WordPress adalah salah satu Content Management System yang digunakan untuk membuat dan mengelola situs web dengan mudah. WordPress telah dikenal sebagai CMS terbaik dan oleh karena itu, sering menjadi target serangan peretasan. Dalam artikel ini, kami akan berbagi cara untuk meningkatkan keamanan login WordPress.
Faktanya, lebih dari 40% situs web di seluruh dunia menggunakan WordPress sebagai platform mereka. Karena popularitasnya yang tinggi, keamanan WordPress sangat penting, menjadikannya target menarik bagi penjahat dunia maya yang ingin mencuri data atau merugikan orang lain melalui serangan siber yang dapat mengakibatkan masalah pada situs web.
Lalu bagaimana cara mengamankan website berbasis WordPress? Berikut ini adalah beberapa cara untuk meningkatkan keamanan login WordPress yang bisa Anda ikuti:
1. Menggunakan layanan Hosting yang aman
Salah satu cara mengamankan website WordPress Anda adalah menggunakan layanan hosting yang aman. Pastikan layanan hosting Anda yang memiliki keamanan berlapis seperti memiliki fitur Web Application Firewall (WAF), Cagefs, Malware Detection, IPS/IDS, Proactive Defense, Web Shield Protection dan juga memiliki fitur antivirus seperti imunify.
Kabar baiknya, layanan Hosting di Rumahweb memiliki semua fitur keamanan yang telah disebutkan diatas.
2. Tidak menggunakan admin sebagai usernamenya
Cara meningkatkan keamanan login WordPress yang kedua adalah tidak menggunakan admin sebagai username. Fakta yang sering kami temukan adalah banyaknya pengguna WordPress menggunakan kata ‘admin’ sebagai username. Perlu Anda ketahui, username admin telah digunakan oleh jutaan pengguna, baik itu CMS WordPress maupun platform lain, sehingga sangat rentan untuk di hack.
Jika Anda sudah terlanjur menggunakan admin sebagai username, Anda dapat mengubahnya melalui database pada table ‘prefix_users’.
3. Menggunakan password yang kuat
Pastikan password wp-admin Anda sangat kuat dan sulit ditebak. Anda dapat menggunakan password yang kuat dengan kombinasi angka, huruf, simbol, dan minimal lebih dari 12 karakter. Anda juga dapat menggunakan fitur generate password yang ada di WordPress.
4. Meningkatkan keamanan login WordPress melalui Wp-admin
Anda dapat meningkatkan keamanan login WordPress melalui file wp-config.php menggunakan beberapa cara berikut.
Cara 1. Memindahkan file wp-config.php ke folder lain
Berikut cara memindahkan file wp-config ke folder lain agar lebih aman.
- Login ke cPanel, kemudian masuk ke halaman file manager. Copy file wp-config.php ke folder /etc dengan cara klik kanan kemudian copy lalu isikan nama folder yaitu /etc.
- Lalu inputkan folder /etc.
- Pastikan file wp-config.php sudah berada di folder /etc.
- Ubah file wp-config.php asli yang sudah di copy sebelumnya. Caranya, klik kanan pada file wp-config lalu pilih Edit. Setelah itu, masukkan script yang ada di bawah ini.
<?php
include('/home/usernamecpanel/etc/wp-config.php');
- Sesuaikan usernamecpanel dengan username cPanel domain Anda.
- Kemudian simpan dan selesai.
Cara 2. Mengunci file wp-config.php
Selain itu Anda juga dapat mengunci file wp-config.php agar tidak dapat di edit oleh pengguna asing yang tidak bertanggung jawab seperti menggunakan bot atau script injection. Berikut cara mengunci file wp-config.php :
- Edit file .htaccess dengan cara klik kanan edit.
- Tambahkan kode berikut agar file wp-config.php tidak dapat diakses.
<files wp-config.php>
order allow,deny
deny from all
</files>
- Kemudian simpan dan selesai.
Cara 3. Mengubah permissions file wp-config.php
Tips meningkatkan keamanan login WordPress yang ke tiga adalah mengubah permissions file. Andad dapat mengubah permission file wp-config.php dari defaultnya 664 menjadi 600 dengan cara klik kanan kemudian change permissions.
Rubah menjadi 644 menjadi 600 lalu klik Change permissions.
Pada tahap ini file wp-config.php Anda sudah selesai di amankan.
