LarhTech – Bayangkan Anda menghabiskan waktu berjam-jam untuk meriset dan menulis sebuah artikel tutorial yang mendalam. Namun, hanya beberapa menit setelah Anda menekan tombol Publish, artikel tersebut sudah disalin mentah-mentah oleh website “zombie” milik pencuri konten ( scraper ). Bagaimana mereka bisa melakukannya secepat itu?
Jawabannya ada pada fitur bawaan WordPress yang bernama REST API.
Secara default, WordPress membuka akses data website Anda lebar-lebar kepada publik. Anda bisa membuktikannya sendiri: cobalah ketik namadomain.com/wp-json/wp/v2/posts di browser Anda. Anda akan terkejut melihat seluruh isi artikel, kategori, hingga tanggal publish Anda terpampang telanjang dalam format JSON mentah. Celah inilah yang disedot oleh bot scraper setiap detiknya!
Banyak panduan menyarankan Anda untuk menginstal plugin keamanan besar seperti Wordfence atau Disable REST API. Namun, mengapa harus memperberat server jika kita bisa menguncinya hanya dengan 5 baris kode PHP sederhana?
Kode Penutup Jalur REST API
Kita akan mencegat setiap permintaan ( request ) yang masuk ke REST API. Jika permintaan itu datang dari pengunjung biasa atau bot yang tidak login, server akan menendangnya keluar. Namun, jika permintaan datang dari Anda (sebagai Admin yang sedang login), akses tetap diizinkan agar fitur dashboard WordPress Anda tidak rusak.
Berikut adalah kode sakti yang Anda butuhkan:
// Blokir Akses REST API untuk Pengunjung Publik (Non-Logged In)
add_filter( 'rest_authentication_errors', function( $result ) {
// Jika sudah ada error sebelumnya, biarkan lewat
if ( ! empty( $result ) ) {
return $result;
}
// Jika pengunjung tidak login, tolak akses dengan pesan 401
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_forbidden', 'Akses REST API ditutup untuk publik. - Secured by LarhTech', array( 'status' => 401 ) );
}
return $result;
});Cara Memasang Kode di WordPress
Karena Anda memegang prinsip Zero-Plugin berat, cara terbaik memasukkan kode ini adalah melalui file inti tema atau plugin snippet ringan.
Metode 1: Menggunakan file functions.php (Klasik)
- Masuk ke dashboard WordPress.
- Buka menu Tampilan (Appearance) > Editor Berkas Tema (Theme File Editor).
- Di sebelah kanan, cari dan klik file functions.php.
- Paste kode di atas pada bagian paling bawah file tersebut.
- Klik Perbarui Berkas (Update File).
Metode 2: Menggunakan WPCode (Rekomendasi Aman)
Jika Anda menggunakan plugin penyisip kode seperti WPCode:
- Buka menu Code Snippets > Add Snippet.
- Pilih Add Your Custom Code.
- Ubah Code Type di sebelah kanan menjadi PHP Snippet.
- Paste kode di atas, lalu ubah status dari Inactive menjadi Active.
- Klik Save Snippet.
Uji Coba Pertahanan Anda!
Mari kita pastikan pintu belakang website Anda sudah benar-benar terkunci.
- Buka browser baru dalam mode Incognito (Samaran) agar Anda terbaca sebagai pengunjung publik/bot.
- Ketikkan URL: https://larhtech.com/wp-json/wp/v2/post
- Tekan Enter.
Jika sebelumnya browser menampilkan ribuan baris teks data artikel Anda, kini layar hanya akan memunculkan pesan error elegan seperti ini:
{"code":"rest_forbidden","message":"Akses REST API ditutup untuk publik. - Secured by LarhTech","data":{"status":401}}
Kesimpulan
Selesai! Dengan mengunci jalur /wp-json/, bot pencuri konten otomatis akan menabrak dinding beton saat mencoba menyedot artikel Anda. Selain mengamankan hak cipta karya Anda, langkah ini juga sangat menghemat RAM dan CPU server Anda dari beban traffic bot yang tidak berguna.
