Bagaimana Cara Mengamankan Laman Login (WP-Admin) pada WordPress

Kenapa kita harus mengamankan area login pada WordPress? Karena laman ini adalah pintu gerbang menuju dashboard admin yang merupakan pusat kontrol website berbasis wordpress. Dengan menguasai laman Admin, seseorang yang berniat jahat dapat dengan leluasa untuk melakukan apapun pada situs kamu. Sudikah kamu bila hal itu terjadi?

Ada banyak alasan kenapa orang bisa membobol website yang kamu buat dari mulai faktor ekonomi, menyusupkan malware, hingga kegiatan iseng belaka.

Salah satu cara yang bisa kamu lakukan untuk meningkatkan keamanan sebuah website adalah dengan memastikan bahwa hanya user tertentu sajalah yang bisa mengakses laman admin.

Beberapa cara yang bisa kamu lakukan untuk melindungi laman Admin, antara lain.

Mengganti username Admin

Sudah bukan rahasia lagi kalau kamu selalu akan mendapatkan username Admin secara default setiap kali melakukan pemasangan WordPress. Dengan begitu, bila ada orang yang ingin berbuat jahat pasti akan menebak dengan nama ini terlebih dahulu sebelum menggunakan nama lainnya.

Untuk itulah, mengganti/menghapus username Admin seringkali direkomendasikan setiap kali kamu selesai menginstall WordPress.

Kamu dapat menghapus username Admin dengan mudah melalui dashboard WordPress. Caranya,

  • Login terlebih dahulu dengan username dan password kamu saat ini.
  • Tambahkan username baru dengan memilih menu Pengguna » Tambah Baru melalui dashboard WordPress.
  • Pilih username yang unik dan jangan lupa untuk memberikan peran sebagai Administrator untuk akun baru tersebut.
  • Logout dari WordPress dan login dengan akun kamu yang baru.
  • Hapus username Admin, selesai.

Bila sebelumnya kamu memiliki postingan atas nama Admin, jangan lupa untuk memindahkan nama pengarang pada pos lama kamu ke akun yang baru.

Alternatif lain untuk mengganti nama default Admin adalah dengan melalui phpMyAdmin, dengan begitu kamu tidak perlu membuat akun baru terlebih dahulu dan semua postingan atas nama Admin akan secara otomatis berada di bawah nama Admin yang baru.

  • Masuk ke cPanel dan pilih menu Database » phpMyAdmin.
  • Lihat list database pada kolom sebelah kiri.
  • Bila kamu hanya memiliki satu instalasi WordPress, maka kamu hanya akan melihat satu database saja. Bila kamu memiliki banyak instalasi WordPress, cek file wp-config.php dari website yang akan kamu rubah.
  • Pada file wp-config.php, cari baris yang bertuliskan ('DB_NAME, 'nama_database').
  • Ketika kamu sudah mendapatkan nama database yang kamu gunakan, klik database tersebut dan cari tabel yang berakhiran ‘_users’. Misalnya bila nama database kamu adalah 'wp_007', maka kamu harus mencari 'wp_007_users'.
  • Pada tabel tersebut akan ada daftar username yang ada pada website kamu. Cari username Admin dan klik tombol Edit.
  • Cari pilihan user_login dan ganti nama Admin dengan nama lain yang kamu inginkan.
  • Setelah selesai, klik tombol Go.

Membuat Password yang sulit ditebak

Kamu mungkin perlu terlebih dahulu melihat daftar password terlemah pada daftar yang dikeluarkan oleh SplashData. Kalau kamu masih menggunakan password pada list tersebut seperti ‘123456’ atau ‘password’, mungkin kamu harus menggantinya sekarang juga.

daftar-25-password-terburuk-2016

Tujuan dari penggunaan username dan password adalah untuk membuat orang lain selain kamu sulit untuk mengakses data rahasia yang kamu miliki. Namun bila kamu memiliki username dan password yang mudah ditebak, maka kemungkinan orang lain bisa mengakses data tersebut menjadi lebih besar.

Kalau kamu pernah lihat pada beberapa situs, ketika kita mendaftarkan username dan password, seringkali ada password meter yang akan memberitahukan kita seberapa kuat password yang kita gunakan.

Beberapa bahkan mengharuskan adanya kombinasi dengan karakter tertentu lainnya seperti angka dan simbol.

Hal ini dilakukan karena situs-situs tersebut sudah mengerti pentingnya password yang baik untuk mengamankan kerahasiaan data pengguna sehingga mereka aktif menghimbau user untuk membuat password yang lebih baik untuk akun yang mereka daftarkan.

