Cara Mengamankan Halaman Login WordPress Anda (Panduan Lengkap)

Diterbitkan: 2022-08-16

Faktor penting dalam menjalankan situs web WordPress yang sukses adalah menerapkan langkah-langkah pemantauan dan keamanan. Lagi pula, situs yang diretas dapat menyebabkan banyak masalah — terlepas dari apakah situs Anda digunakan untuk tujuan bisnis atau pribadi. Ini dapat memengaruhi pendapatan Anda, mempertaruhkan informasi pengunjung Anda, dan merusak reputasi Anda.

Titik masuk tipikal untuk peretas adalah halaman login WordPress, yang akan menjadi fokus kami hari ini. Berikut ini adalah ikhtisar 14 cara untuk memperkuat keamanan login WordPress sehingga pelaku jahat tidak akan melanggar situs Anda.

Mengapa mengamankan halaman login WordPress Anda?

Sebelum kita masuk ke daftar tips keamanan, pertama-tama mari kita bahas secara singkat mengapa Anda mungkin ingin mengamankan halaman login WordPress Anda — dari serangan brute force atau lainnya — di tempat pertama.

  • WordPress sangat populer, sehingga penjahat dunia maya sering mencari kerentanan baru yang dapat mereka eksploitasi di banyak situs.
  • Karena peretas akrab dengan WordPress, mereka tahu kapan situs web sudah usang dan kelemahan keamanan apa yang ada di setiap versi.
  • Untuk mendapatkan akses melalui halaman login, peretas tidak selalu membutuhkan pengetahuan pengembangan tingkat lanjut atau keterampilan khusus.

Menjaga halaman login WordPress yang aman sangat penting untuk kesuksesan jangka panjang situs web Anda dan kinerja keseluruhan.

Cara memperkuat keamanan login WordPress Anda

Jadi Anda tahu mengapa Anda perlu membuat login WordPress yang aman, tetapi bagaimana Anda bisa melakukannya? Kami telah mengumpulkan 14 cara untuk mengamankan halaman login WordPress Anda dengan benar sehingga Anda tidak perlu mengabaikan keamanan data atau info pelanggan Anda secara kebetulan.

1. Instal plugin keamanan WordPress

Anda dapat mengatasi sebagian besar masalah keamanan hanya dalam beberapa menit dengan menginstal plugin keamanan WordPress berkualitas tinggi. Sementara banyak plugin mengkhususkan diri dalam melindungi aspek-aspek tertentu dari sebuah situs atau terhadap jenis serangan tertentu, pendekatan yang lebih komprehensif adalah yang terbaik untuk situs rata-rata. Plugin keamanan all-in-one akan menyertakan fitur seperti log audit, pemindaian malware, firewall, dan alat keamanan login dalam satu solusi.

Dan di bagian atas daftar rekomendasi kami adalah Keamanan Jetpack.

Beranda Keamanan Jetpack

Jetpack Security bekerja dengan menangani banyak tugas keamanan secara otomatis. Dan dengan fitur gratis dan berbayar, tingkat perlindungan tersedia untuk semua orang yang memiliki situs web WordPress. Ini memiliki berbagai fitur yang kuat yang dapat berfungsi untuk mencegah pelanggaran keamanan, tetapi juga membantu Anda mendiagnosis dan memulihkan dari setiap insiden yang Anda alami. Ini termasuk:

  • Perlindungan serangan brute force
  • Pencegahan spam
  • Pemindaian malware
  • Pemantauan waktu henti
  • Cadangan
  • Log aktivitas
  • Otentikasi dua faktor

Meskipun Anda dapat melanjutkan langkah-langkah lainnya yang diuraikan di sini sendiri, menggunakan plugin seperti Jetpack Security akan merampingkan proses pengerasan login.

2. Ubah dan sembunyikan URL login WordPress Anda

Cara lain untuk membuat halaman login Anda lebih aman adalah dengan menyembunyikannya dari mata-mata. Secara default, alamat login untuk semua situs WordPress adalah http://www.yourwebsitename.com/wp-admin, yang pada dasarnya seperti memberikan alamat rumah Anda kepada pencuri. Jadi apa pun yang dapat Anda lakukan untuk mengaburkan ini adalah ide yang bagus.

