Mengamankan Login WordPress

Banyak cara yang digunakan oleh para peretas untuk masuk ke website kita secara paksa. Jika kita menggunakan WordPress, salah satu celah yang biasa disambangi adalah bagian wp-admin. Inilah alasan utama mengapa kita memerlukan cara mengamankan login WordPress. Untuk mengatasi hal itu, sebaiknya melakukan langkah antisipasi agar hal buruk tidak terjadi pada website tersebut.

Peretasan website dengan WordPress bisa dilakukan dengan cara Brute force, cara tersebut kerap menargetkan halaman login WordPress atau halaman dengan alamat URL namadomain.com/wp-admin. Halaman login tersebut mudah ditebak karena merupakan URL login default ke dashboard WordPress. Setelah mereka mengetahui URL login WordPress, misi selanjutnya tentu saja mendapatkan username dan password website tersebut.Username pun biasanya mudah ditebak, terutama jika kita menggunakan username default yaitu admin. Hanya saja, meskipun username telah didapatkan, peretas perlu mengetahui password adminitrator web kita untuk melancarkan serangan brute force. Selanjutnya sebuah script akan mencoba login dengan menggunakan kombinasi password sampai program tersebut mendapatkan password login WordPress yang benar.Dalam tutorial ini akan dibahas cara yang dapat kita lakukan untuk mengantisipasi serangan tersebut dengan membatasi akses ke WP Admin.1. Ubah URL Login WordPressUntuk mengubah URL login WordPress dapat dilakukan dengan dua cara, yaitu dengan menggunakan plugin atau melalui pengaturan code pada WordPress. Untuk mengubah URL login pada WordPress dengan melakukan pengaturan pada code WordPress pastinya sedikit lebih rumit.Namun kita tidak perlu bersusah payah dengan melakukan perubahan pada code WordPress, kita cukup melakukan instalasi sebuah plugin, yaitu menggunakan plugin WPS Hide login.Pada saat artikel ini ditulis, plugin ini sudah mencapai diatas 200.000 instalasi aktif. Untuk melakukan instalasi, silakan masukkan nama plugin tersebut pada kolom pencarian dengan mengetikkan WPS Hide Login.Plugin ini cukup ringan dan tidak ada perubahan yang dilakukannya pada core dan rewrite rule. Selain itu, plugin ini juga kompatibel dengan plugin bbPress, Limit Login Attempts, BudyPress,  dan User Switching.

Baca Juga  Membuat Template Web Responsive Dengan HTML dan CSS

Setelah plugin ini diaktifkan, kita hanya perlu memberikan nama untuk URL login kita dibagian WPS Hide Login pada kolom Login URL. Silakan pilih menu Settings > WPS Hide Login

Pada Login url kita akan mengubah urlnya yang asalnya namadomain.com/wp-admin menjadi misalnya namadomain.com/login, jika sudah silahkan klik Save changes

 

2. Batasi Jumlah Login yang Salah

Cara lain yang dapat Anda lakukan adalah menggunakan plugin Limit Login Attempts Reloaded.

Brute force akan terus melakukan percobaan login ke WordPress kita sampai berhasil. Plugin Limit Login Attempts Reloaded akan membatasi berapa kali percobaan login yang dilakukan dari satu IP yang sama.

1. Instal plugin dan aktifkan

2. Setelah plugin aktif, kita dapat melakukan pengaturan dengan mudah, silakan pilih menu Settings > Limit Login Attempts.

Berikut ini adalah penjelasannya:

Total Lockouts: berisi angka dari jumlah percobaan gagal login yang dilakukan.

Lockout:

  • Allowed retries: jumlah percobaan login yang diijinkan untuk satu IP.
  • Minutes lockout: lama waktu IP diblokir.
  • Lockouts increase: Lama waktu blokir setelah beberapa kali percobaan gagal login.
  • Hours until retries: Lama waktu sistem pemblokiran akan direset.

Kita juga dapat melakukan blacklist atau whitelist IP tertentu dengan memasukkan IP pada kolom Whitelist dan Blacklist.

Kesimpulannya serangan seperti brute force pada halaman login website kita bisa diantisipasi dengan cara membatasi jumlah kesempatan login dari IP yang sama.

Related Post

Be the first to comment

Leave a Reply

Your email address will not be published.


*


error: Ga bisa dicopy