Keamanan Login WordPress: Amankan Halaman Login Anda dengan Mudah - MalCare

Tahukah Anda bahwa ada lebih dari 90.000 serangan peretasan di situs web WordPress per menit? Itu statistik yang sangat tinggi dan yang tidak bisa kita abaikan begitu saja.

Untuk meretas situs WordPress, peretas paling banyak menargetkan halaman login. Ini karena dengan mengakses situs Anda melalui halaman ini, peretas dapat memperoleh kendali penuh atas situs Anda.

Malapetaka yang terjadi kemudian akan berdampak parah pada situs Anda. Peretas dapat menjual produk ilegal atas nama Anda atau mengarahkan pengunjung Anda ke situs web berbahaya. Mereka juga dapat mengelabui pengunjung agar membeli produk duplikat atau mengunduh malware. Ini dapat merusak bisnis dan reputasi Anda.

Untungnya, Anda dapat mencegah peretas menyalahgunakan situs web Anda dengan melindungi halaman yang paling ditargetkan – halaman login. Di MalCare, kami menangani peretasan ini setiap hari dan ingin mengatasi masalah ini ke semua pengguna WordPress. Di sini, kami akan menunjukkan kepada Anda langkah-langkah keamanan terbaik yang dapat Anda ambil untuk membuat halaman login Anda aman dari peretas. Anda juga dapat membaca panduan kami tentang cara melindungi situs web Anda dari peretas.

TL;DR: Jika Anda memerlukan solusi keamanan WordPress yang mudah diimplementasikan dan secara otomatis akan melindungi halaman login Anda, instal MalCare Security Plugin kami. Ini akan memungkinkan membatasi upaya masuk secara instan dan juga memberi Anda opsi untuk mengeraskan situs web WordPress Anda.

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

5 Langkah Untuk Mengamankan Halaman Login WordPress Anda

Ada beberapa langkah yang dapat Anda ambil untuk mengamankan Halaman Login WordPress Anda. Namun, tidak setiap langkah yang Anda ambil efektif. Terkadang Anda hanya menambahkan kebisingan sementara halaman login Anda tetap rentan.

Pada artikel ini, kami akan fokus pada 5 langkah penting yang dapat Anda ambil yang telah terbukti efektif dan pasti akan menjaga keamanan situs Anda.

Kami berasumsi bahwa Anda telah menginstal SSL di situs Anda. Jika Anda tidak memiliki perlindungan SSL, Anda harus segera menambahkannya dari penyedia hosting atau penyedia SSL Anda. Setiap situs web harus menginstal SSL sebagai ukuran keamanan situs dasar pertama. Ini mengenkripsi data yang ditransfer antara situs web dan server Anda. Ini berarti peretas tidak dapat mencuri data Anda saat melewati antara situs Anda dan server hosting. Karenanya peretas yang mencoba mencuri kredensial pengguna dari halaman login akan dicegah melakukannya.

1. Menggunakan Nama Pengguna Dan Kata Sandi Yang Kuat Untuk Mengamankan Halaman Login

Saat membuat akun pengguna di situs WordPress, orang cenderung menggunakan sesuatu yang mudah diingat atau yang pernah mereka gunakan untuk setiap akun lainnya. Masalah dengan ini adalah membuat pekerjaan seorang peretas jauh lebih mudah.

Pertama, peretas menggunakan teknik yang disebut brute force di mana mereka mencoba nama pengguna dan kata sandi yang berbeda untuk mencoba menebak jalan mereka ke akun Anda. Mereka melakukannya dengan menggunakan bot otomatis dan algoritme yang mampu melakukan ribuan upaya dalam beberapa detik. Jika Anda menggunakan kata sandi sederhana seperti 'kata sandi123', bot akan dapat menebaknya dalam beberapa percobaan pertama.

Kedua, jika Anda menggunakan kredensial yang sama untuk semua akun Anda, ini akan menimbulkan masalah. Ada begitu banyak pelanggaran data dari perusahaan-perusahaan top dan pada tahun 2019 saja, 4,1 miliar catatan terungkap. Jika nama pengguna dan kata sandi Anda dicuri di situs web belanja, peretas dapat menggunakannya untuk mencoba meretas akun Anda yang lain seperti email, internet banking, atau situs WordPress Anda.

