Dengan menyembunyikan halaman admin / merubah URL wp-admin, wp-login.php, dan wp-signup.php tanpa plugin ini maka hanya admin saja yang tahu, keamanan halaman admin lebih terjaga. Selain itu Anda juga tak harus ribet pakai plugin tambahan khusus untuk proteksi admin page wordpress Anda.
Sebenarnya cara yang akan saya paparkan di sini adalah adaptasi dari plugin Better WordPress Security. Namun setelah saya pakai ternyata plugin ini sedikit memberatkan dan mengurangi kecepatan loading blog yang selalu saya prioritaskan. Disamping itu plugin ini juga meminta jumlah query ke database cukup banyak, padahal saya pikir plugin ini bekerja di belakang layar dan tidak mempengaruhi user interface blog secara signifikan. Dengan pertimbangan ini maka saya putuskan untuk tidak memakai dan mendisable plugin tersebut.
Dilihat dari salah satu cara kerja plugin ini, khususnya untuk Menyembunyikan dan Merubah URL Admin WordPress, ternyata plugin ini menambahkan sejumlah kode pada .htaccess. Dan dari sinilah saya adaptasi plugin ini lalu menambahkan kode tersebut pada .htaccess secara manual. Dan Ya, ternyata trik merubah URL halaman admin ini dapat bekerja walaupun tanpa plugin.
Cara Menyembunyikan Halaman Admin WordPress Rahasia
Untuk menyembunyikan URL wp-admin, wp-login.php dengan .htaccess ini mudah saja. Caranya cukup tambahkan kode di bawah ini (sebut saja kode WP admin Hide) pada file .htaccess di root folder website wordpress Anda, simpan saja pada baris paling bawah. Silahkan simak video bagi yang awam atau langsung salin kode sembunyikan halaman admin wordpress di bawah:
Untuk terjemah video ke bahasa Indonesia: pilih Settings-> CC – > Auto Translate -> pilih bahasa Indonesia.
# Mulai WP admin Hide <IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^masuk/?$ /wp-login.php?4y0co6at3b4k4ku [R,L] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^dashboard/?$ /wp-login.php?4y0co6at3b4k4ku&redirect_to=/wp-admin/ [R,L] RewriteRule ^dashboard/?$ /wp-admin/?4y0co6at3b4k4ku [R,L] RewriteRule ^daftar/?$ /wp-login.php?4y0co6at3b4k4ku&action=register [R,L] RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/wp-admin RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/wp-login\.php RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/masuk RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/dashboard RewriteCond %{HTTP_REFERER} !^(.*)finderonly.net/daftar RewriteCond %{QUERY_STRING} !^4y0co6at3b4k4ku RewriteCond %{QUERY_STRING} !^action=logout RewriteCond %{QUERY_STRING} !^action=rp RewriteCond %{QUERY_STRING} !^action=register RewriteCond %{QUERY_STRING} !^action=postpass RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L] RewriteCond %{QUERY_STRING} ^loggedout=true RewriteRule ^.*$ /wp-login.php?4y0co6at3b4k4ku [R,L] </IfModule> # Akhir WP admin Hide
(Ubah finderonly.net dengan nama situsmu)
CARA KERJA WP ADMIN HIDE
Dengan mengggunakan kode di atas, maka halaman default Admin WordPress yang semula menggunakan URL /wp-admin/, wp-login.php tidak akan bisa diakses dan justru malah menghasilkan halaman 404 (not_found / tidak ditemukan) atau 403 (Forbidden) (lihat pula Halaman 404 Keren Metro). Cara ini sangat manjur untuk mengelabui dan membuat h*cker atau defacer kesulitan menemukan halaman login atau halaman admin wordpress kita. Sebagai gantinya, halaman admin default dapat diakses dengan URL yang kita buat sendiri. Sesuai contoh kode di atas maka halaman admin berubah menjadi:
Sebelum »
http://www.mysite.net/wp-login.php
http://www.mysite.net/wp-admin/
http://www.mysite.net/wp-signup.phpSesudah »
http://www.mysite.net/masuk
http://www.mysite.net/dashboard/
http://www.mysite.net/daftar
Catatan penting: halaman admin yang baru di atas baru akan berlaku jika kita dalam keadaan logged in atau sudah masuk dashboard. Jika belum, maka Anda harus masuk dengan halaman admin wordpress Anda dengan URL yang baru. Nah, disinilah letak rahasia masuk halaman admin WordPress Anda. Anda harus menambahkan QUERY_STRING pada URL sesuai dengan query yang ditentukan. Berdasarkan kode di atas, maka Anda baru bisa masuk halaman login dengan URL berikut:
http://www.mysite.net/wp-login.php?4y0co6at3b4k4ku
Anda dapat mengubah query ?4y0co6at3b4k4ku dengan apapun menggunakan kombinasi angka dan huruf, semakin banyak jumlah karakter semakin baik. Gunakan kode yang sulit dan tidak mungkin ditebak orang lain dan pastikan pula hanya Anda yang tahu kode tersebut serta tentunya Anda bisa mengingatnya. Selain itu Anda juga dapat menyesuaikan URL admin sesuai keinginan Anda, misalnya halaman “masuk” dirubah dengan “enter” atau apapun yang sukar ditebak.
Tambahkan Juga Kode STRONG HTACCESS PROTECTION
Dewasa ini banyak sekali orang iseng dan tak bertanggung jawab mencoba menerobos dan mencari kelemahan situs berbasis wordpress. Parahnya banyak sekali yang mengatasnamakan h*cker dan menyertakan terima kasih pada Allah SWT, padahal’kan perbuatan jahatnya datang dari dirinya sendiri (Lho kok malah ngawur… :D). Sebagai platform blogging terbesar WordPress adalah sasaran empuk karena semakin banyak pengguna maka semakin banyak pula orang mengetahui kelemahannya. Layaknya manusia tak sempurna maka apalagi semua ciptaannya, dan tak peduli usaha kita melindungi kelemahan akan selalu ada. Namun yang penting dari itu adalah kita wajib melindungi dan mempertahankan apa yang kita miliki. Sebagai salah satu cara optimasi .htaccess , pastikan pula Anda melindungi file .htaccess dan dengan menambahkan kode berikut dan set permissionnya menjadi 444:
# STRONG HTACCESS PROTECTION <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
Kode di atas mencegah akses external terhadap semua file yang mengandung “.HTA”, “.hta” atau kombinasi case sensitive keduanya. Gambaran luasnya kode ini akan mencegah akses terhadap file-file berikut:
.htaccess
.HTACCESS
.hTaCcEsS
testFILE.htaccess
filename.HTACCESS
FILEROOT.hTaCcEsS
dan lain-lain…
OK deh sekian dulu, selamat mencoba dan semoga bermanfaat. Untuk optimasi .htaccess lainnya terlebih dalam meningkatkan kecepatan loading blog silahkan baca juga:
Pada waktu itu aku juga pernah saat melakukan blogging menggunakan platform wordpress self hosting juga menggunakan cara seperti dijelaskan diatas agar terhindar dari pihak yg tidak suka dengan situs kita.
Memang gan, ada aja yg suka iseng. Blog saya jg sering kena tp alhamdulillah masih bisa dipertahankan
Makasih banyak mas untuk triknya ini, saya baru aja kena serangan aneh, mau coba sembunyiin wp-login dkk pakai ini
sama2, sya jg masih pake cara ini kok
Nggak jadi masgan, udah bisa. Ternyata emang isi dari htaccess yang udah ada sebelumnya itu ngaruh.. Eheheheh. Makasih 😀
Yap, betul gan masih jalan kok kodenya 😀