Penggunaan Peraturan Kuat pada Fail .htaccess untuk Melindungi Blog

Pengenalan

Fail .htaccess ialah fail konfigurasi berkuasa untuk pelayan web Apache yang membolehkan anda mengawal pelbagai aspek keselamatan, prestasi, dan fungsi laman web WordPress anda pada peringkat direktori. Dengan menulis peraturan (rules) yang sesuai, anda boleh meningkatkan perlindungan blog daripada ancaman seperti penggodaman, hotlinking, dan akses tanpa kebenaran.

Peraturan Kuat .htaccess untuk Keselamatan Blog

Berikut ialah beberapa contoh peraturan .htaccess yang boleh digunakan untuk melindungi blog WordPress anda:

Menyekat Akses ke Fail dan Direktori Penting

• Lindungi wp-config.php: Fail ini mengandungi maklumat sensitif seperti butiran pangkalan data. Sekat akses terus kepada fail ini dengan menambah kod berikut dalam .htaccess:

  <Files wp-config.php>
  Order allow,deny
  Deny from all
  </Files>
  

  Ini memastikan hanya pelayan (server) sahaja yang boleh mengakses fail tersebut, bukan pengguna luar.
• Sekat akses ke wp-admin: Hadkan akses ke kawasan pentadbir (admin) hanya kepada alamat IP tertentu. Contoh kod:

  <IfModule mod_authz_core.c>
  <Location /wp-admin>
  Require ip xx.xx.xx.xx
  </Location>
  </IfModule>
  <IfModule !mod_authz_core.c>
  <Location /wp-admin>
  Order deny,allow
  Deny from all
  Allow from xx.xx.xx.xx
  </Location>
  </IfModule>
  

  Gantikan xx.xx.xx.xx dengan alamat IP anda. Ini menghalang akses ke wp-admin daripada IP lain.
• Lindungi direktori penting: Anda juga boleh menyekat akses ke folder tertentu seperti /wp-content/uploads/ atau /wp-includes/ jika perlu.

Mencegah Hotlinking

Hotlinking berlaku apabila laman web lain memaparkan imej dari pelayan anda tanpa kebenaran, yang boleh membebankan bandwidth. Gunakan peraturan berikut untuk menghalang hotlinking:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www\.)?domainanda\.com/.*$ [NC]
RewriteRule \.(gif|jpg|png)$ https://domainanda.com/hotlink.gif [R,L]

Gantikan domainanda.com dengan nama domain anda dan hotlink.gif dengan imej amaran hotlinking.

Menyekat IP yang Mencurigakan

Jika ada IP yang cuba menyerang atau melakukan aktiviti mencurigakan, anda boleh menyekatnya terus:

<Limit GET POST>
order allow,deny
deny from 123.45.67.89
deny from 98.76.54.32
allow from all
</Limit>

Gantikan contoh IP dengan IP sebenar yang ingin disekat.

Melumpuhkan Directory Browsing

Secara lalai, jika tiada fail index (seperti index.html) dalam sesuatu folder, kandungan folder itu boleh dilihat oleh sesiapa. Lumpuhkan ciri ini dengan:

Options All -Indexes

Ini menghalang pengguna luar daripada melihat senarai fail dalam direktori anda.

Perlindungan Kata Laluan untuk wp-admin

Tambahkan lapisan keselamatan tambahan dengan meminta kata laluan sebelum memasuki kawasan pentadbir:

<Files wp-login.php>
AuthName "Admin Area"
AuthType Basic
AuthUserFile /path/to/.htpasswd
Require valid-user
</Files>

Anda perlu mencipta fail .htpasswd yang mengandungi nama pengguna dan kata laluan yang sah.

Langkah Praktikal

1. Salin sandarkan fail .htaccess sebelum membuat sebarang perubahan.
2. Edit fail .htaccess menggunakan editor teks atau melalui cPanel.
3. Tambah peraturan mengikut keperluan keselamatan anda.
4. Simpan fail dan uji akses ke laman web anda untuk memastikan tiada isu berlaku.

Kesimpulan

Fail .htaccess ialah alat penting untuk meningkatkan keselamatan blog WordPress. Dengan menambah peraturan yang sesuai, anda boleh menyekat akses tidak dibenarkan, melindungi fail penting, mencegah hotlinking, dan menambah lapisan autentikasi tambahan. Pastikan anda memahami setiap peraturan sebelum menggunakannya dan sentiasa buat sandaran sebelum mengedit fail .htaccess.