Konfigurasi .htaccess untuk keamanan adalah kumpulan metode praktis yang digunakan pada hosting berbasis Apache atau LiteSpeed untuk melindungi direktori dengan nama pengguna dan kata sandi, mencegah file .htaccess dibaca dari luar, memberlakukan kewajiban HTTPS, serta membatasi akses berbahaya. Penerapan yang paling umum adalah mengamankan akses direktori dengan proteksi kata sandi melalui Basic Auth dan menyimpan kata sandi di file .htpasswd. Namun, poin pentingnya adalah: Basic Auth sendiri tidak mengenkripsi data; untuk penggunaan yang aman, ia wajib berjalan di atas HTTPS dengan sertifikat SSL. sertifikat SSL Hosting Web yang Aman
Keamanan website seringkali diasosiasikan dengan firewall canggih, perangkat lunak rumit, atau plugin mahal. Padahal, file .htaccess yang dikonfigurasi dengan tepat merupakan salah satu lapisan pertahanan pertama, terutama di shared hosting, WordPress, aplikasi PHP kustom, dan situs bisnis kecil. Dengan file ini, Anda bisa memproteksi folder kritis seperti panel administrasi dengan kata sandi, mengalihkan lalu lintas HTTP ke HTTPS, menonaktifkan daftar isi direktori, memblokir akses ke file tertentu, mengurangi hotlink, dan mengaktifkan header keamanan dasar.
Dalam panduan ini, kita akan membahas langkah demi langkah proses pengamanan direktori dengan .htaccess, menjelaskan perintah keamanan yang paling sering digunakan di dunia nyata, dan membagikan contoh yang bisa Anda salin dan sesuaikan. Perintah dalam konten ini secara khusus cocok untuk lingkungan hosting yang mendukung Apache mod_rewrite, mod_auth_basic, dan mod_headers. Server LiteSpeed juga sangat kompatibel dengan Apache, sehingga sebagian besar aturan akan berfungsi sama. Meski begitu, sebelum menerapkan di situs live, sangat disarankan untuk selalu mencadangkan file dan jika memungkinkan, mengujinya di subdomain staging. Pengelolaan Domain Cadangan Situs Web
Apa Itu File .htaccess dan Mengapa Penting untuk Keamanan?
.htaccess adalah file konfigurasi lokal yang menentukan bagaimana server web berperilaku untuk direktori terkait dan sub-direktorinya. Jika ditempatkan di direktori root, biasanya ia memengaruhi seluruh situs; misalnya, file .htaccess di folder public_html mengelola aturan yang berjalan di root web utama domain Anda. Sementara jika diletakkan di sub-folder, ia hanya berlaku untuk folder tersebut dan jalur di bawahnya.
Karena file ini memungkinkan kontrol akses di tingkat server, permintaan tertentu dapat diblokir bahkan sebelum mencapai kode aplikasi. Sebagai contoh, jika Anda melindungi folder admin dengan kata sandi, penyerang akan terganjal autentikasi server sebelum berhasil menjangkau file WordPress, panel kustom, atau PHP Anda. Pendekatan ini mengurangi upaya brute force dan mempersulit eksploitasi celah di lapisan aplikasi.
Keunggulan file .htaccess dari sisi keamanan adalah sebagai berikut:
- Aturan akses dapat didefinisikan tanpa mengubah kode aplikasi.
- Folder tertentu dapat dilindungi dengan nama pengguna dan kata sandi.
- Permintaan HTTP dapat dialihkan secara otomatis ke HTTPS.
- Daftar isi direktori, akses file sensitif, dan hotlink dapat dibatasi.
- Perilaku peramban bisa dibuat lebih aman berkat header keamanan.
- Pembatasan bisa dilakukan berdasarkan alamat IP, ekstensi file, atau metode permintaan.
Meskipun demikian, .htaccess tidak memberikan keamanan seutuhnya sendirian. Hasil paling efektif didapatkan jika digabungkan dengan perangkat lunak terkini, kebijakan kata sandi yang kuat, pencadangan rutin, infrastruktur hosting terpercaya, WAF, pemindaian malware, dan sertifikat SSL. Keamanan hosting Keamanan WordPress
Logika Proteksi .htaccess: Basic Auth dan .htpasswd
Istilah pengamanan file .htaccess biasanya merujuk pada dua arti berbeda. Pertama, meminta nama pengguna dan kata sandi saat memasuki sebuah folder; kedua, mencegah file .htaccess itu sendiri dilihat dari luar. Proses pertama dilakukan dengan Basic Auth, sedangkan proses kedua dilakukan dengan aturan pembatasan akses file.