Cara 4. Menggunakan HTTP Authentication saat login
Pada layanan hosting di Rumahweb, telah aktif dan menggunakan HTTP Authentication saat login ke dashboard wp-admin, Hal ini berfungsi sebagai untuk menanggulangi serangan brute force yang mencoba login ke WordPress Anda. Untuk informasi lebih lengkap dapat mengikuti link berikut : HTTP Authentication
Cara 5. Mengubah halaman login wp-admin
Selanjutnya, Anda dapat meningkatkan keamanan dengan mengubah URL halaman login wp-admin, karena secara default WordPress menggunakan URL /wp-admin, dan banyak pengguna WordPress tidak menyadari bahwa penggunaan URL /wp-admin sebagai login default ke WordPress tidaklah aman.
Berikut panduan merubah url wp-admin pada WordPress Anda : Cara Mengubah URL Login WordPress
Cara 6. Membatasi akses ke halaman wp-login.php
Salah satu langkah untuk meningkatkan keamanan WordPress Anda adalah dengan membatasi akses ke halaman wp-login.php berdasarkan alamat IP pengguna. Dengan cara ini, hanya alamat IP yang terdaftar dalam daftar yang dapat mengakses halaman tersebut, sementara yang lain akan dilarang.
Namun cara ini bisa Anda gunakan, jika Anda menggunakan IP public yang bersifat static. Jika IP public koneksi anda bersifat dinamis, maka kami sarankan untuk tidak menggunakan cara ini.
Berikut adalah cara untuk melakukan pembatasan akses ke halaman wp-login.php berdasarkan alamat IP.
- Login ke cPanel, lalu masuk ke folder file manager, kemudian pilih folder public_html lalu pada file .htaccess dapat klik kanan lalu edit.
- Kemudian tambahkan script berikut ini.
order deny, allow
allow from 123.xx.xx.xx (alamat ip Anda)
deny from all
- Kemudian Anda dapat membatasi halaman wp-admin dan juga file wp-login.php berdasarkan ip address Anda dapat menambahkan lebih dari 1 ip address yang Anda percayai. Berikut contoh kode lengkap htaccessnya :
<Files wp-login.php>
order deny,allow
Deny from all
# Ip Address Anda
allow from 114.142.170.16
# Ip Address Anda yang lain
# allow from 114.142.170.16
ErrorDocument 403 "Denied."
</Files>
- Berikut screenshot kode pada file .htaccess yang bisa digunakan :
- Kemudian klik simpan. Dan pengguna yang tidak menggunakan ip tersebut tidak akan dapat mengakses halaman wp-login.php.
Cara 7. Membatasi akses ke halaman wp-admin
Secara default, halaman dashboard WordPress adalah wp-admin, Anda dapat membatasi ip address mana saja yang dapat mengakses halaman wp-admin. Jika ip address tersebut tidak terdaftar, maka tidak akan dapat diakses dan hanya ip address Anda yang dapat mengaksesnya. Berikut cara membatasi akses ke halaman wp-admin berdasarkan ip :
- Login ke cPanel lalu masuk ke folder file manager, kemudian pilih folder public_html kemudian folder wp-admin kemudian buat file htaccess.
tambahkan dengan script berikut :
order deny,allow
# Ip Address Anda
allow from 114.142.xxx.xx
# Ip Address Anda yang lain
# allow from 114.142.xxx.xx
deny from all
ErrorDocument 403 "Denied."
Anda dapat menambahkan atau merubah ip yang Anda percayai, untuk mengetahui ip address yang digunakan oleh perangkat Anda, Anda dapat menggunakan url berikut https://ipsaya.com/ atau https://www.whatsmyip.org/. Berikut screenshot kode pada file htaccess pada folder wp-admin nya :
Kemudian klik simpan. Dan pengguna yang tidak menggunakan ip tersebut tidak akan dapat mengakses halaman wp-admin
Cara 8. Membatasi gagal login
Anda dapat membatasi gagal login secara berulang di waktu yang bersamaan, dengan demikian penyusup atau hacker yang mencoba untuk login ke dashboard wp-admin Anda akan sangat minim karena hanya Anda yang memiliki akses login ke dashboard wp-admin.
