Cuplikan .htaccess Terbaik untuk Meningkatkan Keamanan WordPress

Keamanan WordPress adalah salah satu faktor yang paling dirusak di kalangan blogger pemula. Dalam penginstalan WordPress tanpa pengawasan, ada beberapa kerentanan potensial yang dibiarkan tanpa pengawasan. Sebagian besar tutorial instalasi WordPress menjelaskan cara cepat dan mudah untuk menggunakan WordPress dalam hitungan menit. Tetapi mereka kehilangan beberapa faktor keamanan penting. Misalnya, penelusuran direktori dan penggunaan nama pengguna ‘admin’ dianggap sebagai celah keamanan yang serius. Hari ini kita akan melihat 10 cuplikan kode .htaccess yang akan membantu meningkatkan keamanan blog WordPress Anda. Sebelum kita mulai, mari kita lihat apa itu file htaccess.


Apa itu file .htaccess?

File htaccess adalah file konfigurasi opsional untuk ditafsirkan oleh server web Apache, untuk setiap direktori. Anda dapat menyimpan berbagai pengaturan dalam file tersebut seperti: kata sandi melindungi direktori, memblokir IP, memblokir file atau folder dari akses publik, dll. Secara tradisional, file .htaccess ada di direktori instalasi WordPress dasar. Ini menyimpan struktur permalink secara default.

TIP: Sebelum Anda mulai dengan tutorial, pastikan untuk membuat cadangan file .htaccess saat ini (jika ada) di layanan penyimpanan cloud seperti Dropbox. Ini untuk memutar kembali ke file .htaccess yang berfungsi terakhir diketahui, jika potongan kode tertentu merusak situs Anda. Mari kita mulai.

1. Blokir Bot Buruk

bot buruk

Salah satu penggunaan terbaik dari file .htaccess adalah kemampuannya untuk menolak beberapa alamat IP mengakses situs Anda. Ini berguna saat memblokir spammer yang diketahui dan asal lain dari akses yang mencurigakan atau berbahaya. Kode tersebut adalah:

# Blokir satu atau lebih alamat IP.
# Ganti IP_ADDRESS_ * dengan IP yang ingin Anda blokir


pesanan mengizinkan, menolak
tolak dari IP_ADDRESS_1
tolak dari IP_ADDRESS_2
izinkan dari semua

Di mana IP_ADDRESS_1 adalah IP pertama yang Anda ingin cegah dari mengakses situs Anda. Anda dapat menambahkan sebanyak mungkin IP yang Anda inginkan. Apa pun agen pengguna (browser) yang digunakan oleh alamat IP ini, mereka tidak akan dapat mengakses satu file dari server Anda. Server web akan secara otomatis menolak semua akses.

2. Nonaktifkan Perambanan Direktori

hack wordpress htaccess menonaktifkan penelusuran direktori

Ini adalah salah satu kelemahan keamanan yang paling dirusak di situs WordPress. Secara default, server web Apache memungkinkan penelusuran direktori. Ini berarti bahwa semua file dan folder di dalam direktori root (kadang-kadang disebut direktori home) dari server web terdaftar dan dapat diakses oleh pengunjung. Anda tidak menginginkannya karena Anda tidak ingin orang-orang menjelajah melalui unggahan media atau file tema atau plugin Anda.

Jika secara acak saya memilih 10 situs web pribadi atau bisnis yang menjalankan WordPress, 6-8 di antaranya tidak akan menonaktifkan penelusuran direktori. Ini memungkinkan siapa saja untuk mengendus sekitar wp-content / unggahan folder atau direktori lain yang tidak memiliki default index.php mengajukan. Bahkan, tangkapan layar yang Anda lihat adalah dari salah satu situs klien saya, sebelum saya merekomendasikan perbaikannya. Cuplikan kode untuk menonaktifkan penelusuran direktori:

# Nonaktifkan penelusuran direktori
Opsi Semua -Indeks

3. Bolehkan Hanya File yang Dipilih dari konten-wp

shutterstock_108312266

Seperti yang Anda ketahui konten-wp folder berisi sebagian besar tema, plugin, dan semua unggahan media Anda. Anda tentu tidak ingin orang mengaksesnya tanpa batasan. Selain menonaktifkan penelusuran direktori, Anda juga dapat menolak akses semua jenis file, simpan beberapa. Intinya, Anda dapat secara terbuka membuka blokir file seperti JPG, PDF, DOCX, CSS, JS, dll dan menolak dari yang lain. Untuk melakukan ini, rekatkan potongan kode ini dalam file .htaccess Anda:

# Nonaktifkan akses ke semua jenis file kecuali yang berikut ini
Order deny, allow
Tolak dari semuanya

Bolehkan dari semua

Anda harus membuat file .htaccess baru dengan kode dan menempelkannya di konten-wp map. Jangan letakkan ini di direktori instalasi dasar – selain itu tidak akan berfungsi. Anda juga dapat menambahkan jenis file apa pun ke daftar dengan menambahkan ‘|’ setelah ‘rar’. Daftar di atas berisi file yang diperlukan – XML, CSS dan JavaScript, format gambar dan dokumen umum dan akhirnya format arsip yang paling sering digunakan.