Dalam struktur Basic Auth, file .htaccess berisi aturan autentikasi, sementara file .htpasswd menyimpan informasi nama pengguna dan kata sandi yang terenkripsi. Kata sandi tidak boleh disimpan dalam teks biasa. Sistem modern menggunakan metode hash berbasis bcrypt, Apache MD5, atau SHA. Pendekatan paling aman adalah menggunakan fitur "Directory Privacy" atau "Password Protected Directory" dari panel kontrol hosting Anda; karena panel ini biasanya menempatkan file .htpasswd di lokasi yang tepat dan melakukan hashing kata sandi secara otomatis.
Contoh aturan proteksi kata sandi adalah sebagai berikut:
AuthType Basic
AuthName "Area Terproteksi"
AuthUserFile /home/pengguna/.htpasswd
Require valid-user
Arti dari empat baris ini sederhana: Jenis autentikasi diatur ke Basic, nama area yang muncul di peramban ditentukan, jalur server penuh dari file .htpasswd yang berisi kata sandi pengguna ditunjukkan, dan hanya pengguna yang valid yang diizinkan akses. Kesalahan paling umum di sini adalah menulis URL di baris AuthUserFile. Nilai yang benar adalah jalur file fisik di server, bukan alamat web. Misalnya, https://namasitus.com/.htpasswd itu salah; /home/pengguna/.htpasswd mendekati format yang benar.
Di Mana File .htpasswd Harus Disimpan?
Simpan file .htpasswd di luar public_html jika memungkinkan. Dengan begitu, meskipun terjadi kesalahan konfigurasi server, file tersebut tidak dapat dipanggil langsung melalui web. Contohnya, jika situs Anda berjalan di /home/akun/public_html, menempatkan file .htpasswd di /home/akun/.htpasswd di luar root web adalah lebih aman.
Dari segi izin file, nilai awal yang praktis adalah 640 atau 644 untuk .htpasswd, dan 644 untuk .htaccess. Izin yang berbeda mungkin diperlukan tergantung konfigurasi server; tetapi izin yang dapat ditulisi siapa saja seperti 777 menimbulkan risiko keamanan dan tidak boleh digunakan.
Langkah Demi Langkah Proteksi Direktori dengan .htaccess
Langkah-langkah berikut cocok bagi pengguna yang ingin melindungi folder seperti admin, panel, test, staging, laporan, atau file khusus klien. Sebelum memulai, cadangkan file .htaccess Anda saat ini. Bahkan satu karakter yang salah dapat menyebabkan error 500 Internal Server Error.
1. Tentukan Folder yang Akan Dilindungi
Pertama, perjelas direktori mana yang ingin Anda amankan. Misalnya, jika hanya ingin melindungi area namasitus.com/admin, Anda bisa menempatkan file .htaccess di dalam folder admin. Jika ingin menutup seluruh situs untuk sementara dan hanya membukanya untuk orang yang berwenang, Anda bisa menambahkan aturan tersebut ke file .htaccess di direktori root.
2. Buat Pengguna .htpasswd
Jika panel kontrol hosting Anda memiliki alat "Password Protected Directory", itu adalah metode paling praktis. Jika tidak ada, di server dengan akses SSH, pengguna dapat dibuat dengan perintah htpasswd. Logika contohnya adalah: htpasswd -c /home/pengguna/.htpasswd admin. Perintah ini menghasilkan kata sandi untuk pengguna admin dan menyimpannya ke file. Jangan gunakan parameter -c saat menambahkan pengguna baru ke file yang sudah ada; jika tidak, file tersebut bisa ditimpa dan dibuat ulang.
3. Tambahkan Aturan .htaccess
Tambahkan baris berikut ke file .htaccess di folder yang akan dilindungi:
AuthType Basic
AuthName "Panel Manajemen"
AuthUserFile /home/pengguna/.htpasswd
Require valid-user
Setelah menyimpan, akses folder terkait dari peramban. Jika muncul layar nama pengguna dan kata sandi, prosesnya berhasil. Jika kata sandi sudah benar tetapi tetap tidak bisa login, kemungkinan jalur AuthUserFile salah atau izin file .htpasswd tidak bisa dibaca oleh server.
