Halaman login adalah pintu masuk utama bagi pemilik website, tapi juga menjadi target utama bagi para hacker. Serangan brute force—di mana bot mencoba ribuan kombinasi password secara otomatis—sering terjadi pada instalasi WordPress standar. Berikut adalah langkah-langkah untuk mengunci pintu website kamu.
Ubah URL Login Default
Secara default, semua website WordPress memiliki alamat login di [domainanda.com/wp-admin](https://domainanda.com/wp-admin) atau wp-login.php. Ini memudahkan bot untuk menyerang. Gunakan plugin seperti WPS Hide Login untuk mengubahnya menjadi sesuatu yang unik, misalnya [domainanda.com/pintu-rahasia](https://domainanda.com/pintu-rahasia).
Terapkan Two-Factor Authentication (2FA)
Keamanan berlapis adalah standar emas saat ini. Dengan mengaktifkan 2FA, meskipun seseorang berhasil menebak password kamu, mereka tetap tidak bisa masuk tanpa kode verifikasi dari handphone kamu. Plugin seperti Wordfence atau WP 2FA menyediakan fitur ini secara gratis.
Batasi Percobaan Login
Secara default, WordPress memperbolehkan percobaan login tanpa batas. Kamu harus membatasinya. Gunakan plugin Limit Login Attempts Reloaded untuk memblokir alamat IP yang gagal login lebih dari 3 atau 5 kali. Ini akan langsung menghentikan sebagian besar serangan bot otomatis.
Gunakan Password yang Kuat dan Unik
Hindari menggunakan password seperti “admin123” atau tanggal lahir. Pastikan password kamu terdiri dari kombinasi huruf besar, huruf kecil, angka, dan simbol. Jika kamu kesulitan mengingatnya, gunakan pengelola kata sandi (password manager).
Update Core, Plugin, dan Tema Secara Rutin
Celah keamanan seringkali muncul dari script yang sudah usang. Pengembang WordPress dan plugin selalu merilis pembaruan untuk menambal lubang keamanan tersebut. Pastikan kamu selalu melakukan update segera setelah versi terbaru tersedia.