login dengan .htaccess rules untuk mencegah login yang tidak di inginkan.
Jika akses WordPress Anda diblokir karena serangan brute force WordPress ini akan membantu.
Langkah berikut membantu kamu untuk membuat batasan login ke WordPress admin berdasarkan IP address, atau referrer.
Aturan ini harus ditempatkan di bagian paling atas dari file .htaccess Anda agar berfungsi dengan baik.
Batasi akses admin WordPress via:
Password admin .htaccess yang kedua (Disarankan jika IP anda dinamik)
Single IP address
Multiple IP addresses
Perujuk tepercaya
Single IP address accessAnda bisa mengecek IP anda untuk mendapatkan alamat IP komputer anda.
Jika Anda menggunakan layanan penyaringan tingkat CloudFlare atau DNS, metode ini tidak akan berfungsi, Anda ingin menyiapkan kata sandi .htaccess sekunder untuk perlindungan.
Untuk mengizinkan akses dari satu alamat IP, ganti 123.123.123.123 dengan IP address anda:
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^123.123.123.123$ RewriteRule ^(.*)$ - [R=403,L]
Multiple IP address accessAnda bisa mengecek IP anda untuk mendapatkan alamat IP komputer anda.
Jika Anda menggunakan layanan penyaringan tingkat CloudFlare atau DNS, metode ini tidak akan berfungsi, Anda ingin menyiapkan kata sandi .htaccess sekunder untuk perlindungan.
Untuk mengizinkan akses dari satu alamat IP, ganti 123.123.123.xxx dengan IP address anda:
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^123.123.123.121$ RewriteCond %{REMOTE_ADDR} !^123.123.123.122$ RewriteCond %{REMOTE_ADDR} !^123.123.123.123$ RewriteRule ^(.*)$ - [R=403,L]
Dynamic IP address access, limit by refererJika alamat IP Anda berubah, Anda dapat melindungi situs WordPress Anda dengan hanya mengizinkan permintaan masuk datang langsung dari nama domain Anda. Cukup ganti example.com dengan nama domain anda sendiri
Kebanyakan serangan brute force bergantung pada pengiriman permintaan POST langsung ke skrip wp-login.php Anda. Jadi membutuhkan permintaan POST untuk memiliki domain Anda karena perujuk dapat membantu menyingkirkan bot.
RewriteEngine on RewriteCond %{REQUEST_METHOD} POST RewriteCond %{HTTP_REFERER} !^http://(.*)?example.com [NC] RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]
Anda sekarang harus memblokir upaya login admin WordPress yang tidak sah yang menggunakan peraturan .htaccess.