Mengubah URL login WordPress adalah cara yang bagus untuk menempatkan penghalang untuk membuat pekerjaan peretas menjadi lebih sulit. Anda dapat menemukan plugin yang melakukan ini untuk Anda, tetapi Anda juga dapat melakukannya sendiri.

Untuk ini, Anda memerlukan akses FTP ke situs web Anda. Setelah Anda mendapatkannya, cukup ikuti petunjuk dalam tutorial kami: URL Login WordPress: Cara Menemukan, Mengubah, dan Menyembunyikannya.

3. Gunakan kata sandi yang kuat untuk masuk ke WordPress

Anda juga dapat meningkatkan keamanan situs Anda dengan meningkatkan ke kata sandi yang lebih kuat. Menerapkan langkah-langkah kata sandi yang kuat mengurangi kemungkinan peretas atau bot untuk "menebaknya". Meskipun "fluffy21" mungkin mudah diingat, itu terlalu mudah ditebak — terutama jika "Fluffy" adalah nama hewan peliharaan kesayangan.

Daripada memilih kata sandi berdasarkan nama, usia, atau hewan peliharaan, buat kata sandi yang menggabungkan huruf dan angka, huruf besar dan kecil, dan beberapa simbol jauh lebih baik. Anda dapat membuat kata sandi yang kuat dengan beberapa cara:

  • Alat kata sandi kuat bawaan. WordPress memiliki alat kata sandi yang kuat yang mendorong Anda untuk membuat kata sandi yang lebih kuat daripada yang biasanya Anda pilih.
  • Pembuat kata sandi. Banyak pembuat kata sandi memudahkan untuk mengembangkan kata sandi yang kuat yang tidak dapat ditebak secara intuitif.
  • Penjaga/pengelola kata sandi. Satu-satunya masalah dengan kata sandi yang kuat adalah sulit untuk diingat. Menggunakan penyimpan kata sandi atau alat manajemen menghilangkan masalah ini. Opsi populer termasuk LastPass, DashLane, dan 1Password.
Beranda LastPass

4. Kata sandi melindungi halaman login Anda

Secara default, siapa pun dapat mengakses halaman login untuk situs WordPress Anda. Dan meskipun Anda dapat menyembunyikan atau mengubah URL login Anda, seperti yang telah kita bahas sebelumnya, peretas mungkin dapat menemukannya jika folder wp-admin masih dapat diakses.

Itu sebabnya menambahkan lapisan perlindungan lain sebelum mengakses halaman login adalah ide yang bagus. Dan Anda dapat melakukannya dengan kata sandi yang melindungi folder wp-admin . Jika web host Anda menggunakan cPanel, proses ini relatif mudah.

Masuk ke akun penyedia hosting Anda, akses cPanel, lalu masuk ke folder Privasi Direktori .

Saat melihat file situs Anda, navigasikan ke public_html/wp-admin . Seharusnya ada kotak centang yang bertuliskan kata sandi melindungi direktori ini . Centang kotak. Kemudian buat username dan password baru untuk mengakses folder wp-admin. Simpan perubahan Anda.

Cobalah untuk masuk ke situs Anda seperti biasa. Anda sekarang harus memasukkan set kredensial lain sebelum diberikan izin untuk masuk ke WordPress.

Catatan: proses ini akan sama, bahkan jika Anda memindahkan lokasi halaman login Anda. Lindungi dengan kata sandi folder tempat halaman login Anda berada, meskipun itu bukan wp-admin.

5. Batasi jumlah upaya login

Hal lain yang perlu Anda lakukan untuk mengamankan halaman login WordPress adalah membatasi upaya login. Peretas dapat menggunakan bot untuk melakukan upaya masuk berulang kali hingga mereka memecahkan kode — yaitu, mengetahui kata sandi Anda dan mendapatkan akses ke situs web Anda. Sayangnya, WordPress mengizinkan login tanpa batas secara default.

