8 Cara Mengamankan Login WordPress Anda

URL login WordPress sama untuk setiap situs WordPress, dan tidak memerlukan izin khusus untuk mengakses. Siapa pun yang memiliki pengalaman bekerja dengan WordPress tahu bahwa URL login terletak di halaman /wp-login.php .

Aksesibilitas halaman login WordPress menjadikannya bagian yang paling diserang—dan berpotensi paling rentan—dari situs WordPress mana pun. Beruntung bagi kami, plugin iThemes Security Pro memudahkan untuk mengamankan login WordPress Anda.

Mari kita lihat alat di iThemes Security Pro yang dapat Anda gunakan untuk mengamankan login WordPress Anda dan membuatnya hampir tidak bisa ditembus!

1. Batasi Upaya Masuk

Langkah pertama untuk mengamankan login WordPress Anda adalah membatasi upaya login yang gagal. Secara default, tidak ada sesuatu yang dibangun ke dalam WordPress untuk membatasi jumlah upaya login yang gagal yang dapat dilakukan seseorang. Tanpa batasan jumlah upaya login yang gagal yang dapat dilakukan penyerang, mereka dapat terus mencoba kombinasi nama pengguna dan kata sandi yang berbeda sampai mereka menemukan yang berhasil.

Fitur iThemes Security Pro Local Brute Force Protection melacak upaya login yang tidak valid yang dilakukan oleh host atau alamat IP dan nama pengguna. Setelah IP atau nama pengguna melakukan terlalu banyak upaya masuk yang tidak valid berturut-turut, mereka akan dikunci dan akan dicegah untuk mencoba lagi untuk jangka waktu tertentu.

Untuk mulai menggunakan fitur Perlindungan Brute Force Lokal , aktifkan di halaman utama halaman pengaturan iThemes Security Pro.

Pengaturan Perlindungan Brute Force Lokal memungkinkan Anda untuk mengatur ambang batas untuk penguncian.

• Upaya Login Maks Per Host – Jumlah upaya login yang tidak valid yang diizinkan oleh IP sebelum terkunci.
• Upaya Login Maks Per Pengguna – Ini adalah jumlah upaya login yang tidak valid yang diizinkan oleh nama pengguna sebelum terkunci.
• Menit untuk Mengingat Login yang Buruk – Ini adalah berapa lama upaya login yang tidak valid harus dihitung terhadap IP atau nama pengguna untuk penguncian.
• Secara otomatis melarang pengguna “admin” – Saat diaktifkan, siapa pun yang menggunakan nama pengguna Admin saat masuk akan menerima penguncian otomatis.

Ada beberapa hal yang ingin Anda ingat saat mengonfigurasi pengaturan penguncian. Anda ingin memberikan upaya login yang tidak valid kepada pengguna daripada yang Anda berikan IP. Katakanlah situs web Anda berada di bawah serangan brute force dan penyerang menggunakan nama pengguna Anda. Tujuannya adalah untuk mengunci IP penyerang dan bukan nama pengguna Anda, sehingga Anda masih dapat masuk dan menyelesaikan pekerjaan, bahkan saat situs web Anda diserang.

Anda juga tidak ingin membuat pengaturan ini terlalu ketat dengan menyetel jumlah upaya login yang tidak valid terlalu rendah dan waktu untuk mengingat upaya yang tidak valid terlalu lama. Jika Anda menurunkan jumlah upaya login yang tidak valid untuk host/IP menjadi 1 dan mengatur menit untuk mengingat upaya login yang buruk menjadi satu bulan, Anda secara drastis meningkatkan kemungkinan secara tidak sengaja mengunci pengguna yang sah.

2. Batasi Upaya Otentikasi Luar Per Permintaan

Ada cara lain untuk login ke WordPress selain menggunakan form login. Menggunakan XML-RPC, penyerang dapat membuat ratusan upaya nama pengguna dan kata sandi dalam satu permintaan HTTP. Metode amplifikasi brute force memungkinkan penyerang melakukan ribuan upaya nama pengguna dan kata sandi menggunakan XML-RPC hanya dalam beberapa permintaan HTTP.

