Proteksi Direktori Admin Login dengan .htaccess dan .htpasswd

Seiring banyaknya para attacker atau hacker yang menyerang banyak website, saya berfikir bagaimana untuk memberikan sedikit keamanan website kita dari serangan para hacker tersebut. Beberapa waktu lalu, saya menemukan sebuah celah keamanan pada sebuah website yang kemudian setelah berhasil saya masuk dan mengganti user dan password website tersebut, kemudian saya mencoba untuk login pada directory default / page login admin website tersebut. Tetapi apa yang saya dapat justru keluar  Authentication berupa kotak user dan password sebagai proteksi nya. Tujuannya adalah untuk memproteksi directory website tertentu dimana hanya memperbolehkan hak akses dengan username dan password yang dibuat oleh admin. Bisa di bilang cara tersebut sebagai double security admin page yang mana ketika berhasil login pada Authentication tersebut maka akan masuk di page login admin website nya.

Untuk membuat Authentication tersebut kita memerlukan dua buah file yang mana file pertama adalah .htpasswd berisi daftar username yang dibatasi dengan karakter titik dua (colon) “:”, dan diakhiri dengan sebuah password terenkripsi.

admin:$apr1$51li7Ny.$y0Fy4ZwqATihIFe9AayRI1

dieka:$apr1$1yy4ovfy$0c7svgkUybk3G5asCHXmQ.

htpassword tersebut dapat kita buat dengan menggunakan tools encrypt htpassword online di :

• http://www.htaccesstools.com/htpasswd-generator/
• http://sherylcanter.com/encrypt.php

Pilih salah satu..

Kemudian login pada Cpanel  atau server kalian masing-masing, masuk ke file managernya  root/public_html / dan masuk pada directory yang akan di proteksi, disini saya ambil contoh pada directory “wp-admin” page login admin cms wordpress root/public_html /wp-admin.

Kemudian buat file dengan nama file .htpassword dan isi username dan password yang sebelumnya udah di encrypt pada tools di atas.

Setelah  .htpassword dibuat, maka kita buat 1 file lagi yaitu .htaccess pada directory yang sama dan isikan script berikut :

# DO NOT REMOVE THIS LINE AND THE LINES BELOW PWPROTECTID:yGeNybaPyH
AuthType Basic
AuthName ” xdieka-civilx was here.. ”
AuthUserFile /home/usernamedirwebkamu/public_html/wp-admin/.htpasswd
Require user admin
# DO NOT REMOVE THIS LINE AND THE LINES ABOVE yGeNybaPyH:PWPROTECTID

Keterangan :

1. AuthUserFile adalah tempat anda menyimpan file .htpasswd (data login user)
2. AuthName adalah text yang akan di tampilkan pada Authentication login prompt

Jika sudah disimpan dengan nama .htaccess, kemudian coba masuk pada directory tersebut pada website anda.

alhasil???

Sekian tutorial dari saya, semoga cara ini dapat sedikit memberikan pengamanan pada website anda walaupun tidak 100% aman, tapi setidaknya kita telah berusaha memberikan keamanan pada website kita.