Seperti postingan saya terdahulu tentang bagaimana melindungi blog WordPress Anda dari serangan SQL Injection, maka pada postingan kali ini pun saya masih membahas masalah security pada blog ber-engine WordPress (khusus untuk blog dengan custom domain/self hosting) dengan menggunakan htpasswd file dari serangan brute-force dan sejenisnya.

HTPASSWD file digunakan untuk memproteksi sebuah website atau direktori khusus dengan menggunakan HTTP Auchentication yang berisi daftar username dan password yang telah dienkripsi (hashed password). Pada dasarnya server Apache akan menggunakan informasi tersebut untuk melakukan autentifikasi terhadap user yang bermaksud mengakses sebuah website atau direktori yang telah diproteksi oleh HTPASSWD tersebut dengan menampilkan kotak dialog HTTP Authentication.

File .htpasswd berisi daftar username yang dibatasi dengan karakter titik dua (colon) ":", dan diakhiri dengan sebuah password terenkripsi, seperti tampak pada contoh di bawah ini:

steven:$apr1$k7QjkNty$tSd4grHRifUzCC8L9EBN51
jones:$apr1$Z5SbWNdp$oJqAVhLCvVRMSgeEADeT6/ 

Bagaimana cara membuat file .htpasswd

Anda dapat membuat file .htpasswd dengan dua cara. Cara termudah dan tercepat (cocok untuk pemula) adalah dengan menggunakan bantuan htpasswd Generator. Kemudian cara kedua adalah dengan membuat file .htpasswd secara manual. Dengan cara manual tentunya kita akan lebih bebas dalam melakukan kostumisasi dan penyesuaian-penyesuaian sesuai dengan kondisi dan kemauan, namun tentunya dibutuhkan waktu lebih dan pengetahuan teknis secara mendalam pula.

Membuat file .htpasswd dengan cara manual

Untuk membuat file .htpasswd secara manual, Anda membutuhkan sebuah tool yang disebut "htpasswd". Jika Anda menggunakan mesin Windows, Anda dapat menginstall Xampp atau Apache web server versi Windows (tidak menutup kemungkinan untuk menggunakan aplikasi lain sejenis, dengan catatan sudah mendukung tool 'htpasswd'). Untuk menjalakan htpasswd tool, silahkan masuk ke direktori 'tools' melalui command line. Jika menggunakan Apache, folder tool merupakan sub folder dari direktori bin.

Pastikan terdapat file htpasswd.exe pada folder tool, setelah masuk melalui command prompt, ketikkan htpasswd.exe lalu tekan enter. Daftar perintah/parameter akan muncul sebagai acuan. Nah, untuk membuat file .htpasswd silahkan masukkan perintah pada command prompt seperti contoh bawah ini (tanpa tanda petik):

"htpasswd -cm [passwordfilename] [username]"

Kemudian Anda akan diminta memasukkan password untuk user tertentu, pada kondisi default, hasil file .htpasswd akan terletak pada direktori yang sama dengan file htpasswd.exe berada. Anda dapat menggunakan parameter -c untuk membuat file .htpasswd baru dan parameter -m digunakan untuk mengenkripsi password dengan menggunakan MD5. Jika Anda berniat menambahkan beberapa username pada file .htpasswd yang sama, cukup dengan memasukkan perintah yang sama dengan menggunakan parameter -c seperti pada contoh berikut:

"htpasswd -m [passwordfilename] [username]"

Catatan:
Menginstall Xampp atau Apache di komputer Anda secara tidak langsung adalah menjalankan service web server di PC anda, jika tidak disetting dengan baik, web server tersebut justru akan membuka celah (security vulnerability) pada mesin tersebut yang bisa dimanfaatkan oleh para penyusup untuk menguasai komputer Anda. Jadi, saya tidak menganjurkan cara di atas jika Anda memang tidak yakin dengan apa yang Anda lakukan.

Membuat file .htaccess

Setelah tadi kita selesai membuat file .htpasswd, selanjutnya adalah mengunggah file tersebut pada direktori situs/blog WordPress yang akan kita proteksi. Agar berjalan sesuai dengan yang kita inginkan, maka kita perlu membuat file .htaccess, buka editor kesayangan Anda, masukkan perintah seperti di bawah ini lalu simpan dengan extensi file .htaccess.

AuthUserFile /etc/httpd/.htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

Keterangan:
Baris AuthUserFile adalah alamat (path) direktori di mana kita menyimpan file .htpasswd yang telah kita unggah sebelumnya.

Silahkan unggah file .htaccess yang tadi kita buat ke direktori web anda, dan cobalah mengakses direktori tersebut. Jika semua sudah benar, maka akan muncul jendela HTTP Authentication yang akan meminta input user dan password yang telah kita buat pada file .htpasswd tadi. Selamat mencoba!

Sumber:
http://www.websitedefender.com/wordpress-security/apache-wordpress-htpasswd-wp-admin/