Menggunakan pengaturan WordPress Tweaks iThemes Security Pro, Anda dapat memblokir beberapa upaya otentikasi per permintaan XML-RPC. Membatasi jumlah upaya nama pengguna dan kata sandi menjadi satu untuk setiap permintaan akan sangat membantu mengamankan login WordPress Anda.

3. Perlindungan Brute Force Jaringan

Membatasi upaya login adalah tentang perlindungan brute force lokal. Perlindungan brute force lokal hanya terlihat pada upaya untuk mengakses situs Anda dan melarang pengguna sesuai aturan penguncian yang ditentukan dalam pengaturan keamanan Anda.

Perlindungan Jaringan Brute Force membawa ini selangkah lebih maju. Jaringannya adalah komunitas Keamanan iThemes dan memiliki lebih dari satu juta situs web yang kuat. Jika IP diidentifikasi mencoba membobol situs web di komunitas Keamanan iThemes, IP akan ditambahkan ke daftar larangan Network Brute Force.

Setelah IP ada dalam daftar larangan Network Brute Force, IP akan diblokir di semua situs web di jaringan. Jadi, jika IP menyerang situs web saya dan diblokir, itu akan dilaporkan ke iThemes Security Brute Force Network. Laporan saya dapat membantu agar IP dilarang di seluruh jaringan. Saya senang bahwa saya dapat membantu mengamankan login WordPress orang lain hanya dengan mengaktifkan Perlindungan Jaringan Keamanan iThemes.

Untuk mulai menggunakan Network Force Protection , aktifkan di halaman utama pengaturan keamanan.

Kemudian masukkan alamat email Anda, pilih apakah Anda ingin menerima pembaruan email atau tidak, lalu klik tombol Simpan .

4. Paksa Kata Sandi yang Kuat

Dalam daftar yang disusun oleh Splash Data, kata sandi paling umum yang disertakan dalam semua dump data adalah 123456. Dump data adalah database yang diretas yang diisi dengan kata sandi pengguna yang dibuang di suatu tempat di internet. Bisakah Anda bayangkan berapa banyak orang di situs web Anda yang menggunakan kata sandi yang lemah jika 123456 adalah kata sandi yang paling umum di dump data?

Menggunakan kata sandi yang lemah seperti mencoba mengunci pintu depan Anda dengan selotip. Tidak pernah butuh waktu lama bagi peretas untuk memaksa melewati kata sandi yang lemah ke dalam situs web. Sekarang peretas memanfaatkan kartu grafis komputer dalam serangan mereka, waktu yang diperlukan untuk memecahkan kata sandi tidak pernah lebih rendah.

Misalnya, mari kita lihat bagan yang dibuat oleh Terahash, perusahaan pembobol kata sandi berkinerja tinggi. Bagan mereka menunjukkan waktu yang diperlukan untuk memecahkan kata sandi menggunakan cluster hashstack 448x RTX 2080-an.

Secara default, WordPress menggunakan MD5 untuk meng-hash kata sandi pengguna yang disimpan di database WP. Jadi, menurut bagan ini, Terahash dapat memecahkan kata sandi 8 karakter … hampir seketika. Itu tidak hanya sangat mengesankan tetapi juga sangat menakutkan. Kabar baiknya adalah kami dapat mengamankan login WordPress kami dengan mengharuskan pengguna tingkat tinggi kami menggunakan kata sandi yang kuat.

Fitur Persyaratan Kata Sandi Pro Keamanan iThemes memungkinkan Anda memaksa pengguna tertentu untuk menggunakan kata sandi yang kuat. Aktifkan fitur Persyaratan Kata Sandi di halaman utama pengaturan keamanan, lalu pilih pengguna yang ingin Anda perlukan untuk menggunakan kata sandi yang kuat.

5. Menolak Kata Sandi yang Disusupi

Menurut Laporan Investigasi Pelanggaran Data Verizon, lebih dari 70% karyawan menggunakan kembali kata sandi di tempat kerja. Tetapi statistik terpenting dari laporan tersebut adalah bahwa 81% pelanggaran terkait peretasan memanfaatkan kata sandi yang dicuri atau lemah.