4. Jangan Gunakan Tanpa HTTPS
Basic Auth membawa kredensial dengan Base64; ini bukanlah enkripsi yang benar-benar kuat. Jika lalu lintas berjalan melalui HTTP, seseorang yang menguping jaringan dapat menangkap nama pengguna dan kata sandi. Oleh karena itu, aturan pengamanan .htaccess harus selalu diterapkan bersamaan dengan kewajiban HTTPS. Anda dapat mengurangi risiko ini dengan mengaktifkan SSL di Hostragons lalu menambahkan aturan pengalihan HTTPS. instalasi SSL Pengalihan HTTPS
Kewajiban HTTPS dan Pengalihan www
Salah satu langkah paling mendasar untuk meningkatkan keamanan situs adalah mengalihkan semua lalu lintas ke HTTPS. Setelah sertifikat SSL aktif, aturan dengan logika berikut dapat ditambahkan ke file .htaccess di direktori root:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Aturan ini membawa permintaan HTTP ke HTTPS melalui nama domain dan jalur yang sama. Pengalihan permanen 301 memberikan sinyal yang tepat untuk SEO. Namun, jika situs Anda memiliki reverse proxy, CDN, atau load balancer, status HTTPS mungkin terbaca dari header yang berbeda. Dalam situasi seperti itu, aturan pengalihan yang direkomendasikan oleh penyedia hosting Anda harus diutamakan.
Preferensi nama domain dengan www atau tanpa www juga harus konsisten. Misalnya, jika Anda ingin mengalihkan semua lalu lintas ke versi tanpa www, pendekatan berikut dapat digunakan:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.domaincontoh\.com$ [NC]
RewriteRule ^(.*)$ https://domaincontoh.com/$1 [L,R=301]
Di sini Anda perlu mengganti domaincontoh.com dengan nama domain Anda sendiri. Jika Anda melakukan pengalihan HTTPS dan www secara bersamaan, berhati-hatilah untuk tidak membuat rantai pengalihan. Struktur ideal adalah mengarahkan pengguna ke URL final dalam satu langkah. Pengalihan Domain penanganan SEO-friendly
Perintah Dasar .htaccess untuk Meningkatkan Keamanan Situs
Tabel berikut merangkum perintah keamanan .htaccess yang paling sering digunakan dan kapan harus menerapkannya. Periksa konfigurasi Anda saat ini sebelum menambahkan setiap perintah; ada kemungkinan konflik dengan beberapa aturan WordPress, Laravel, atau CMS kustom.
| Tujuan | Contoh Perintah atau Direktif | Kapan Digunakan? | Hal yang Perlu Diperhatikan |
|---|---|---|---|
| Proteksi kata sandi direktori | AuthType Basic, Require valid-user | Folder admin, staging, laporan | Harus digunakan bersamaan dengan HTTPS |
| Kewajiban HTTPS | RewriteCond %{HTTPS} off | Untuk mengamankan semua lalu lintas situs | Jika pakai CDN, mungkin perlu aturan khusus |
| Menonaktifkan daftar isi direktori | Options -Indexes | Pada folder tanpa file index | Mencegah struktur file terlihat |
| Proteksi .htaccess | Require all denied | Untuk mencegah file konfigurasi dibaca | Sintaks bisa berbeda tergantung versi Apache |
| Pemblokiran Hotlink | RewriteCond %{HTTP_REFERER} | Untuk mengurangi pemakaian gambar di situs lain | Uji pratinjau CDN dan jejaring sosial |
| Header Keamanan | Header set X-Frame-Options SAMEORIGIN | Untuk mengurangi serangan berbasis peramban | mod_headers harus aktif |
Menonaktifkan Daftar Isi Direktori
Jika sebuah folder tidak memiliki index.html, index.php, atau file entri default, server dapat menampilkan daftar file. Situasi ini berisiko untuk file cadangan, gambar, laporan sementara, atau kode sumber lama. Daftar isi direktori dapat dinonaktifkan dengan perintah sederhana:
Options -Indexes
Setelah baris ini, pengguna tidak dapat mendaftarkan isi folder. Pada folder yang tidak memiliki file index, biasanya akan muncul respons 403 Forbidden. Perilaku ini diinginkan dari segi keamanan.
