Menyembunyikan URL Admin WordPress dengan htaccess

Dengan menyembunyikan dan merubah URL wp-admin, wp-login.php, dan wp-signup.php tanpa plugin ini maka hanya admin saja yang tahu, keamanan halaman admin lebih terjaga. Selain itu Anda juga tak harus ribet pakai plugin tambahan khusus untuk proteksi admin page wordpress Anda.

Sebenarnya cara yang akan saya paparkan di sini adalah adaptasi dari plugin Better WordPress Security. Namun setelah saya pakai ternyata plugin ini sedikit memberatkan dan mengurangi kecepatan loading blog yang selalu saya prioritaskan. Disamping itu plugin ini juga meminta jumlah query ke database cukup banyak, padahal saya pikir plugin ini bekerja di belakang layar dan tidak mempengaruhi user interface blog secara signifikan. Dengan pertimbangan ini maka saya putuskan untuk tidak memakai dan mendisable plugin tersebut.
Dilihat dari salah satu cara kerja plugin ini, khususnya untuk Menyembunyikan dan Merubah URL Admin WordPress, ternyata plugin ini menambahkan sejumlah kode pada .htaccess. Dan dari sinilah saya adaptasi plugin ini lalu menambahkan kode tersebut pada .htaccess secara manual. Dan Ya, ternyata trik merubah URL halaman admin ini dapat bekerja walaupun tanpa plugin.

Untuk menyembunyikan URL wp-admin, wp-login.php dengan .htaccess ini mudah saja. Caranya cukup tambahkan kode di bawah ini (sebut saja kode WP admin Hide) pada file .htaccess di root folder site Anda, simpan saja pada baris paling bawah.




# Mulai WP admin Hide
<IfModule mod_rewrite.c>
RewriteEngine On

RewriteRule ^masuk/?$ /wp-login.php?4y0co6at3b4k4ku [R,L]

RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?4y0co6at3b4k4ku&redirect_to=/wp-admin/ [R,L]

RewriteRule ^dashboard/?$ /wp-admin/?4y0co6at3b4k4ku [R,L]

RewriteRule ^daftar/?$ /wp-login.php?4y0co6at3b4k4ku&action=register [R,L]

RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/masuk
RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/daftar
RewriteCond %{QUERY_STRING} !^4y0co6at3b4k4ku
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]

RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?4y0co6at3b4k4ku [R,L]
</IfModule>
# Akhir WP admin Hide

(Ubah finderonly.net dengan nama situsmu)
CARA KERJA WP ADMIN HIDE

Dengan mengggunakan kode di atas, maka halaman default Admin WordPress yang semula menggunakan URL /wp-admin/, wp-login.php tidak akan bisa diakses dan justru malah menghasilkan halaman 404 (not_found [tidak ditemukan]) atau 403 (Forbidden). Cara ini sangat manjur untuk mengelabui dan membuat h*cker atau defacer kesulitan menemukan halaman login atau halaman admin wordpress kita. Sebagai gantinya, halaman admin default dapat diakses dengan URL yang kita buat sendiri. Sesuai contoh kode di atas maka halaman admin berubah menjadi:

Sebelum »
http://www.mysite.net/wp-login.php
http://www.mysite.net/wp-admin/
http://www.mysite.net/wp-signup.php

Sesudah »
http://www.mysite.net/masuk
http://www.mysite.net/dashboard/
http://www.mysite.net/daftar

Catatan penting: halaman admin yang baru di atas baru akan berlaku jika kita dalam keadaan logged in atau sudah masuk dashboard. Jika belum, maka Anda harus masuk dengan halaman admin wordpress Anda dengan URL yang baru. Nah, disinilah letak rahasia masuk halaman admin WordPress Anda. Anda harus menambahkan QUERY_STRING pada URL sesuai dengan query yang ditentukan. Berdasarkan kode di atas, maka Anda baru bisa masuk halaman login dengan URL berikut:

http://www.mysite.net/wp-login.php?4y0co6at3b4k4ku

Anda dapat mengubah query ?4y0co6at3b4k4ku dengan apapun menggunakan kombinasi angka dan huruf, semakin banyak jumlah karakter semakin baik. Gunakan kode yang sulit dan tidak mungkin ditebak orang lain dan pastikan pula hanya Anda yang tahu kode tersebut serta tentunya Anda bisa mengingatnya. Selain itu Anda juga dapat menyesuaikan URL admin sesuai keinginan Anda, misalnya halaman “masuk” dirubah dengan “enter” atau apapun yang sukar ditebak.
STRONG HTACCESS PROTECTION

Dewasa ini banyak sekali orang iseng dan tak bertanggung jawab mencoba menerobos dan mencari kelemahan situs berbasis wordpress. Parahnya banyak sekali yang mengatasnamakan h*cker dan menyertakan terima kasih pada Allah SWT, padahal’kan perbuatan jahatnya datang dari dirinya sendiri (Lho kok malah ngawur… :D). Sebagai platform blogging terbesar WordPress adalah sasaran empuk karena semakin banyak pengguna maka semakin banyak pula orang mengetahui kelemahannya. Layaknya manusia tak sempurna maka apalagi semua ciptaannya, dan tak peduli usaha kita melindungi kelemahan akan selalu ada. Namun yang penting dari itu adalah kita wajib melindungi dan mempertahankan apa yang kita miliki. Sebagai salah satu cara optimasi .htaccess , pastikan pula Andamelindungi file .htaccess dan dengan menambahkan kode berikut dan set permissionnya menjadi 444:







1

2

3

4

5

# STRONG HTACCESS PROTECTION

<Files ~ "^.*\.([Hh][Tt][Aa])">

order allow,deny

deny from all

satisfy all

</Files>





Kode di atas mencegah akses external terhadap semua file yang mengandung “.HTA”, “.hta” atau kombinasi case sensitive keduanya. Gambaran luasnya kode ini akan mencegah akses terhadap file-file berikut:



.htaccess
.HTACCESS
.hTaCcEsS
testFILE.htaccess
filename.HTACCESS
FILEROOT.hTaCcEsS
dan lain-lain…