Kredensial masuk admin Anda seperti kunci rumah atau kantor Anda. Inilah sebabnya mengapa langkah pertama dalam keamanan login adalah menggunakan nama pengguna dan kata sandi yang kuat.

• Kami menyarankan Anda untuk tidak pernah menggunakan nama pengguna default 'admin'. Jika nama situs web Anda adalah thefirstexample.com , jangan jadikan nama pengguna admin Anda 'thefirstexample'. Ini adalah beberapa nama pengguna pertama yang akan dicoba oleh peretas di layar masuk. Sebaliknya, gunakan yang tidak biasa dan unik yang sulit ditebak siapa pun.
• Datang ke kata sandi, Anda perlu menggunakan kata sandi yang sulit ditebak oleh siapa pun. Sebaiknya gunakan frasa sandi yang dikombinasikan dengan simbol dan angka. Ini membuat kata sandi Anda sangat kuat.

Saat membuat kata sandi Anda, WordPress akan menunjukkan seberapa lemah atau kuat kata sandi Anda. Sebagai contoh, kami membuat yang berikut ini di akun admin WordPress kami:

WordPress menunjukkan bahwa kata sandinya sangat lemah. Jadi kami meningkatkan permainan kami dengan ini:

Terakhir, karena situs web WordPress Anda adalah aset yang berharga, menurut kami situs web tersebut layak mendapatkan kata sandi yang unik. Munculkan salah satu yang tidak Anda gunakan di situs lain mana pun.

Sekarang Anda tahu kredensial login Anda aman. Jika Anda memiliki banyak pengguna di situs WordPress Anda, penting bagi mereka semua untuk mengikuti rekomendasi ini karena ini adalah langkah yang sangat penting dalam melindungi halaman login WordPress Anda.

2. Batasi Jumlah Upaya Login untuk Keamanan Lebih Baik

Secara default, WordPress memungkinkan upaya masuk yang tidak terbatas. Peretas memanfaatkan fitur ini melalui serangan brute force. Anda bisa mendapatkan perlindungan brute force hanya dengan membatasi jumlah upaya login yang gagal yang diberikan pengguna.

Anda mungkin pernah melihat perintah ini saat memasukkan kata sandi yang salah di situs web, terutama situs perbankan online:

Ini karena situs web telah menerapkan upaya login terbatas. Seorang pengguna memiliki tiga kesempatan untuk memasukkan kredensial yang benar untuk masuk ke akun mereka. Setelah tiga kali salah mencoba, mereka akan dikunci dari akun mereka dan harus menggunakan opsi 'Lupa kata sandi'.

Anda dapat mengimplementasikan fitur ini dengan dua cara:

• Menggunakan plugin – Kami merekomendasikan plugin keamanan MalCare. Setelah terinstal, perlindungan login WordPress terbatas diterapkan secara otomatis. Plugin ini juga memberi Anda perlindungan berbasis Captcha yang akan mencegah bot jahat mengakses situs Anda.
• Secara Manual – Untuk membatasi jumlah upaya login secara manual, Anda perlu mengakses file functions.php Anda. Anda perlu menambahkan tindakan WordPress dan filter pengait dengan fungsi callback yang sesuai. Metode ini bersifat teknis dan berisiko. Jika Anda tidak paham dengan pengkodean, sebaiknya jangan mencoba ini.

Dengan dua langkah ini, situs web WordPress Anda memiliki langkah-langkah keamanan dasar untuk halaman login Anda. Sekarang, kita dapat beralih ke tindakan yang lebih maju.

[ss_click_to_tweet tweet=”WordPress memungkinkan upaya login dalam jumlah tak terbatas secara default. Gunakan MalCare untuk menerapkan upaya login terbatas secara otomatis.” content=”WordPress memungkinkan upaya login dalam jumlah tak terbatas secara default. Gunakan MalCare untuk menerapkan upaya login terbatas secara otomatis.” gaya =”default”]

3. Menggunakan Autentikasi 2 Faktor untuk Keamanan Login yang Lebih Kuat

Anda pasti telah memperhatikan bahwa ketika Anda mencoba masuk ke akun Gmail Anda, Anda harus mengikuti dua langkah.