Hacker menggunakan bentuk serangan brute force yang disebut serangan kamus. Serangan kamus adalah metode membobol situs web WordPress dengan kata sandi yang umum digunakan yang muncul di dump basis data. "Koleksi #1? Pelanggaran Data yang dihosting di MEGA mencakup 1.160.253.228 kombinasi unik alamat email dan kata sandi. Itu adalah satu miliar dengan b. Skor semacam itu akan sangat membantu serangan kamus mempersempit kata sandi WordPress yang paling umum digunakan.

Ini adalah suatu keharusan untuk mencegah pengguna dengan kemampuan tingkat Penulis dan di atas menggunakan kata sandi yang disusupi untuk mengamankan login WordPress Anda. Anda mungkin juga berpikir untuk tidak membiarkan pengguna tingkat bawah Anda menggunakan kata sandi yang disusupi.

Sangat dapat dimengerti dan didorong untuk membuat akun pelanggan baru semudah mungkin. Namun, pelanggan Anda mungkin tidak tahu bahwa kata sandi yang mereka gunakan telah ditemukan di dump data. Anda akan memberikan layanan yang luar biasa kepada pelanggan Anda dengan memberi tahu mereka bahwa kata sandi yang mereka gunakan telah disusupi. Jika mereka menggunakan kata sandi itu di mana-mana, Anda dapat menyelamatkan mereka dari beberapa sakit kepala besar di jalan.

Fitur iThemes Security Pro Refuse Compromised Passwords memaksa pengguna untuk menggunakan kata sandi yang tidak muncul dalam pelanggaran kata sandi yang dilacak oleh Have I Been Pwned. Aktifkan fitur Persyaratan Kata Sandi di halaman utama pengaturan keamanan, lalu pilih pengguna yang ingin Anda cegah menggunakan kata sandi yang disusupi.

6. Gunakan Otentikasi Dua Faktor

Menggunakan otentikasi dua faktor adalah hal terbaik yang dapat Anda lakukan untuk mengamankan login WordPress Anda. Otentikasi dua faktor adalah proses verifikasi identitas seseorang dengan memerlukan dua metode verifikasi yang terpisah. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor dapat menghentikan 100% serangan bot otomatis. Saya sangat menyukai peluang itu.

Fitur iThemes Security Pro Two-Factor Authentication memberikan banyak fleksibilitas saat menerapkan 2fa di situs web Anda. Anda dapat mengaktifkan dua faktor untuk semua atau beberapa pengguna Anda, dan Anda dapat memaksa pengguna tingkat tinggi Anda untuk menggunakan 2fa pada setiap login.

Untuk kenyamanan Anda, iThemes Security Pro menawarkan 2 metode otentikasi dua faktor yang berbeda.

1. Aplikasi Seluler – Metode aplikasi seluler adalah metode autentikasi dua faktor paling aman yang disediakan oleh iThemes Security Pro. Metode ini mengharuskan Anda menggunakan aplikasi seluler dua faktor gratis seperti Authy.
2. Email – Metode email dua faktor akan mengirimkan kode sensitif waktu ke alamat email pengguna Anda.
3. Kode Cadangan – Satu set kode sekali pakai yang dapat digunakan untuk masuk jika metode dua faktor utama hilang.

7. Blokir Bot Buruk dengan Google reCAPTCHA v3

Fitur iThemes Security Pro Google reCAPTCHA di iThemes Security Pro melindungi situs Anda dari bot jahat. Bot ini mencoba masuk ke situs web Anda menggunakan kata sandi yang disusupi, memposting spam, atau bahkan mengorek konten Anda. reCAPTCHA menggunakan teknik analisis risiko tingkat lanjut untuk membedakan manusia dan bot.