Untuk kamu yang penasaran seberapa kuat password yang kamu miliki sekarang, kamu bisa memeriksanya sendiri pada situs seperti,

  • Howsecureismypassword – Password strength check yang disponsori oleh Dashlane yang akan memberikan gambaran berapa lama password yang kamu gunakan untuk bisa dipecahkan?
  • Passwordmeter – Situs ini akan menganalisa password yang kamu gunakan dan memberikan kamu beberapa catatan yang bisa kamu gunakan untuk memperbaikinya.
  • Kaspersky Secure Password Check – Salah satu layanan Kaspersky yang akan menghitung berapa lama waktu yang dibutuhkan untuk memecahkan sebuah password dengan beberapa perangkat tertentu seperti komputer 80-an, laptop, hingga super komputer.

CATATAN: Beberapa layanan yang bisa digunakan untuk memeriksa kekuatan password memiliki estimasi untuk mengetahui seberapa lama sebuah password bisa dipecahkan. Namun harus diketahui bahwa semua situs tersebut memiliki kriteria masing-masing, jadi jangan heran bila hasilnya berbeda-beda.

Idealnya, sebuah password yang kuat harus terdiri dari 8 karakter atau lebih yang isinya merupakan kombinasi huruf (besar dan kecil), angka, dan simbol seperti ‘!’, ‘@’, atau ‘#’. Bila kamu melakukan hal ini, kamu bisa memiliki kombinasi 90+ karakter yang tentunya akan lebih sulit untuk dipecahkan dibandingkan 26 karakter bila kamu hanya menggunakan huruf kecil saja.

Tapi bukankah sulit untuk mengingat password dengan semua kombinasi ini?

Well, kalau kamu menggunakan cara ini untuk semua akun kamu mungkin saja iya. Kalau kamu tidak ingin repot, ada aplikasi pengingat password seperti LastPass, RoboForm, Dashlane, atau KeePass di mana kamu hanya perlu mengingat satu password master saja untuk semua akun kamu.

Aplikasi-aplikasi tersebut juga memiliki password generator yang bisa kamu manfaatkan untuk membuat password yang sulit ditebak.

Cara lain untuk membuat password yang cukup efektif adalah dengan menggunakan metode passphrase / diceware. Kamu bisa melihat ilustrasi berikut untuk lebih jelasnya,

Dengan metode ini, kamu hanya perlu 4 kata atau lebih dan menggabungkannya dalam satu frasa untuk membentuk sebuah password. Cara ini cukup efektif karena kamu bisa menggunakan banyak karakter yang tentunya akan sulit untuk dibobol namun tetap mudah untuk diingat.

Membatasi jumlah Login

Apakah kamu pernah mendengar kata brute force?

Dengan brute force, orang lain yang berniat jahat akan menyusup ke dalam akun kamu dengan mencoba banyak kombinasi username dan password secara berulang-ulang sampai mereka menemukan kombinasi yang pas.

Selain membuka kemungkinan bagi penjahat untuk bisa masuk ke dalam situs yang kamu buat, brute force juga akan memakan banyak resource dan bisa membuat situs kamu tumbang karena banyaknya pertukaran data yang terjadi dengan server. Jadi meskipun brute force gagal, kamu bisa tetap mengalami kerugian.

Cara yang paling mudah untuk mengatasi serangan semacam ini adalah dengan membatasi jumlah login yang bisa dilakukan oleh satu alamat IP tertentu. Satu cara ini saja sudah cukup ampuh untuk mengurangi serangan brute force secara signifikan.

Untuk membatasi jumlah login pada WordPress, kamu bisa menggunakan plugin seperti,

  • WP Limit Login Attempts – Plugin ringan untuk menangkal serangan brute force dengan membatasi jumlah login dan penggunaan Captcha.
  • Limit Login Attempts Reloaded – Plugin ini akan membatasi jumlah login untuk masing-masing alamat IP yang bisa diatur. Kamu juga bisa memasukan IP ke dalam whitelist atau blacklist.
  • Limit Attempts Booster – Plugin ini menyediakan perlindungan pada laman login dari serangan brute force serta didesain untuk kamu yang memiliki situs dengan banyak user.
  • Jetpack – Kalau kamu sudah memiliki Jetpack, plugin ini memiliki menu pengaturan untuk melindungi kamu dari serangan brute force.

Membatasi akses user

Dalam mengatasi masalah keamanan, seringkali kecerobohan user itu sendiri yang menjadi faktor terlemah pada sistem yang kamu bangun. Hal ini mungkin bisa sedikit diminimalisir bila kamu hanya bekerja sendirian. Namun, bagaimana bila kamu berkerja sama dalam sebuah tim?