Memblokir Akses ke .htaccess dan File Sensitif
File .htaccess Anda tidak boleh dilihat melalui web. Apache biasanya melindungi file ini secara default; namun, sebagai lapisan keamanan tambahan, logika berikut dapat digunakan:
<Files .htaccess>
Require all denied
</Files>
Demikian pula, file seperti .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql juga harus ditutup dari akses luar. Khususnya di aplikasi Laravel, Symfony, atau PHP kustom, file .env dapat berisi kata sandi database, kunci API, dan informasi SMTP. Bocornya file ini bisa berujung pada pengambilalihan seluruh sistem.
Untuk memblokir beberapa ekstensi file sensitif, logika berikut dapat diterapkan:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
Saat menambahkan aturan semacam ini, pastikan Anda tidak memblokir file statis yang benar-benar dibutuhkan aplikasi Anda. Misalnya, beberapa file verifikasi atau integrasi bisa tidak berfungsi jika secara tidak sengaja masuk dalam cakupan aturan.
Menonaktifkan Eksekusi PHP di Folder Tertentu
Folder upload adalah salah satu area yang paling sering menjadi target penyerang. Jika file PHP berbahaya berhasil diunggah ke sistem dengan kontrol unggah file yang lemah, eksekusi file tersebut menimbulkan risiko besar. Menonaktifkan eksekusi PHP di folder tempat gambar atau media diunggah memberikan pertahanan tambahan.
Anda dapat menempatkan file .htaccess di dalam folder upload terkait dan menerapkan logika ini:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
Aturan ini memblokir akses ke file PHP di folder tersebut. Untuk WordPress, pendekatan serupa umum digunakan di folder wp-content/uploads; namun, harus diuji karena beberapa plugin mungkin memiliki kebutuhan pemrosesan file khusus.
Mengurangi Konsumsi Bandwidth dengan Pemblokiran Hotlink
Hotlink adalah ketika situs lain menggunakan file gambar Anda secara langsung di halaman mereka. Situasi ini meningkatkan konsumsi bandwidth dan dapat menyebabkan masalah performa. Aturan pemblokiran hotlink sederhana memiliki logika berikut:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?domaincontoh\.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
Aturan ini memblokir permintaan gambar yang datang dengan referer tidak kosong dan bukan berasal dari nama domain Anda. Namun, jika Anda memiliki Google Images, pratinjau media sosial, nama domain CDN, atau mitra bisnis, Anda mungkin perlu menambahkan domain-domain tersebut ke daftar putih. Penggunaan CDN Kinerja Situs Web
Mengizinkan atau Memblokir Alamat IP Tertentu
Jika Anda hanya ingin mengakses panel admin dari alamat IP kantor, pembatasan IP adalah lapisan tambahan yang efektif. Untuk Apache 2.4 ke atas, logika dasarnya adalah:
Require ip 203.0.113.10
Jika aturan ini digunakan sendiri, hanya alamat IP yang ditentukan yang diizinkan. Berhati-hatilah jika Anda menggunakan IP dinamis; saat IP berubah, Anda bisa kehilangan akses ke panel sendiri. Untuk penggunaan yang lebih fleksibel, menerapkan pembatasan IP bersamaan dengan proteksi kata sandi bisa lebih sehat.
Sedangkan untuk memblokir alamat IP berbahaya tertentu, logika berikut dapat digunakan:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
Pemblokiran IP berguna untuk serangan skala kecil; tetapi tidak cukup sendiri melawan botnet atau penyerang yang menggunakan IP dinamis. Dalam kasus ini, firewall aplikasi web (WAF), rate limiting, dan solusi keamanan sisi server lebih efektif.
Header Keamanan: Perlindungan Tambahan di Tingkat Peramban
.htaccess tidak hanya untuk kontrol akses, tetapi juga dapat digunakan untuk mengelola header keamanan peramban. Jika mod_headers aktif, header berikut meningkatkan level keamanan dasar di banyak situs:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff mengurangi kemampuan peramban menebak-nebak jenis file. X-Frame-Options SAMEORIGIN membatasi situs Anda agar tidak disematkan sebagai iframe di domain lain dan mengurangi risiko clickjacking. Referrer-Policy mengontrol informasi referer mana yang dibagikan saat pengalihan. Sedangkan Permissions-Policy membatasi izin peramban seperti kamera, mikrofon, dan lokasi.
Content-Security-Policy alias CSP adalah header keamanan yang lebih kuat; tetapi harus diterapkan dengan hati-hati. CSP yang terlalu ketat dapat merusak fungsi iklan, analitik, pembayaran, live chat, atau layanan font. Oleh karena itu, metode yang lebih tepat adalah mengujinya dalam mode laporan terlebih dahulu, lalu menerapkannya secara bertahap ke lingkungan live.