4. Batasi Semua Akses ke wp-include

shutterstock_135573032

Itu folder wp-include hanya berisi file yang benar-benar diperlukan untuk menjalankan versi inti WordPress – satu tanpa plugin atau tema apa pun. Ingat, tema default masih berada di wp-content / tema direktori. Dengan demikian, tidak ada pengunjung (termasuk Anda) yang memerlukan akses ke konten wp-include map. Anda dapat menonaktifkan akses menggunakan potongan kode berikut ini:

# Blok wp-include folder dan file

Tulis Ulang Hidup
RewriteBase /
RewriteRule ^ wp-admin / meliputi / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
RewriteRule ^ wp-include / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-compat / - [F, L]

5. Hanya izinkan Alamat IP yang Dipilih untuk Mengakses wp-admin

shutterstock_140373169

Itu wp-admin folder berisi file yang diperlukan untuk menjalankan dashboard WordPress. Dalam kebanyakan kasus, pengunjung Anda tidak memerlukan akses ke dasbor WordPress, kecuali mereka ingin mendaftarkan akun. Ukuran keamanan yang baik adalah dengan mengaktifkan hanya beberapa alamat IP yang dipilih untuk mengakses wp-admin map. Anda dapat mengizinkan IP dari orang-orang yang membutuhkan akses ke dashboard WordPress – editor, kontributor dan admin lainnya. Cuplikan kode ini hanya mengizinkan IP tetap untuk mengakses wp-admin folder dan menolak akses ke seluruh dunia.

# Batasi login dan admin oleh IP

pesanan ditolak, izinkan
tolak dari semua
bolehkan dari 302.143.54.102
bolehkan dari IP_ADDRESS_2

Pastikan Anda membuat file .htaccess baru dan menempelkannya di folder wp-admin dan bukan direktori instalasi dasar. Jika yang terakhir, tidak ada seorang pun kecuali Anda akan dapat menelusuri situs Anda – bahkan mesin pencari! Anda tentu tidak menginginkan itu. Beberapa penurunan ukuran ini adalah sebagai berikut:

  • Jika situs Anda mengizinkan atau mempromosikan pendaftaran pengguna baru, hampir tidak mungkin untuk melacak jumlah pengguna. Misalnya di WPExplorer, jika Anda ingin mengunduh tema gratis kami yang mengagumkan, maka Anda harus mendaftar.
  • Orang dengan alamat IP dinamis (sebagian besar pengguna broadband ADSL menggunakan protokol PPP atau PPPoE) memiliki IP mereka berubah, setiap kali mereka logout dan login ke ISP mereka. Tentu tidak praktis untuk melacak semua IP ini dan menambahkannya ke file htaccess.
  • Broadband seluler: Baik Anda menggunakan 3G atau 4G, alamat IP Anda tergantung pada menara seluler saat ini yang terhubung dengan Anda. Katakanlah Anda bepergian – IP Anda akan terus berubah dengan setiap beberapa mil Anda berpindah dari tempat asalnya. Sekali lagi, melacak file htaccess hampir mustahil.
  • Hotspot Wi-Fi Publik: Menggunakan kredensial ketika terhubung ke Internet menggunakan hotspot Wi-Fi publik adalah hal yang tidak boleh, karena anak dengan perangkat lunak kecil dapat mengekstraksi setiap karakter yang Anda ketikkan. Belum lagi, setiap hotspot Wi-Fi akan memiliki alamat IP yang unik.

Untungnya, semua kerugian ini (simpan yang pertama), dapat diperbaiki dengan menggunakan VPN. Jika Anda mengatur VPN Anda agar terhubung menggunakan hanya satu alamat IP, maka Anda bisa menambahkannya ke file htaccess Anda, dan semua masalah Anda akan terpecahkan.