Bila kamu memiliki situs dengan banyak user, berikan mereka peran sesuai dengan tugas mereka masing-masing. Dengan begitu mereka hanya memiliki akses pada area sesuai dengan peran yang mereka miliki pada situs yang kamu miliki.

berikan-peran-user-sesuai-tugasnya

Dan tidak hanya itu saja, kamu juga harus mewajibkan user lainnya untuk memilki password yang kuat. Untuk memastikan hal ini, kamu bisa menggunakan plugin seperti Force Strong Password yang akan memaksa mereka untuk bisa mengakses sebuah akun hanya bila mereka memiliki password yang sudah lolos inspeksi plugin terebut.

Ubah login URL

Pada setiap pemasangan situs WordPress, sudah dipastikan kalau URL untuk login ke dalam situs yang kamu buat adalah nama situs kamu yang diikuti oleh wp-login.php atau wp-admin seperti contoh,

  • namadomainsaya.com/wp-admin, atau
  • namadomainsaya.com/wp-login.php

Untuk mengamankan file ini, kamu bisa memindahkannya sehingga hanya kamu yang mengetahui cara masuk ke dalam dashboard Admin.

Cara yang paling mudah untuk memindahkan URL ini adalah dengan menggunakan plugin seperti Protect Your Admin atau WPS Hide Login yang akan memindahkan URL admin kamu dan memblokir link ke URL Admin default.

Jadi bila ada yang mengakses wp-admin maka mereka akan diarahkan ke link yang kamu pilih dan hanya link yang benar saja yang bisa mengakses URL Admin sebenarnya.

Two-factor authentication

Pada proses autentikasi biasa, kamu hanya perlu untuk memasukan username dan password untuk dapat masuk ke dalam sebuah akun. Namun dengan two-factor authentication, kamu juga harus menggunakan kode lainnya yang biasanya dihasilkan pada perangkat yang kamu punya seperti smartphone.

alur-skema-two-factor-authentication

Image credit: duo.com

Memasang plugin keamanan

Plugin adalah salah satu nilai plus pada WordPress karena kamu bisa menambahkan beragam fungsi ke dalam WordPress, termasuk untuk memperbaiki masalah keamanan.

Selain plugin dengan kemampuan khusus seperti yang sudah disebutkan sebelumnya, WordPress juga memiliki plugin keamanan lainnya yang memiliki fungsi yang sangat lengkap untuk menjaga kemanan situs kamu.

Dengan plugin keamanan ini, kamu tidak hanya bisa melindungi laman admin saja tapi juga bisa menambahkan fungsi malware scanner, IP blocker, firewall, dan lain-lain ke dalam WordPress.

Beberapa plugin keamanan yang juga dilengkapi fungsi login protection antara lain,

Menggunakan HTTPS

Cara lain yang bisa kamu lakukan utuk mengamankan laman wp-admin adalah dengan mengamankan jalur komunikasi antara kamu dan server dengan menggunakan sistem yang terenkripsi.

Kalau kamu melihat sebuah alamat website, kamu bisa melihat awalan ‘http://’ seperti pada http://bisablog.com/.

HTTP atau Hypertext Transfer Protocol, merupakan protokol yang memungkinkan komunikasi terjadi di antara dua sistem, seperti pada proses pertukaran data antara web server dan sebuah browser.

Sayangnya pada HTTP, data dan jalur yang digunakan tidak dienksripsi atau diamankan terlebih dahulu sebelum dikirimkan. Dengan begitu, seseorang dapat mengambil data tersebut dan menggunakannya dengan mudah.

Dari sinilah muncul HTTPS, di mana ‘S’ di sini berarti secure (aman).

Pada HTTPS, kita menggunakan SSL (Secure Sockets Layer) untuk mengamankan jalur komunikasi antara web server dan browser.

perbedaan-http-dan-https

Satu pertimbangan lain kenapa kamu harus menggunakan HTTPS adalah karena Google menggunakan HTTPS sebagai salah satu faktor dalam menentukan ranking sebuah website.

Penutup

Selain membuat konten yang baik dan menyajikannya dengan cepat, masalah kemanan juga patut mendapatkan porsi yang sama-sama penting.

Meskipun tidak ada cara yang 100% aman, mengamankan laman login bisa menjadi langkah awal dalam memberikan perlindungan pertama terhadap akses jahat.

Cara yang paling mudah adalah dengan menggunakan username dan password yang sulit ditebak. Namun untuk kamu yang ingin proteksi lebih bisa membatasi jumlah login dan kalau perlu memindahkan laman login.

Apakah kamu memiliki cara lain yang belum disebutkan di sini? jangan segan untuk berbagi di kolom komentar di bawah ini.

Posted in Wordpress.

Leave a Reply

Your email address will not be published. Required fields are marked *