Daftar Periksa Sebelum Penerapan

Perubahan .htaccess berefek cepat. Oleh karena itu, memproses dengan daftar periksa singkat sebelum menambahkan perintah keamanan akan mengurangi risiko gangguan.
- Unduh cadangan file .htaccess saat ini ke komputer Anda.
- Periksa apakah sertifikat SSL Anda aktif dan terpasang dengan benar.
- Tambahkan aturan pengalihan satu per satu; jangan mengubah semua aturan sekaligus.
- Periksa error 500, 403, dan 404 dari peramban dan catatan error server.
- Jangan hapus aturan rewrite bawaan WordPress, Laravel, atau perangkat lunak kustom.
- Uji kewajiban HTTPS di area yang menggunakan proteksi kata sandi.
- Jika menggunakan CDN, plugin cache, dan plugin keamanan, evaluasi kemungkinan konflik.
- Coba alur login, formulir, dan pembayaran di perangkat seluler, desktop, dan peramban yang berbeda.
Menerapkan aturan sepotong demi sepotong sangat penting dalam praktiknya. Misalnya, tambahkan dan uji Options -Indexes dulu, lalu tambahkan pengalihan HTTPS, kemudian lanjutkan ke proteksi kata sandi. Dengan begitu, jika muncul masalah, Anda bisa dengan cepat menemukan baris mana yang menyebabkannya.
Kesalahan Paling Umum dan Solusinya
500 Internal Server Error
Error ini biasanya disebabkan oleh kesalahan sintaks, direktif yang tidak didukung, atau penggunaan modul yang salah. Misalnya, menggunakan perintah Header saat mod_headers tidak aktif dapat menghasilkan error. Untuk solusinya, hapus sementara baris yang terakhir ditambahkan, periksa catatan error server, dan pastikan lingkungan hosting Anda mendukung modul terkait.
Layar Kata Sandi Terus Muncul Kembali
Jika layar login terus muncul meskipun nama pengguna dan kata sandi sudah benar, bisa jadi jalur .htpasswd salah, format hash kata sandi tidak didukung server, atau izin file tidak tepat. Pastikan Anda menggunakan jalur fisik penuh di baris AuthUserFile.
Pengalihan HTTPS Menciptakan Redirect Loop
Pada situs di belakang CDN atau proxy, server mungkin melihat permintaan sebagai HTTP secara internal dan terus mencoba mengalihkan ke HTTPS. Dalam situasi ini, aturan khusus yang mempertimbangkan header seperti X-Forwarded-Proto mungkin diperlukan. Penting juga agar mode SSL di panel CDN Anda berada di level yang tepat seperti Full atau Full Strict.
Gambar atau File CSS Tidak Muncul
Jika aturan hotlink, FilesMatch, atau header keamanan ditulis terlalu luas, file statis yang sah juga bisa diblokir. Anda dapat melihat file mana yang diblokir dengan kode HTTP apa dengan memeriksa tab Network di alat pengembang peramban.
Keamanan .htaccess di Situs WordPress
Di situs WordPress, file .htaccess sangat penting untuk permalink. Oleh karena itu, aturan yang dibuat oleh WordPress di antara blok BEGIN WordPress dan END WordPress tidak boleh diubah tanpa perlu. Aturan keamanan biasanya lebih aman ditambahkan di atas atau di bawah blok-blok ini.
Langkah-langkah praktis yang dapat diterapkan untuk WordPress adalah:
- Menerapkan proteksi Basic Auth tambahan ke folder wp-admin.
- Menonaktifkan eksekusi PHP di dalam wp-content/uploads.
- Membatasi akses ke xmlrpc.php jika tidak digunakan.
- Mengurangi visibilitas file readme.html dan license.
- Menyelaraskan pengalihan HTTPS dengan alamat situs WordPress.
Khusus untuk wp-admin, menggunakan kata sandi pengguna WordPress dan proteksi kata sandi .htaccess secara bersamaan memberikan pertahanan dua lapis. Namun, karena beberapa plugin yang menggunakan AJAX membutuhkan file wp-admin/admin-ajax.php, menutup seluruh folder wp-admin secara membabi buta dapat merusak beberapa fitur. Oleh karena itu, pengujian di situs live adalah wajib. Hosting WordPress Percepatan WordPress
Tips Profesional untuk Keamanan .htaccess
Hal yang paling diperhatikan oleh administrator sistem berpengalaman adalah keseimbangan antara keamanan dan keberlanjutan. Aturan yang terlalu agresif mungkin tampak aman dalam jangka pendek, tetapi dapat meningkatkan biaya pemeliharaan dalam jangka panjang. Karena itu, tujuan, cakupan, dan hasil pengujian setiap aturan harus dicatat.
