Hari ini saya mencoba untuk masuk ke akun blog wordpress yang self hosted, seperti biasa saya ketikkan wp-admin tapi yang muncul bukannya form login tapi malah pop up Authentication Required yang meminta memasukan username dan password di browser saat akan melakukan login, kemudian saya coba masukkan username dan password blog tapi tidak bisa.
Karena ini pertama kali saya alami dan tidak tahu apa yang harus dilakukan, kemudian mencoba gugling sana-sini dan akhirnya menemukan solusi dari sebuah blog kasurnet.com, dikatakan kalau fitur tersebut bernama brute force protection/Attack protection yang berfungsi sebagai keamanan, ini dilakukan agar BOT yang mencoba login tidak bisa melewati Authentication ini sehingga akan terhindar dari bruteforce. Cara kerjanya yaitu meminta untuk memasukan kembali username dan password yang telah dimunculkan pada popup tersebut (bukan username dan password WordPress).
Kemudian saya teringat kalau kemarin blog terasa begitu lamban, mungkin karena ada serangan hack brute force yang menyerang wordpress wp-login mencoba menerobos website Wordress secara terus menerus untuk mencoba username dan password secara acak untuk mengakses Dashboard WordPress.
Oke, lanjut ke inti permasalahannya yaitu bagaimana menghilangkan pop up tersebut. Caranya cukup mudah kita hanya perlu sedikit memodifikasi file .htaccess dan menambahkan script dibawah ini :
1
2
3
|
<filesmatch "wp-login.php" > Satisfy Any </filesmatch> |
Cara menambahkan script diatas menggunakan CPANEL sebagai berikut:
- Masuk ke CPANEL hosting
- Buka File Manager dan centang show hidden file > Public_html > cari file .htaccess dan edit menggunakan text editor
- Copy Script diatas lalu paste pada baris paling bawah, dan Simpan
Silahkan coba untuk login kembali dan kali ini pop up Authentication Required sudah tidak akan muncul lagi.
Tambahan, untuk mencegah serangan hack brute force datang kembali kita harus mengganti URL Login yang awalnya namadomain.com/wp-admin bisa diganti dengan namadomain.com/loginanda. Caranya bisa menggunakan plugin Lockdown WP.
Semoga bermanfaat dan bisa melindungi blog kita.
Sumber : https://andihartono.net