Cara Mengamankan Halaman Login WordPress

Anda pasti sudah sangat familiar dengan halaman login. Hampir sebagian besar situs mengharuskan Anda untuk login jika ingin mengakses fitur-fitur yang disediakan. Hal yang sama juga berlaku dengan WordPress. Hanya saja, halaman login WordPress berbeda dengan layanan online lainnya. Di WordPress, halaman login-nya memiliki berbagai fungsi.

Jika dilihat sekilas, halaman login memang terkesan biasa-biasa saja. Dari halaman tersebut, Anda kemudian akan diarahkan untuk masuk ke dashboard dan atur ulang password. Namun ternyata, ada banyak cara untuk mengelola dan mengamankan halaman login tersebut, misalnya saja dengan menggunakan CAPTCHA. Dengan demikian, Anda bisa membuat halaman login unik dan berbeda dari layanan online atau situs lainnya.

Melalui artikel ini, secara bersama-sama, kita akan mempelajari beberapa hal terkait mengelola halaman login dan masuk ke dashboard WordPress. Di samping itu, kita juga akan membahas bagaimana caranya memasukkan informasi login, atur ulang password, bahkan memperbaiki keamanan login WordPress.

Cara Login WordPress (dan Memasukkan Informasi yang Dibutuhkan)

Halaman login di setiap website memiliki cara kerja yang semuanya sama, entah Anda mengaksesnya via komputer atau smartphone. Agar bisa masuk dan mengakses layanan, Anda harus memasukkan informasi yang benar saat hendak login. Jika informasi yang diberikan salah, maka Anda tidak akan bisa mengaksesnya.

Halaman WordPress pun memiliki fungsi yang sama seperti halaman login situs pada umumnya. Adanya halaman login mencegah website Anda diakses oleh orang-orang yang memiliki niat buru dan selain itu, juga membantu rekan-rekan Anda mengakses akun jika dibutuhkan. Umumnya, untuk login ke website, Anda bisa mengaksesnya melalui URL utama, biasanya ditambahkan /wp-login.php.

Demi meningkatkan keamanan, beberapa pengguna mengubah URL halaman login mereka. Bahkan ada penyedia web hosting yang bersedia mengamankan website selagi Anda mengelola dan mengembahkan WordPress. Hanya saja, satu hal yang harus Anda ingat, halaman login dapat diakses dengan URL berformat standar seperti yang telah disebutkan sebelumnya. Saat berada di halaman login, masukkan username dan passowrd admin. Informasi login yang Anda masukkan sama seperti informasi yang Anda berikan ketika menginstall WordPress di control panel hosting gratis 000webhost:

Apabila Anda lupa informasi login, klik tombol Lost your password? untuk mengatur ulang password:

Selama alamat email bertautan dengan akun Admin, maka Anda bisa mengatur ulang password dengan mudah. Setelah memasukkan alamat email, platform WordPress akan mengirimkan email yang memuat link untuk buat password baru.

Jika, misalnya, Anda lupa alamat email yang bertautan dengan akun website, jangan khawatir. Anda bisa mengatur ulang email tersebut. Untuk lebih jelasnya, silakan baca tutorial ini.

Cara Mengamankan Halaman Login WordPress

Halaman login WordPress Anda saat ini tidak mengalami masalah berarti. Namun, bukan berarti Anda mengabaikan keamanannya begitu saja. Ada tiga cara mengamankan halaman login WordPress dengan plugin.

1. Cara Membuat CAPTCHA di Halaman Login

CAPTCHA ada di hampir semua jenis website. Singkatnya, tes sederhana ini akan menghentikan bot yang berusaha masuk ke website Anda melalui halaman login.

Nantinya CAPTCHA menampilkan screenshot yang memuat teks dan angka. Screenshot ini bertujuan untuk menentukan apakah pengguna benar manusia atau mesin, karena komputer sama sekali tidak dapat dapat membaca bentuk unik huruf dan angka yang diberikan. CAPTCHA juga memiliki bentuk baru yang dinamakan reCAPTCHA dan kini penggunaannya semakin populer. reCAPTCHA didesain oleh Google, dan biasanya Anda hanya perlu mencentang box kecil yang ada untuk membuktikan bahwa Anda manusia:

Dari desain dan cara kerjanya, Anda mungkin melihat bahwa reCAPTCHA benar-benar simpel dan tidak rumit. Namun, adanya tes sederhana ini, website Anda dapat menganalisis apakah yang mencoba masuk ke dalam situs via halaman login merupakan bot atau manusia. Komputer, misalnya, tidak butuh waktu lama untuk menggerakkan mouse dan mencentang box kecil di reCAPTCHA. Sedangkan bagi manusia, pasti akan membutuhkan waktu yang tak sedikit untuk menemukan di mana letak box kecil reCAPTCHA. Dalam praktiknya, tentu saja reCAPTCHA menggunakan banyak elemen untuk membedakan manusia dari bot. Meskipun demikian, reCAPTCHA benar-benar bisa mengamankan halaman login Anda. Hal lain yang lebih penting mengenai reCAPTCHA, tes ini sedikit mengganggu para pengguna atau apa pun yang ingin login ke dashboard Anda. Karena itulah, Anda perlu mengetahui cara membuat CAPTCHA atau reCAPTCHA dan menambahkannya di halaman login.