- Ambil cadangan bertanggal sebelum perubahan kritis: seperti htaccess-2026-01-15.bak.
- Hindari menambahkan ratusan aturan yang tidak perlu ke dalam satu file .htaccess.
- Karena pengalihan 301 bersifat permanen, perhitungkan cache peramban dan mesin pencari.
- Setelah menambahkan header keamanan, periksa error di konsol peramban.
- Di direktori yang diproteksi kata sandi, buat pengguna per individu alih-alih membagikan kata sandi lemah.
- Tutup folder test, staging, dan cadangan di tingkat server sebelum diblokir mesin pencari.
Poin penting lainnya adalah meninjau aturan keamanan secara berkala. Sebuah integrasi yang digunakan hari ini mungkin sudah dihapus besok; tetapi jalur yang dibiarkan terbuka khusus untuknya bisa terlupakan di dalam .htaccess. Melakukan pemeriksaan keamanan singkat setiap tiga bulan, membersihkan izin yang tidak perlu, dan merapikan pengalihan lama adalah kebiasaan yang baik.
Kesimpulan: File Kecil, Lapisan Keamanan Besar
Perintah pengamanan .htaccess dan peningkatan keamanan situs, jika digunakan dengan benar, memperkuat garis pertahanan pertama situs web Anda terhadap serangan. Melindungi direktori dengan kata sandi, memberlakukan kewajiban HTTPS, menonaktifkan daftar isi direktori, memblokir akses ke file sensitif, dan mengaktifkan header keamanan adalah langkah-langkah yang dapat diterapkan, terukur, dan efektif untuk sebagian besar situs web.
Namun, keamanan .htaccess saja tidak cukup. Ini harus dipertimbangkan bersama dengan infrastruktur hosting yang andal, perangkat lunak terkini, sertifikat SSL, pencadangan rutin, dan kebijakan kata sandi yang kuat. Saat menghosting situs web Anda di Hostragons, Anda dapat mengelola komponen keamanan dasar seperti SSL, hosting, dan manajemen domain dari satu panel; dan melangkah selangkah demi selangkah menuju struktur yang lebih aman saat dibutuhkan. Paket Hosting Web Beli Domain sertifikat SSL
Pertanyaan yang Sering Diajukan
Apakah pengamanan file .htaccess benar-benar mengenkripsi file?
Tidak. Umumnya, istilah ini digunakan dalam arti melindungi direktori dengan nama pengguna dan kata sandi. Basic Auth membatasi akses; agar transfer data aman, harus digunakan SSL dengan HTTPS.
Apakah aman menyimpan file .htpasswd di dalam public_html?
Tidak disarankan. Pendekatan paling aman adalah menyimpan file .htpasswd di luar public_html, di direktori yang tidak dapat diakses langsung melalui web. Dengan demikian, bahkan dalam risiko kesalahan konfigurasi, kemungkinan file tersebut dilihat menjadi berkurang.
Apa yang harus saya lakukan jika mendapatkan error 500 setelah perubahan .htaccess?
Pertama, hapus baris yang terakhir Anda tambahkan atau kembalikan ke file cadangan. Kemudian, periksa catatan error server. Error sebagian besar disebabkan oleh kesalahan penulisan, direktif yang tidak didukung, atau modul Apache yang tidak aktif.
Apakah benar mengamankan folder wp-admin WordPress dengan .htaccess?
Ya, ini bisa memberikan lapisan keamanan tambahan. Namun, karena beberapa plugin memerlukan file seperti admin-ajax.php, proses login, komentar, keranjang, pembayaran, dan formulir harus benar-benar diuji setelah penerapan.
Apakah pengalihan HTTPS berbahaya untuk SEO?
Pengalihan 301 HTTPS yang diterapkan dengan benar tidak berbahaya; sebaliknya, ia menyediakan struktur URL yang aman dan konsisten. Yang penting adalah tidak membuat rantai pengalihan dan menjaga semua tautan internal selaras dengan alamat HTTPS final.