Langkah pertama melibatkan memasukkan kredensial Anda. Pada langkah kedua, Gmail mengirimkan kode verifikasi ke nomor telepon atau alamat email terdaftar Anda. Setelah itu, Anda harus memasukkan nomor ini di akun Gmail Anda untuk mengakses email Anda. Ini adalah Verifikasi dua langkah atau Otentikasi dua faktor.

Untuk memastikan bahwa pengguna yang mengakses akun adalah asli, prosesnya menggunakan kredensial reguler ditambah kata sandi satu kali (OTP) yang dibuat secara real-time.

Jadi, bahkan jika seorang peretas menebak kredensial Anda, mereka masih perlu memasukkan kode satu kali yang dikirimkan kepada Anda dan Anda dapat mengamankan halaman login WordPress Anda dengan mudah.

Anda dapat mengimplementasikan Autentikasi 2 Faktor menggunakan plugin. Dua plugin yang kami rekomendasikan adalah Google Authenticator 2FA dan Two Factor Authentication.

Catatan: Jika Anda menggunakan plugin MalCare, Autentikasi 2 Faktor akan segera tersedia.

4. Pemblokiran geografis – Cegah Peretas untuk Mencapai situs web WordPress Anda

Saat Anda menyiapkan situs WordPress, Anda secara otomatis menyambut lalu lintas dari seluruh dunia, kecuali jika Anda mengonfigurasinya ke wilayah tertentu.

Untuk melihat asal lalu lintas Anda, Anda harus mendaftar ke Google Analytics. Di dasbor, Anda akan melihat opsi 'Di mana pengguna Anda?' Dengan mengeklik 'Ikhtisar Lokasi', Anda dapat melihat dengan tepat dari mana pengunjung Anda berasal.

Alternatifnya, plugin seperti MalCare juga menunjukkan dari mana lalu lintas Anda berasal.

Sering kali, kami menjumpai pemilik situs web yang menemukan bahwa mereka mendapatkan lalu lintas yang tidak diinginkan dari negara tertentu.

Untuk menunjukkan kepada Anda apa yang kami maksud, mari kita ambil contoh. Misalnya, Anda memiliki situs web yang hanya melayani Inggris Raya – example.co.uk. Namun saat Anda memeriksa Analytics, Anda melihat bahwa banyak lalu lintas situs web Anda dari negara lain seperti Rusia, Singapura, dan Amerika Serikat. Anda harus menganggapnya sebagai bendera merah.

Ini hanya indikasi peretas, Anda dapat menggunakan plugin MalCare untuk melihat apakah lalu lintas tersebut benar-benar berbahaya atau tidak.

Setelah menginstal plugin MalCare, akses dasbor. Di bawah 'Keamanan', Anda akan melihat jumlah upaya masuk yang dilakukan di situs web Anda dan berapa banyak plugin yang diblokir.

Dengan mengklik 'tampilkan lebih banyak', log audit akan menunjukkan dengan tepat dari mana lalu lintas berasal dan nama pengguna apa yang dicoba.

Jika Anda merasa lalu lintas seperti itu merupakan risiko yang tidak diinginkan, Anda dapat memblokir seluruh negara. Untuk melakukan ini, MalCare memiliki opsi yang disebut 'geoblocking' yang akan menambah lapisan keamanan dengan memblokir alamat IP apa pun dari negara yang Anda pilih. Begini caranya:

• Di dasbor, pilih situs Anda lalu klik 'Geoblocking'.

• Selanjutnya, dari menu tarik-turun, pilih negara yang ingin Anda blokir. Setelah Anda mengklik 'Blokir Negara', maka akan muncul prompt "IP Negara Terpilih telah berhasil diblokir.

Pemblokiran geografis atau pemblokiran negara membantu mengurangi risiko diretas. Tidak disarankan untuk memblokir seluruh negara karena beberapa lalu lintas mungkin sah. Namun, jika Anda 100% yakin tidak memerlukan lalu lintas yang berasal dari negara tersebut, sebaiknya blokir saja sehingga Anda dapat mengamankan halaman login WordPress Anda dengan tidak membiarkan peretas mengaksesnya.