Untuk mengkonfigurasinya, Anda dapat mengikuti panduan pada artikel berikut : Cara Membatasi Login di WordPress Dengan Plugin Loginizer
Cara 9. Menambahkan 2FA pada WordPress
Two Factor Authentication atau yang disingkat menjadi 2FA adalah keamanan tambahan yang digunakan untuk login ke suatu sistem. Anda dapat menambahkan 2fa pada WordPress agar kesempatan login ke dashboard WordPress lebih aman. Untuk mengkonfigurasinya Anda dapat mengikuti panduan pada artikel berikut ini : Cara Setting Two Factor Authentication (2FA) di WordPress
Cara 10. Mengaktifkan recaptcha
Anda dapat mengaktifkan recaptcha pada website agar meminimalisir serangan seperti bot pada halaman login ataupun pada halaman komentar seperti spam yang mengganggu. Untuk mengaktifkannya, Anda dapat mengikuti artikel berikut ini : Cara Memasang Captcha
Cara 11. Menggunakan SSL / HTTPS pada website
SSL / HTTPS adalah sebuah lapisan keamanan terenkripsi yang berfungsi untuk mengamankan transaksi data antara web browser dan server dan pastikan Anda telah menggunakan ssl / https pada website Anda. Secara default semua layanan hosting Rumahweb telah aktif ssl gratis, namun Anda dapat menggunakan ssl premium yang ada pada link berikut ini SSL Murah Terbaik.
Cara 12. Menggunakan plugin security
Beberapa plugin security mengklaim dapat mengamankan website WordPress. Anda dapat menggunakan salah satu plugin security populer yang dapat memaksimalkan keamanan website. Berikut beberapa plugin security yang dapat Anda gunakan.
Cara 13. Mematikan fitur editing pada WordPress
WordPress memiliki fitur editor code dimana pengguna dapat mengedit script baik itu theme dan plugin yang digunakan secara langsung melalui dashboard wp-admin namun hal ini memiliki masalah salah satunya dari sisi keamanan, sehingga bisa saja mengedit kode langsung melalui dashboard wp-admin.
Berikut cara mematikan fitur editing pada WordPress :
Login ke cpanel > file manager > public_html > pada file wp-config.php klik kanan lalu edit.
Lalu tambahkan script berikut
define( 'DISALLOW_FILE_EDIT', true );
Lalu klik simpan, dan saat ini fitur editor code pada dashboard wp-admin sudah tidak ada.
Cara 14. Mencegah pengguna memasang plugin dan theme
Selain menonaktifkan kode editor di dashboard wp-admin, Anda dapat menonaktifkan untuk memasang plugin / theme lain. Hal ini bertujuan agar tidak sembarang plugin dapat di instalkan ke WordPress Anda karena beresiko tinggi jika plugin tersebut diupload dari sumber yang tidak dikenal atau tidak dipercaya.
Berikut cara mencegah pengguna memasang plugin dan theme :
Login ke cpanel > file manager > public_html > pada file wp-config.php klik kanan lalu edit.
Lalu tambahkan script berikut
define( 'DISALLOW_FILE_MODS', true);
Lalu klik simpan, dan saat ini fitur add plugin / theme pada dashboard wp-admin sudah tidak ada.
Cara 15. Menonaktifkan WordPress debugging
Cara meningkatkan keamanan login WordPress yang terakhir adalah dengan menonaktifkan debug. Pesan kesalahan error dapat menjadi salah satu celah bagi hacker untuk menyisipi virus malware ke ke website WordPress Anda.
Pesan kesalahan error tersebut biasanya muncul jika ada theme / plugin yang telah usang dan tidak support dengan versi yang lain sehingga mengalami kendala corrupt atau gagal akses seperti menampilkan pesan error.
Secara default WordPress telah menonaktifkan fitur debugging, namun apabila WordPress Anda masih aktif fitur debuggingnya, Anda dapat menonaktifkannya. Berikut cara mencegah pengguna memasang plugin dan theme :
- Login ke cpanel > file manager > public_html > pada file wp-config.php klik kanan lalu edit.
- Lalu ubah script berikut dari true menjadi false.
define( 'WP_DEBUG', false );
- Kemudian klik simpan dan pesan error reporting tidak akan muncul pada website WordPress Anda.
Kesimpulan
Karena popularitasnya yang tinggi, keamanan WordPress sangat penting, sehingga membuatnya menjadi sasaran menarik bagi penjahat dunia maya yang ingin mencuri data atau merugikan orang lain, seperti melalui serangan siber yang dapat menyebabkan masalah pada situs web.
Keamanan situs web pada WordPress menjadi hal yang paling krusial, karena akan memengaruhi kualitas situs web dan dapat merusaknya jika tidak dijaga dengan baik.
Anda dapat menerapkan beberapa cara di atas sebagai referensi untuk meningkatkan keamanan login WordPress Anda. Selain itu pastikan menggunakan layanan hosting yang memiliki fitur keamanan berlapis seperti di Rumahweb Indonesia.
Demikian artikel mengenai cara meningkatkan keamanan login WordPress pada website Anda dan semoga bermanfaat.