Untuk mencegah titik akses potensial ini, Anda dapat membatasi upaya login. Plugin adalah cara terbaik untuk mencapai ini. Faktanya, Jetpack Security menawarkan Perlindungan Serangan Brute Force sebagai bagian dari solusi keamanan lengkapnya.

jumlah serangan brute force yang diblokir oleh Jetpack

Serangan brute force bisa sangat mengganggu fungsi situs web Anda, bahkan sebelum peretas mendapatkan akses. Misalnya, mereka dapat sangat memperlambat situs Anda — atau menyebabkannya berhenti merespons sama sekali. Upaya login berulang pada akhirnya dapat berhasil dan peretas kemudian dapat menyuntikkan malware, menyisipkan tautan, atau menyebabkan kekacauan. Serangan ini juga dapat membahayakan informasi pribadi Anda.

Fitur Perlindungan Serangan Brute Force yang disertakan dalam Jetpack Security menyediakan alat yang diperlukan untuk memblokir serangan dan mencegah peretas jahat mendapatkan akses ke data Anda. Ia bekerja dengan memblokir IP berbahaya sebelum mereka sampai ke situs Anda. Ini juga memberikan jumlah serangan total dan memungkinkan Anda memasukkan alamat IP yang diketahui ke daftar putih.

6. Tambahkan pertanyaan keamanan ke formulir login WordPress Anda

Anda juga dapat memperluas keamanan formulir login Anda dengan menambahkan pertanyaan keamanan (atau dua) ke proses login. Jadi, alih-alih hanya memasukkan nama pengguna dan kata sandi, pengguna juga harus menjawab pertanyaan keamanan untuk mendapatkan akses.

Langkah tunggal ini membuat situs web Anda jauh lebih sulit untuk diretas. Dan itu relatif mudah untuk diterapkan.

Plugin Pendaftaran Tanpa Bot adalah cara yang bagus untuk mencapai ini. Unduh dengan masuk ke Plugins → Add New, lalu ketik nama plugin. Setelah muncul, unduh dan aktifkan.

Plugin Pendaftaran Tanpa Bot

Setelah diaktifkan, buka Pengaturan dari dasbor WordPress. Di sini Anda dapat mengatur plugin dan mengonfigurasi aturan kapan pertanyaan keamanan digunakan (pada halaman pendaftaran, login, atau lupa kata sandi).

Ini jauh lebih ramah pengguna daripada CAPTCHA, karena hanya membutuhkan menjawab pertanyaan sederhana dan logis.

7. Tambahkan otentikasi dua faktor ke WordPress

Selanjutnya, Anda dapat mengaktifkan otentikasi dua faktor. Banyak situs web dan aplikasi menggunakan opsi keamanan populer ini, termasuk Gmail. Ini bekerja dengan mengirimkan kode SMS ke ponsel Anda yang harus Anda masukkan sebelum Anda dapat menyelesaikan proses masuk.

Ini digunakan untuk memverifikasi identitas Anda dan memastikan akses hanya diberikan kepada pengguna yang berwenang. Setiap lapisan autentikasi yang Anda tambahkan ke proses mempersulit seseorang untuk meretas situs Anda secara signifikan. Bahkan jika aktor jahat mendapatkan akses ke informasi login Anda, kecil kemungkinan mereka dapat menggagalkan proses 2FA.

Cara termudah untuk menambahkan otentikasi dua faktor ke WordPress adalah menggunakan plugin 2FA. Beberapa plugin keamanan menyertakan fitur ini, tetapi sekali lagi, Jetpack Security hadir dengan kuat dengan Otentikasi Aman.

Otentikasi Aman memungkinkan Anda untuk masuk menggunakan kredensial WordPress.com standar Anda dan juga menonaktifkan atau mengabaikan formulir masuk default sepenuhnya. Plus, Anda dapat memilih untuk menjadikan autentikasi dua faktor sebagai persyaratan bagi semua pengguna untuk memberikan perlindungan lebih lanjut pada situs Anda.

8. Instal sertifikat SSL di situs WordPress Anda

Cara perlindungan lainnya adalah dengan memasang sertifikat SSL. Mendapatkan sertifikat SSL gratis itu mudah, jadi ini adalah tindakan keamanan yang tidak boleh dilewatkan oleh siapa pun.

