Memiliki file .htaccess yang dikonfigurasi baik sangat penting jika kamu ingin meningkatkan keamanan dan mengurangi celah pada website WordPress kamu. Tujuan utam dari mengkonfigurasi file .htaccess adalah untuk mencegah website dari serangan hacker dan juga dapat digunakan untuk menangani redirects dan mengelola task yang berhubungan dengan cache.
File .htaccess digunakan oleh web server Apache, dan kebanyakan website WordPress berjalan pada server Apache. Pada artikel kali ini, kamu bisa menemukan koleksi kode htaccess, kebanyakan digunakan untuk menjaga keamanan website WordPress. Sebelumnya jangan lupa untuk mem-backup file .htaccess kamu sekarang, jadi jika ada apa-apa kamu bisa me-restore-nya.
1. Menolak Semua Akses ke File Htaccess
# Denies access to all .htaccess files
<Files ~ “^.*\.([Hh][Tt][Aa])”>
Order Allow,Deny
Deny from all
Satisfy all
</Files>
2. Melindungi Konfigurasi WordPress
File wp-config berisi semua konfigurasi WordPress, termasuk login database dan password. Kamu dapat menolak semua koneksi dan memberikan ijin hanya bagi admin untuk mengaksesnya.
# Protects wp-config <Files wp-config.php> Order Allow,Deny # Allow from xx.xx.xx.xxx # Allow from yy.yy.yy.yyy Deny from all </Files> Ganti xx.xx.xx.xx dan yy.yy.yy.yy dengan alamat IP admin kamu.
3. Mencegah Serangan XML-RPC DDoS
# Protects XML-RPC, prevents DDoS attack <FilesMatch "^(xmlrpc\.php)"> Order Deny,Allow # Allow from xx.xx.xx.xxx # Allow from yy.yy.yy.yyy Deny from all </FilesMatch>
Ganti xx.xx.xx.xx dan yy.yy.yy.yy dengan alamat IP admin kamu.
4. Lindungi Admin Area
# Protects admin area by IP AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> Order Deny,Allow Deny from all Allow from xx.xx.xx.xxx Allow from yy.yy.yy.yyy </LIMIT>
Ganti xx.xx.xx.xx dan yy.yy.yy.yy dengan alamat IP admin.
5. Mencegah Akses ke Directory Listing
Bagi yang ingin coba mengakses directory website WordPress kamu, akan muncul error 403.
# Prevents directory listing Options -Indexes
6. Block spammers and bots
# Blocks spammers and bots <Limit GET POST> Order Allow,Deny Deny from xx.xx.xx.xxx Deny from yy.yy.yy.yyy </Limit> Allow from all
Ganti xx.xx.xx.xxx dan yy.yy.yy.yyy dengan alamat IP yang ketahuan melakukan spam dan bot. Jika lebih dari dua tambahkan lagi dibawahnya Deny from xx.xx.xx.xxx.
7. Membatasi Akses Langsung ke File Plugin dan Theme
Sangat berbahaya jika seseorang dapat memanggil file plugin dan theme. Kode htaccess ini dari perusahaan keamanan Acunetix.
# Restricts access to PHP files from plugin and theme directories
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
8. Batasi Akses ke WP Includes
Folder wp-includes berisi file core WordPress yang dibutuhkan agar CMS ini dapat bekerja, jadi kamu harus melindunginya dengan kode htaccess seperti dibawah ini.
# Blocks all wp-includes folders and files <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
9. Blokir Serangan Cross-Site Scripting (XSS)
Kode htaccess ini dari WP Mix, yang dapat melindungi dari serangan umum XSS.
# Blocks some XSS attacks
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F,L]
</IfModule>
10. Mengaktifkan Browser Caching
# Enables browser caching <IfModule mod_expires.c> ExpiresActive On ExpiresByType image/jpg "access 1 year" ExpiresByType image/jpeg "access 1 year" ExpiresByType image/gif "access 1 year" ExpiresByType image/png "access 1 year" ExpiresByType text/css "access 1 month" ExpiresByType application/pdf "access 1 month" ExpiresByType text/x-javascript "access 1 month" ExpiresByType application/x-shockwave-flash "access 1 month" ExpiresByType image/x-icon "access 1 year" ExpiresDefault "access 2 days" </IfModule>
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.