Apa yang hebat tentang reCAPTCHA versi 3 adalah membantu Anda mendeteksi lalu lintas bot yang menyalahgunakan di situs web Anda tanpa interaksi pengguna apa pun. Alih-alih menampilkan tantangan CAPTCHA, reCAPTCHA v3 memantau berbagai permintaan yang dibuat di situs Anda dan mengembalikan skor untuk setiap permintaan. Skor berkisar dari 0,0 hingga 1. Semakin tinggi skor yang dikembalikan oleh reCAPTCHA, semakin yakin bahwa manusia membuat permintaan. Semakin rendah skor yang dikembalikan oleh reCAPTCHA, semakin yakin bot yang membuat permintaan.

Untuk mulai menggunakan Google reCAPTCHA v3 , aktifkan opsi di halaman utama pengaturan keamanan.

Selanjutnya Anda harus memilih reCAPTCHA v3 saat Anda mengetik reCAPTCHA dan membuat kunci dari admin Google Anda

iThemes Security Pro memungkinkan Anda untuk menetapkan ambang batas blok menggunakan skor reCAPTCHA. Google merekomendasikan menggunakan 0,5 sebagai default Anda. Ingatlah bahwa Anda dapat secara tidak sengaja mengunci pengguna yang sah jika Anda menetapkan ambang terlalu tinggi.

Anda dapat mengaktifkan reCAPTCHA pada pendaftaran pengguna WordPress, reset kata sandi, login, dan komentar. iThemes Security Pro memungkinkan Anda menjalankan skrip Google reCAPTCHA di semua halaman untuk meningkatkan akurasi skor bot vs. manusianya. Mengaktifkan reCAPTCHA v3 adalah cara yang bagus untuk mengamankan login WordPress Anda.

8. Batasi Akses Perangkat ke Dasbor WP

Langkah terakhir untuk mengamankan login WordPress Anda adalah membatasi akses ke dasbor WordPress Anda ke satu set perangkat. Fitur iThemes Security Pro Trusted Devices mengidentifikasi perangkat yang Anda dan pengguna lain gunakan untuk masuk ke situs WordPress Anda. Saat pengguna telah masuk ke perangkat yang tidak dikenal, Perangkat Tepercaya dapat membatasi kemampuan tingkat administrator mereka. Ini berarti bahwa seorang peretas dapat melewati metode keamanan masuk Anda yang lain–sangat tidak mungkin– mereka tidak akan memiliki kemampuan untuk membuat perubahan berbahaya apa pun pada situs web Anda.

Untuk mulai menggunakan Perangkat Tepercaya , aktifkan di halaman utama pengaturan keamanan, lalu klik tombol Konfigurasi Pengaturan .

Dalam pengaturan Perangkat Tepercaya, putuskan pengguna mana yang ingin Anda gunakan fiturnya, lalu aktifkan fitur Batasi Kemampuan dan Perlindungan Pembajakan Sesi .

Setelah mengaktifkan pengaturan Perangkat Tepercaya yang baru, pengguna akan menerima pemberitahuan di bilah admin WordPress tentang perangkat yang tidak dikenal yang tertunda. Jika perangkat Anda saat ini belum ditambahkan ke daftar perangkat tepercaya, klik tautan Konfirmasi Perangkat Ini untuk mengirim email otorisasi .

Klik tombol Konfirmasi Perangkat di email Login Tidak Dikenal untuk menambahkan perangkat Anda saat ini ke daftar Perangkat Tepercaya.

Membungkus

Aksesibilitas halaman login WordPress menjadikannya bagian yang paling diserang—dan berpotensi rentan—dari situs WordPress mana pun. Namun, jika Anda menggunakan iThemes Security Pro, Anda bisa tenang.

Pastikan Anda menggunakan 8 alat iThemes Security Pro untuk mengamankan login WordPress Anda yang dibagikan dalam posting ini.

• 1. Batasi Upaya Masuk
• 2. Batasi Upaya Otentikasi Luar Per Permintaan
• 3. Perlindungan Brute Force Jaringan
• 4. Paksa Kata Sandi yang Kuat
• 5. Menolak Kata Sandi yang Disusupi
• 6. Gunakan Otentikasi Dua Faktor
• 7. Blokir Bot Buruk dengan Google reCAPTCHA v3
• 8. Batasi Akses Perangkat ke Dasbor WP

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.