Alamat login WordPress pada dasarnya yaitu namadomainkamu.com/wp-login.php, bisa juga dengan mengakses namadomainkamu.com/wp-admin/ pengguna yang belum login akan diarahkan ke laman wp-login.php kembali.
Tahukah kamu bahwa tidak sedikit blog WordPress yang di hack berdasarkan data dari Sucuri tahun 2018, dikarenakan administrator tidak memperbarui inti WordPress, plugin, dan tema secara reguler sehingga bug di versi yang out-of-date berhasil dieksploitasi oleh hacker.
Ditambah lagi alamat login WordPress yang mudah ditebak, memudahkan si peretas untuk mengakses laman wp-admin (saat berhasil membuat/mendapatkan user admin (yang baru/lama) atau untuk melakukan serangan bruteforce).
Dengan menyembunyikan halaman login WordPress, minimal kita akan mempersulit si peretas untuk mengakses laman wp-admin. Sebelum kamu mengikuti tutorial berikut ini ada baiknya untuk membuat backup WordPress terlebih dahulu.
1. Cara Menyembunyikan Halaman Login WordPress
Plugin WPS Hide Login adalah plugin yang dapat menyembunyikan laman login WordPress. Tinggal kamu pasang pada blog WordPress caranya yaitu akses laman Plugin > Tambah Baru > dansearchWPS Hide Login, klik pasang, dan aktifkan.
Setelah aktif, kamu bisa mengakses laman Pengaturan > Umum. URL Login bisa kamu customsesuai keinginan seperti : login-aku-tuh-s3cure.Setelah disimpan maka laman login akan berubah menjadi namadomainkamu.com/?login-aku-tuh-s3cure.
Lihat gambar di bawah ini, kamu bisa mengkombinasikan huruf, angka, dan tandadash(-). Jangan lupa untuk menyimpan URL login yang sudah dikustom menggunakan fiturbookmarkyang terdapat pada browser (CTRL + D).
Jika kamu lupa dengan URL login yang telah dikustom sebelumnya, jangan panik. Kamu bisa menghapus plugin WPS Hide Login melalui FTP. Login kembali menggunakan wp-login.php dan reinstall plugin tersebut.
Plugin yang bisa menyembunyikan laman WordPress selain WPS Hide Login yang populer juga di antaranya yaitu iThemes Security, Webcraftic Hide Login Page, Easy Hide Login, dan Hide My WP.
2. Cara Mengganti Login WordPress
Jika di poin pertama lebih menitikberatkan pada perubahan URL laman masuk, di poin kedua ini kita akan mengganti login WordPress self hostedmenggunakan laman login dari WordPress.com.
Kamu perlu memasang dan mengaktifkan plugin Jetpack, padatabKeamananscrollke bawah hingga menemukan tulisan WordPress.com Login, beri tanda centang pada tulisan Allow users to log in to this site using WordPress.com accounts.
Kamu bisa mengikuti gambar di atas, pastikan kamu mengaktifkan tanda berwarna biru pada Cocokan akun menggunakan alamat email dan Minta akun untuk menggunakan Autentikasi Dua Langkah WordPress.com.
Sekarang buka filefunctions.phppadachild theme,lalu masukkan kode berikut ini untuk mengganti login WordPress menjadi laman masuk dari WordPress.com.
//* 2FA untuk Jetpack
add_filter( ‘jetpack_remove_login_form’, ‘__return_true’ );
add_filter( ‘jetpack_sso_require_two_step’, ‘__return_true’ );
add_filter( ‘jetpack_sso_bypass_login_forward_wpcom’, ‘__return_true’ );
add_filter( ‘jetpack_sso_new_user_override’, ‘__return_true’ );
add_filter( ‘jetpack_sso_match_by_email’, ‘__return_false’ );
Setiap kali login ke blog WordPress, kamu akan diarahkan ke laman masuk dari situs WordPress.com terlebih dahulu. Cara ini cukup ampuh untuk meminimalisir seranganbrute forcedan malware.
Mengapa demikian? Karena seranganbrute forcetidak akan mengenai blog kamu langsung, melainkan akan difilter oleh situs WordPress.com terlebih dahulu. Fitur 2FA juga akan melindungi akun dan password.
Apabila ada malware yang berhasil mencuri akun dan password adminisrator blog WordPress akan percuma saja, karena diperlukan autentikasi tambahan berupa kode angka yang dihasilkan oleh aplikasi semisal Google Authenticator atau Authy.
3. Cara Membatasi Akses ke WP-Login.php
Cara di nomor ketiga ini bisa dikombinasikan dengan cara yang ada di nomor pertama dan kedua. Fyi, cara di nomor kedua tidak bisa dikombinasikan dengan cara yang pertama. Jadi hanya bisa dipilih salah satu cara saja.
Sekarang kita akan membuat limit IP Address yang diperkenakan untuk mengakses ke laman WP-login.php. Cara ini khusus buat kamu yang memiliki IP statis bukan dinamis ya.
Kamu bisa mendapatkan IP statis dengan membelinya ke ISP (sewa dengan biaya bulanan) atau menggunakan VPN. Sekarang buka file.htacessdan masukkan IP Address kamu sebagaiwhitelist:
<Files wp-login.php>
order deny,allow
Deny from all
# IP Address dari VPN kamu masukkan di bawah ini, ganti angka 1.2.3.4
allow from 1.2.3.4
#Jika perlu menambahkan IP Address yang berbeda, ganti angka 6.7.8.9
allow from 6.7.8.9
</Files>
Kamu bisa limit tidak hanya WP-Login.php saja tetapi juga WP-Admin jika memang diperlukan. Sehingga hacker tidak bisa mengakses laman penting tersebut. Cara ini cukup ampuh meminimalisir peretasan situs WordPress.
Semoga tips di atas bisa bermanfaat, jika ada hal yang ingin ditanyakan lebih lanjut kamu bisa kirimkan pertanyaan melalui Forum Situstarget. Bagikan juga tulisan di atas melalui sosmed dengan cara mengklik tombolsharedi bawah artikel ini.
