Diluar penggunaan plugin keamanan untuk meningkatkan security pada website joomla, ada cara lain yang bisa anda lakukan untuk memproteksi wordpress anda dari para peretas, yaitu melalui file .htaccess. Pada tutorial kali ini akan dijelaskan beberapa baris skrip yang bisa dimasukkan pada .htaccess wordpress serta penjelasan dari fungsi skrip tersebut. Anda tidak perlu memasukkan semua skrip yang terdapat pada artikel ini nantinya, cukup masukkan apa yang menurut anda perlu.
Secara default, wordpress telah memiliki settingan .htaccess sebagai berikut :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Nantinya, anda bisa memasukkan kode-kode tambahan setelah kalimat #END WordPress. Dengan demikian, akan menjamin anda tidak merusak settingan .htaccess yang telah ada sebelumnya. Untuk amannya, lakukanlah backup pada file .htaccess anda sebelum melakukan pengeditan.
Memproteksi file wp-config.php
wp-config.php adalah file penting dalam sebuah website wordpress, yang fungsinya mengatur settingan wordpress seperti nama database dan password database yang sangat berbahaya jika isinya diketahui oleh peretas. Pada file .htaccess anda, tambahkanlah baris berikut :
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Akses wp-admin hanya diperbolehkan melalui IP Address anda saja
Dengan settingan berikut, anda bisa membatasi IP Address apa aja yang diperbolehkan untuk mengakses halaman wp-admin anda. Khusus untuk skrip ini, letakkan .htaccess nya terpisah ke dalam folder wp-admin.
Sebagai catatan, jangan melakukan settingan ini apabila koneksi anda berasal dari IP Dynamis.
order deny,allow
allow from 180.235.21.1 (ubah dengan IP Address anda)
deny from all
Memblok akses dari IP Address tertentu
Jika anda mengetahui IP Address yang sering berusaha untuk merusak website anda, anda dapat membloknya dengan skrip berikut pada .htaccess anda.
<Limit GET POST>
order allow,deny
deny from 203.120.9.8 (ubah dengan IP Address si peretas)
allow from all
</Limit>
Memblok akses Directory Browsing
Sekarang ini, wordpress telah dikenal oleh banyak orang, sehingga banyak yang mengetahui struktur folder suatu plugin/thema, yang bisa menjadi celah bagi peretas untuk merusak website anda. Tambahkan baris berikut pada .htaccess anda untuk mencegahnya.
# directory browsing
Options All -Indexes
Mencegah akses file ke folder wp-content
Pada folder wp-content terdapat file-file gambar maupun settingan terkait thema yang anda gunakan, sehingga harus ditambahkan security guna menjamin pengunjung hanya bisa mengakses langsung file-file tertentu saja, seperti gambar dan video saja. Khusus untuk skrip ini, file .htaccess harus dibuat terpisah, dan diletakkan di dalam folder wp-content anda.
Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>
Memprotek akses langsung ke file .htaccess
Setelah semua konfigurasi di atas, mungkin anda masih merasa takut peretas bisa merusak file .htaccess anda juga. Skrip berikut menjamin bahwa orang luar tidak akan bisa mengakses file .htaccess anda secara langsung, sehingga menjamin kerahasiaan settingannya.
# Protect the .htaccess
<files .htaccess="">
order allow,deny
deny from all
</files>
Demikianlah langkah-langkah untuk memproteksi website wordpress anda menggunakan .htaccess.