Ada banyak cara yang digunakan oleh para hacker / peretas website untuk masuk ke website Anda. Tentu Anda tidak ingin konten pada website Anda tiba-tiba tidak dapat diakses. Jika Anda menggunakan WordPress, salah satu celah yang kerap menjadi pintu masuk hacker adalah bagian wp-admin. Inilah alasan utama mengapa Anda memerlukan cara mengamankan login WordPress.
Error pada website Anda dapat memengaruhi pamor website anda terutama turunnya jumlah visitor website. Bisa fatal akibatnya ketika pengunjung mengakses website anda dan tidak menemukan konten yang mereka inginkan. Hal ini dapat berakibat menurunnya pengunjung bahkan tidak pernah mau mengakses website anda kembali. Sebaiknya lakukan hal-hal berikut sebagai langkah antisipasi agar website anda terhindar dari hacker.
Sebelumnya, kami akan sedikit membahas sedikit mengenai serangan brute force. Bagaimana serangan ini bekerja? Halaman login WordPress biasanya dengan URL namadomainanda.com/wp-login.php yang biasanya menjadi target sasaran serangan brute force. Halaman login ini mudah ditebak karena itulah URL login default ke dashboard WordPress. Setelah mereka mengetahui URL untuk login WordPress, selanjutnya tentu saja serangan untuk mendapatkan username dan password Anda. Username juga biasanya mudah ditebak, apalagi jika menggunakan username default yaitu admin. Meskipun username telah didapatkan, hacker perlu mengetahui password login untuk melancarkan aksi serangan brute force.
Selanjutnya sebuah script akan mengulang login dengan menggunakan kombinasi password sampai program tersebut berhasil login dan mendapatkan password login WordPress. Peretas akan menggunakan berbagai cara untuk mendapatkan data pribadi Anda. Bahkan website Anda bisa menjadi sasaran empuk apabila tidak memiliki pengamanan yang ekstra, terutama pada bagian login. Pada tutorial ini kami akan membahas cara yang dapat Anda lakukan untuk mengantisipasi serangan tersebut dengan membatasi akses ke WP Admin. Berikut ini cara mengamankan login WordPress:
- Mengganti URL Login WordPress
Untuk mengamankan WP Admin adalah dengan mengubah URL login ke halaman dashboard WordPress. Hal ini dapat sangat membantu mengurangi percobaan login yang dilakukan oleh script atau pengguna lain tanpa sepengetahuan Anda. Anda dapat menginstal plugin bernama WPS Hide Login, Anda hanya perlu memberikan nama untuk URL login Anda dibagian WPS Hide Login pada kolom Login URL. Silakan pilih menu Settings > General.
- Batasi Jumlah Login yang Salah
Cara lain yang dapat Anda lakukan adalah menggunakan plugin Limit Login Attempts Reloaded. Ketika Brute force terus melakukan percobaan login ke WordPress Anda sampai berhasil, plugin ini akan membatasi percobaan login yang dilakukan dari satu IP yang sama secara berulang.
1. Instal plugin dan aktifkan.
2. Lakukan pengaturan. Silakan pilih menu Settings > Limit Login Attempts.
Penjelasannya:
Total Lockouts: berisi angka dari jumlah percobaan gagal login yang dilakukan.
Lockout:
- Allowed retries: jumlah percobaan login yang diijinkan untuk satu IP.
- Minutes lockout: lama waktu IP diblokir.
- Lockouts increase: Lama waktu blokir setelah beberapa kali percobaan gagal login.
- Hours until retries: Lama waktu sistem pemblokiran akan direset.
Anda juga dapat melakukan blacklist atau whitelist IP tertentu dengan memasukkan IP pada kolom Whitelist dan Blacklist.