Panduan ini adalah pertolongan pertama mengatasi brute force password pada WordPress, terutama yang harus kita lindungi adalah akses pada halaman wp-admin dan wp-login. Kita akan memanfaatkan .htaccess agar diproses oleh web server supaya lebih cepat dibandingkan pakai solusi PHP.

Yang kita lakukan adalah menambahkan IP address yang kita gunakan untuk melakukan edit pada wordpress kita,untuk mengetahui IP public yang kita gunakan kita bisa membuka halaman berikut: http://www.myipaddress.com/show-my-ip-address/ pada contoh ini ip addres yang saya gunakan adalah 125.163.68.123 sehingga file .htaccess akan terlihat seperti berikut :

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^125.163.68.123
RewriteRule ^(.*)$ – [R=403,L]

Sebagai catatan, ini adalah cara manual untuk memblokir akses (respon 403 Forbidden) ke halaman yang ditentukan (wp-login dan wp-admin) apabila bukan dari alamat IP yang diijinkan. Terus bagaimana kita login? Dengan sangat terpaksa kita akan mengedit isi file htaccess setiap kali ingin masuk ke administrasinya. Ini karena sistem ISP di Indonesia menggunakan IP public dinamis yang akan berubah – ubah setiap sesinya, kecuali anda punya IP statis. Jadi memang sangat repot sekali.

Tapi untuk solusi alternatifnya bisa pakai:

• WordFence atau iThemes Security. Plugin keamanan WordPress keduanya, tapi pilih salah satu saja.
• Dalam cPanel bisa kita beri password untuk mengakses konten tertentu.
• Atau pakai CloudFlare dan atur firewallnya.