SSL adalah cara sebagian besar situs web mengamankan data mereka. Dan Anda dapat mengetahui kapan sebuah situs aman karena "HTTP" di bidang URL akan memiliki "S" yang ditambahkan, sehingga terbaca "HTTPS." Peramban akan sering menggunakan indikasi visual lainnya, seperti ikon kunci hijau, untuk memberi tahu pengunjung bahwa situs Anda memiliki sertifikat SSL aktif.

Di luar implikasi keamanan, pengunjung tidak dapat terus menavigasi situs Anda jika mereka melihat situs tersebut tidak aman. Plus, situs dengan sertifikat SSL cenderung berperingkat lebih baik di mesin pencari dan beberapa browser bahkan akan menampilkan peringatan kepada pengunjung jika Anda tidak memilikinya.

Jangan lewatkan langkah ini. Pelajari cara mendapatkan sertifikat SSL gratis.

9. Nonaktifkan petunjuk login WordPress setelah upaya login gagal

Petunjuk login dapat benar-benar membantu pengguna WordPress yang sebenarnya, tetapi terkadang mereka dapat memberikan terlalu banyak informasi tentang nama pengguna dan kata sandi Anda kepada peretas. Saat Anda mencoba masuk ke situs WordPress dan mendapatkan nama pengguna yang salah, Anda akan menemukan kesalahan yang berbunyi, “Nama pengguna tidak terdaftar di situs ini. Jika Anda tidak yakin dengan nama pengguna Anda, coba alamat email Anda sebagai gantinya.”

pesan kesalahan tentang nama pengguna yang tidak terdaftar

Hal serupa terjadi jika Anda mengetikkan nama pengguna atau alamat email yang benar, tetapi kata sandi yang salah.

kesalahan kata sandi yang salah

Untuk menghapus petunjuk login, Anda perlu menambahkan beberapa baris kode ke file functions.php situs Anda.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Ketika seseorang — nyata atau bot — memasukkan nama pengguna atau kata sandi yang salah, mereka akan disambut dengan pesan, “Ada kesalahan”, bukan default.

10. Tetap perbarui instalasi & plugin WordPress Anda

Peretas juga menemukan titik masuk ke situs WordPress melalui instalasi yang sudah ketinggalan zaman. Setiap kali WordPress diperbarui, semua perbaikan bug dan lubang keamanan yang diperbaiki diposting secara online. Jika instalasi Anda kedaluwarsa, peretas memiliki instruksi manual untuk melanggar situs Anda.

Saat pembaruan inti WordPress baru diluncurkan, Anda harus mencadangkan situs Anda dan menginstal pembaruan secepat mungkin.

Tapi bukan itu saja yang perlu Anda perhatikan. Perangkat lunak pihak ketiga — yaitu, plugin dan tema — juga berpotensi menjadi titik lemah. Mereka bahkan lebih penting untuk terus diperbarui karena plugin dan tema dibuat oleh berbagai perusahaan pengembangan dengan standar dan pendekatan yang berbeda.

Ini juga mengapa Anda harus selektif tentang plugin dan tema yang Anda instal. Jika plugin berbagi sosial masuk Anda belum diperbarui dalam dua tahun, mungkin sudah waktunya untuk menemukan satu yang diperbarui secara teratur.

11. Sembunyikan nomor versi WordPress Anda

Cara cepat untuk meningkatkan keamanan halaman login adalah dengan menyembunyikan nomor versi WordPress. Paling tidak, hal ini akan membuat para hacker melihat lebih teliti untuk menentukan celah keamanan mana yang akan dieksploitasi. Dan Anda dapat menghapusnya dengan mudah.

Temukan file functions.php dan (setelah Anda mencadangkan situs Anda) tambahkan baris kode berikut ke file:

 remove_action('wp_head', 'wp_generator');

12. Sembunyikan nama pengguna login WordPress Anda

Langkah lain yang dapat Anda ambil adalah menyembunyikan nama pengguna login WordPress Anda. Sering kali, penekanannya adalah pada pembuatan kata sandi yang sangat aman — yang sangat bagus — tetapi Anda juga perlu memikirkan nama pengguna Anda. Seringkali, ini tersedia untuk umum — peluang yang dapat dimanfaatkan oleh peretas.