Untuk membuat CAPTCHA, plugin yang digunakan adalah noCAPTCHA reCAPTCHA. Dengan plugin ini, Anda bisa mengaktifkan sistem dan menjalankannya dalam beberapa menit. Pertama-tama, login WordPress dan pilih tab Plugins. Cari dan klik Add New. Ketikkan nama plugin di kolom pencarian yang ada di sebelah kanan layar. Hasilnya akan muncul seperti ini:

Klik Install Now yang tempat di samping nama plugin dan tunggulah selama beberapa saat. Setelah plugin berhasil diinstall, maka yang muncul kemudian adalah tombol Activate. Klik tombol tersebut untuk mengaktifkan plugin.

Tab No CAPTCHA reCAPTCHA yang baru akan muncul di dashboard WordPress Anda. Apabila tab tersebut diklik, maka Anda akan masuk ke halaman pengaturan plugin. Namun sebelum reCAPTCHA ditampilkan di halaman login, ada dua hal yang perlu Anda minta dari Google, yakni Site key dan Secret Google yang sangat dibutuhkan oleh fitur agar dapat berfungsi.

Mari kita mulai dari Site key. Untuk mendapatkan key ini, klik link Grab it here yang ada tepat di bawah kolom. Setelah mengklik link tersebut, Anda akan masuk ke situs reCAPTCHA Google. Berikut ini merupakan contoh list berisikan semua situs Anda yang telah menggunakan reCAPTCHA:

Apabila scroll ke bawah, maka Anda akan melihat opsi untuk mendaftarkan website baru. Buat tag untuk website baru tersebut agar proses pengidentifikasian dapat dilakukan, kemudian pilih tipe CAPTCHA yang ingin digunakan. Sebagai contoh, kami akan menggunakan reCAPTCHA:

Kolom yang baru akan muncul di bagian bawah. Di kolom ini, Anda dapat menambahkan domain san website, yakni prefix http dan www, seperti ini:

 

Centang box yang ada di bagian bawah layar yang mengindikasikan bahwa Anda paham dan menyetujui ketentuan penggunaan reCAPTCHA, kemudian klik tombol Register. Selanjutnya, Anda akan melihat dua kolom, termasuk Site Key dan Secret Key untuk website. Seperti yang sudah dijelaskan sebelumnya, plugin No CAPTCHA reCAPTCHA membutuhkan kedua key tersebut agar dapat berfungsi. Copy dan paste kedua key tersebut dan klik Save All Changes:

Setelah itu, scroll ke bawah dan aktifkan opsi Login Form yang ada di bawah Display Settings, yang secara default dinonaktifkan. Dengan mengaktifkan opsi tersebut, maka reCAPTCHA dapat ditambahkan ke halaman login. Hasilnya akan seperti ini:

Pada screenshot di atas, Anda bisa lihat jika ada plugin yang juga menawarkan opsi untuk menambahkan CAPTCHA ke layar registrasi dan kolom komentar. Opsi pertama bisa Anda pilih untuk menghentikan registrasi palsu. Akan tetapi, opsi kedua lebih condong pada apakah Anda ingin memanfaatkannya atau tidak. Hal ini dikarenakan spam di kolom komentar bisa diatasi tanpa perlu menginstall plugin.

2. Ubah URL Login WordPress

Seperti yang telah kami sebutkan sebelumnya, sebagian besar website menggunakan struktur yang default untuk halaman login WordPress (misalnya, https://www.yourwebsitegoeshere.com/wp-login.php). Hanya saja, pengguna yang berbahaya sudah tahu jika sebagian besar WordPress memanfaatkan struktur default tersebut.. Hal ini berarti pengguna tersebut dapat membuat serangan otomatis untuk menyerang situs Anda dan memperoleh akses untuk masuk ke dalamnya, misalnya melakukan cara mengetahui password WordPress orang lain. Agar serangan sukses, ada tiga informasi penting yang pengguna harus tahu untuk bisa masuk ke dashboard situs Anda – lokasi halaman login, username, dan password.

Dengan mengganti URL default halaman login, Anda bisa menyembunyikan informasi tersebut. Mengganti URL sangatlah mudah, hanya dengan menggunakan plugin yang tepat. Pada kasus ini, kami menyarankan Anda untuk menginstall plugin WPS Hide Login.