Baca Juga: Cara memperbaiki masalah Login WordPress Tidak Aman

5. Keluar Otomatis

Tidak jarang memiliki kebiasaan masuk ke akun dan membiarkannya terbuka. Anda mungkin menemukan diri Anda menutup browser tanpa keluar dari akun. Jika Anda meninggalkan sistem Anda tanpa pengawasan, peretas dapat membuka kembali browser Anda dan secara otomatis masuk ke akun Anda.

Kebiasaan seperti itu memperbesar risiko serangan. Untuk mengurangi risiko tersebut, banyak situs menerapkan 'logout otomatis'. Ini adalah praktik umum dengan perbankan online. Jika Anda tidak aktif selama beberapa waktu, situs web secara otomatis mengeluarkan Anda. Anda mungkin melihat prompt seperti di bawah ini:

Ini adalah langkah penting yang dapat Anda terapkan di situs web WordPress Anda. Ini memastikan bahwa tidak ada kemungkinan siapa pun dapat mengeksploitasi akun yang masuk saat pengguna jauh dari sistem mereka.

Tindakan ini sangat direkomendasikan untuk orang yang bekerja dari jarak jauh atau menggunakan perangkat pribadi mereka sendiri. Sebagai pemilik situs web, Anda tidak pernah dapat memastikan bahwa mereka akan ingat untuk keluar saat tidak aktif. Jika mereka menggunakan komputer publik atau wifi publik yang tidak aman, situs web Anda berisiko lebih besar.

Tidak seperti layanan e-banking, WordPress tidak mengeluarkan pengguna secara otomatis saat mereka tidak aktif. Tapi Anda bisa menerapkan langkah keamanan ini dengan menggunakan plugin seperti Bulletproof Security.

Plugin ini memiliki fitur keamanan yang disebut 'Idle Session Logout' yang dapat Anda aktifkan. Anda dapat memilih jangka waktu tidak aktif setelah itu pengguna akan keluar secara otomatis.

Langkah ini akan menjaga situs Anda aman dari jatuh ke tangan yang salah.

[ss_click_to_tweet tweet=”Saya mengamankan halaman login WordPress saya dengan mudah dengan panduan keamanan dari MalCare ini.” content=”Saya mengamankan halaman login WordPress saya dengan mudah dengan panduan keamanan ini oleh MalCare.” gaya =”default”]

Kesimpulannya: Ini Bukan Hanya Halaman Login Anda

Melindungi keamanan halaman login WordPress Anda membawa Anda selangkah lebih dekat ke situs web WordPress yang aman. Peretas suka memangsa situs web yang mudah diretas. Jadi dengan melindungi situs web Anda dengan tindakan dasar, peretas mungkin akan mencoba beberapa kali dan kemudian beralih ke target yang lebih mudah.

Namun ini tidak menjamin bahwa peretas tidak dapat meretas situs Anda. Peretas mengidentifikasi dan mengeksploitasi setiap kerentanan yang mereka temukan di situs web Anda. Bisa jadi plugin baru yang Anda instal memiliki kelemahan keamanan. Mungkin tema yang Anda instal sejak lama dan lupa memperbarui mengembangkan kerentanan seiring waktu. Ada banyak peluang yang dimanfaatkan oleh peretas.

Yang benar-benar Anda butuhkan adalah rencana perlindungan yang komprehensif. Kami sangat menyarankan untuk mengambil beberapa langkah keamanan seperti pemblokiran IP, mengamankan situs dengan wp-config.php, mengikuti panduan lengkap tentang keamanan WordPress ini, dan menggunakan salah satu plugin keamanan WordPress terbaik – MalCare yang akan melindungi situs Anda sepanjang waktu. Ini memberi Anda akses ke laporan pemindaian reguler dan Anda juga dapat menerapkan langkah-langkah pengerasan WordPress yang disarankan. Dengan cara ini situs WordPress Anda akan sangat sulit dibobol!

Lindungi situs Anda dengan Plugin Keamanan MalCare kami !