Cara tercepat untuk menyembunyikan nama pengguna Anda dari pandangan mata-mata adalah dengan menghapusnya agar tidak muncul di posting blog dan di dalam arsip penulis.

Untuk menghapus nama pengguna Anda dari posting blog, Anda hanya perlu membuka Pengguna → Profil → Nama Panggilan saat masuk ke WordPress. Dari sini, Anda dapat mengubah nama panggilan agar nama pengguna Anda tidak lagi terlihat oleh pengunjung situs. Jadi, alih-alih melihat "blogperson02", mereka akan melihat nama depan, nama depan dan belakang Anda, atau nama panggilan lain yang Anda konfigurasikan.

Untuk menghapus nama pengguna Anda agar tidak muncul di arsip penulis, Anda memerlukan plugin SEO seperti Yoast SEO.

Instal Yoast seperti plugin lainnya, lalu buka menu SEO → Search Appearance → Arsip di dashboard WordPress. Ada opsi di sini untuk menonaktifkan arsip penulis. Lakukan ini, lalu klik Simpan Perubahan .

menonaktifkan arsip penulis dengan Yoast

13. Persingkat penghitung waktu logout otomatis WordPress Anda

Adalah umum untuk tetap masuk ke akun Anda saat Anda sering menggunakannya. Tetapi ini dapat menciptakan potensi pelanggaran, terutama jika beberapa orang memiliki akun di situs Anda. Menerapkan timer logout otomatis adalah cara yang bagus untuk menutup lubang keamanan tersebut.

Ketika sesi dibiarkan tanpa pengawasan, itu akan keluar secara otomatis. Secara default, WordPress akan mengeluarkan pengguna setelah 48 jam. Mencentang kotak "Ingat Saya" membuat pengguna tetap masuk selama 14 hari. Anda dapat mengubah kerangka waktu ini sedikit dengan menggunakan plugin pihak ketiga. Salah satu yang didedikasikan untuk fitur ini adalah Logout Tidak Aktif.

Setelah terinstal, navigasikan ke Pengaturan → Logout Tidak Aktif → Manajemen Dasar . Kemudian pilih durasi waktu idle yang Anda inginkan untuk memicu logout.

14. Hapus akun pengguna WordPress lama dan tidak digunakan

Terakhir, menghapus akun yang tidak lagi digunakan juga dapat membantu meningkatkan keamanan WordPress Anda. Memiliki beberapa akun terbuka di situs Anda berarti masing-masing merupakan titik akses ke data pribadi. Dan jika Anda tidak secara teratur memperbarui kata sandi untuk akun ini, mereka dapat menghadirkan kelemahan yang signifikan.

Untuk menghindarinya, hapus akun lama dan tidak terpakai. Jadikan hal itu sebagai bagian dari rencana pemeliharaan situs reguler Anda.

Anda juga harus hanya memberikan hak istimewa kepada pengguna yang membutuhkannya. Tidak semua pengguna membutuhkan hak istimewa Editor atau Admin.

Demikian juga, awasi akun yang terdaftar. Terkadang, peretas akan membuat akun palsu. Jika salah satu muncul, hapus segera dan tingkatkan tindakan keamanan Anda lainnya. Pelajari apa yang harus dilakukan jika situs WordPress Anda telah diretas.

Amankan halaman login WordPress Anda

Memiliki situs web berarti memikul tingkat tanggung jawab atas konten dan penggunanya. Tentu saja, ini terjadi dua kali lipat jika Anda mengumpulkan informasi pelanggan. Tetapi tidak peduli bagaimana Anda menggunakan situs WordPress Anda, memperkuat keamanan di sekitar halaman login adalah cara yang bagus untuk menjaga keamanan data Anda untuk jangka panjang.

Dan tips yang disajikan di sini akan membantu Anda menjadi efisien dalam pemeliharaan keamanan WordPress dalam waktu singkat.

Siap untuk mengambil langkah pertama? Mulai dengan Keamanan Jetpack.