Agar dapat langsung digunakan, install dan aktifkan plugin ini terlebih dulu. Keunggulan dari plugin WPS Hide Login adalah tab yang tidak penting atau tidak dibutuhkan oleh website Anda tidak akan ditambahkan ke dashboard. Untuk bisa mulai mengakses plugin ini, buka Settings > General dan scroll ke bagian bawah halaman. Anda kemudian akan melihat kolom baru di mana Anda dapat mengganti URL login:

Di kolom atau bagian ini, ganti URL Login default Anda ke url yang Anda inginkan. Idealnya, url yang dijadikan sebagai penggantinya haruslah berbeda dari url default wp-login sehingga pengguna atau aktivitas berbahaya tidak dapat menemukan halaman login Anda. URL penggnati haruslah dibuat sesederhana mungkin agar mudah diingat tanpa Anda harus menyimpannya di bookmark.

Setelah mengganti URL default, klik Save Changes dan semua perubahan akan tersimpan dengan baik. Jika Anda mencoba mengakses URL login yang lama, maka akan muncul pesan error:

Apabila Anda ingin restore URL default halaman login, hapus URL baru yang disimpan di Settings > General, kemudian simpan semua perubahan. Akses halaman login seperti biasa, melalui wp-login.php.

3. Membuat Verifikasi Dua Langkah (2FA)

Hanya dua informasi yang dibutuhkan oleh halaman login, username dan password (dan mungkin CAPTCHA). Akan tetapi, semakin ke sini, semakin banyak website yang memungkinkan Anda untuk membuat elemen otentikasi di halaman login.

Username dan password merupakan faktor otentikasi. Kedua faktor ini berfungsi dengan sangat baik. Namun, apabila Anda menambahkan faktor kedua, seperti one-time password yang dikirim ke email pada saat mengakses website, maka keamanan akan meningkat. Belakangan ini, opsi verifikasi dua langkah (2FA) menjadi populer, termasuk kode yang dikirim via email atau kode teks. Bahkan juga ada aplikasi 2FA dedicated yang bisa dihubungkan ke akun web, misalnya Google Authenticatore.

Singkatnya, membuat verifikasi dua langkah (2FA) di halaman login bisa menjadi solusi terbaik. Di samping itu, 2FA juga bisa dijadikan sebagai persyaratan opsional bagi pengguna situs Anda. Untuk membuatnya, gunakan plugin Google Authenticator – Two Factor Authentication:

Satu hal yang perlu Anda ketahui, meskipun di namanya ada Google, plugin ini sama sekali tidak ada sangkut-pautnya dengan mesin pencari tersebut. Nama plugin tersebut hanya ingin menunjukkan bahwa mereka mendukung aplikasi Google Authenticator di antara aplikasi authenticator lainnya, seperti Authy dan miniOrange Authenticator App (dibuat oleh developer plugin itu sendiri). Untuk membuat 2FA di halaman login, install dan aktifkan plugin Google Authenticator – Two Factor Authentication. Kemudian buka tab miniOrange 2-Factor di WordPress. Masukkan email dan password untuk membuat akun miniOrange dan menggunakan plugin:

Plugin akan mengirimkan kode ke email untuk memverifikasi kepemilikan. Ini merupakan ciri khas plugin 2FA. Klik Validate OTP:

Setelah memvalidasi email, buka tab Setup Two-Factor. Pilih form 2FA yang Anda inginkan. Form ini nantinya digunakan oleh pengguna situs Anda pada saat mendaftar:

Di tutorial ini, kami menggunakan Email Verification. Setelah berhasil menambahkannya, log out dan masuk kembali ke WordPress. Sekarang Anda sudah bisa melihat opsi setup verifikasi dua langkah (2FA) untuk akun Anda ketika proses login berlangsung.

Kami sangat menyarankan Anda untuk menggunakan 2FA sebagai opsi lain dalam mengamankan halaman login. Setiap kali Anda ingin masuk ke dashboard WordPress, Anda harus mengecek email untuk one-time code dan memasukkannya sebelum login. Waktu yang dibutuhkan tidak lama, hanya beberapa detik saja, tapi bisa mengamankan situs Anda.

Kesimpulan

Sekilas halaman login WordPress terlihat biasa-biasa saja. Tampilan dan cara kerjanya bahkan hampir sama dengan halaman login di situs lainnya. Namun, kelebihan halaman login WordPress terletak pada kemudahan penggunaannya. Misalnya saat ingin mengatur ulang password, proses ini dapat dilakukan dalam beberapa menit saja apabila Anda memiliki akses ke email admin. Bahkan jika Anda lupa alamat emailnya, Anda bisa mengaksesnya secara manual. Ingatlah bahwa ada banyak cara untuk melakukannya.

Anda juga dapat mengubah halaman login sesuai keinginan. Sebagai contoh, Anda dapat menambahkan CAPTCHA di login WordPress atau mengubah URL default. Selain itu, Anda juga bisa memanfaatkan verifikasi dua langkah (2FA).

Apakah ada pertanyaan terkait pengamanan halaman login WordPress? Jangan ragu untuk menulisnya di kolom komentar di bawah ini!