6. Lindungi wp-config.php dan .htaccess dari semua orang

tips wordpress-ecommerce-keamanan-belanja-

Itu wp-config.php file berisi kredensial akses paling sensitif dari situs WordPress Anda. Ini berisi nama database dan kredensial akses dan berbagai data penting lainnya, di antara pengaturan lainnya. Dalam situasi apa pun Anda ingin orang lain melihat ke dalam file ini. Dan tentu saja, Anda ingin menonaktifkan akses publik ke sumber semua keamanan ini – the .htaccess file itu sendiri. Anda dapat menonaktifkan akses ke wp-config.php dengan kode berikut ini:

# Tolak akses ke file wp-config.php

pesanan mengizinkan, menolak
tolak dari semua

Untuk menolak akses ke semua file htaccess (ingat beberapa mungkin berada di wp-admin dan folder lain), gunakan potongan kode ini:

# Tolak akses ke semua file .htaccess

pesanan mengizinkan, menolak
tolak dari semua
memuaskan semua

7. Tolak Hotlinking Gambar

penghubung gambar

Salah satu peretas file .htac paling keren, yang ini mengirimkan pencakar konten yang berjalan dengan ekor di antara kedua kakinya. Ketika seseorang menggunakan gambar situs Anda, bandwidth Anda sedang dikonsumsi dan sebagian besar waktu, Anda bahkan tidak dikreditkan untuk itu. Cuplikan kode ini menghilangkan masalah itu dan mengirimkan gambar ini ketika hotlink terdeteksi.

# Cegah skrip hotlinking gambar. Ganti URL terakhir dengan tautan gambar apa pun yang Anda inginkan.
Tulis ulang pada
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Aktifkan Caching Browser

daftar browser web

Juga dikenal sebagai caching sisi klien, hack .htaccess ini dengan mengaktifkan opsi caching browser yang disarankan untuk situs WordPress Anda. Anda juga dapat menggunakannya di proyek lain – situs HTML, dll.

# Setup caching browser

Kedaluwarsa Aktif Aktif
Gambar ExpiresByType / jpg "akses 1 tahun"
Gambar ExpiresByType / jpeg "akses 1 tahun"
Gambar ExpiresByType / gif "akses 1 tahun"
Gambar ExpiresByType / png "akses 1 tahun"
Teks ExpiresByType / css "akses 1 bulan"
Aplikasi ExpiresByType / pdf "akses 1 bulan"
KedaluwarsaByType teks / x-javascript "akses 1 bulan"
Aplikasi ExpiresByType / x-shockwave-flash "akses 1 bulan"
Gambar / x-ikon KedaluwarsaByType "akses 1 tahun"
ExpiresDefault "akses 2 hari"

9. Redirect ke halaman Maintenance

shutterstock_93288208

Saat Anda memigrasikan hosting atau melakukan tugas pemeliharaan, selalu disarankan untuk membuat file HTML statis “untuk pemeliharaan” untuk memberi tahu pengunjung Anda bahwa situs web tersebut sedang menjalani operasi peningkatan atau pemeliharaan. Cukup buat file maintenance.html (atau nama file lainnya) dan unggah ke direktori instalasi WordPress dasar. Tempel cuplikan berikut di file .htaccess Anda. Setelah operasi selesai, pastikan untuk menghapus atau mengomentari baris ini untuk kembali ke operasi keseluruhan. Anda dapat berkomentar dengan menambahkan ‘#’ di awal setiap baris.

# Arahkan ulang semua lalu lintas ke file maintenance.html
Tulis ulang pada
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Halaman Kesalahan Kustom

404 templat

Anda juga dapat file .htaccess untuk mengonfigurasi halaman kesalahan khusus yang mudah digunakan untuk kesalahan seperti 403, 404 dan 500. Setelah Anda menyiapkan halaman kesalahan Anda – katakanlah error.html, unggah ke direktori instalasi WordPress dasar Anda. Kemudian tambahkan potongan kode berikut ke file .htaccess Anda untuk mengaktifkan halaman kesalahan khusus:

# Halaman kesalahan khusus untuk kesalahan 403, 404 dan 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Kesimpulan:

Hari ini kami telah mempelajari beberapa peretasan htaccess paling keren untuk memperkuat situs WordPress Anda. Saya menyarankan Anda untuk mencoba setiap modul satu per satu sambil mengambil cadangan file .htaccess sebelum dan sesudah menguji setiap modul. Ini karena file .htaccess sangat penting. Karakter ‘#’ yang hilang atau salah penempatan ‘‘Dapat menghancurkan integritas situs Anda. Jika Anda sering mengakses dashboard WordPress saat bepergian, disarankan untuk tidak mengaktifkan IP selektif untuk Anda wp-admin map.

Kepada Anda – apa pendapat Anda tentang pos ini? Apakah menurut Anda ini sepadan dengan kesulitan mengedit file htaccess? Apakah Anda tahu tip keamanan yang lebih baik? Kami ingin sekali mendengar dari Anda.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map