Posted by “No System is Safe”, pernyataan tersebut benar adanya, didalam dunia internet, tidak ada kata aman. Seperti login WordPress, secara default alamat login WordPress adalah /wp-login.php atau /wp-admin, misalnya https://rizkypratama.id/wp-admin.
Dengan kita mengakses alamat tersebut, maka kita akan langsung mendapatkan URL login website tersebut dan mengetahui bahwa website tersebut menggunakan CMS WordPress seperti berikut
Karena sudah mengetahui alamat URL Login dan CMS yang digunakan pada website tersebut, maka bisa saja si calon peretas kemudian akan melakukan misi selanjutnya yaitu mencari username dan password yang digunakan untuk login, username pun biasanya cukup mudah untuk ditebak. Selanjutnya peretas juga akan melancarkan serangan brute force untuk mengetahui kombinasi username dan password yang digunakan, ditambah lagi peretas juga pasti akan mencari celah keamanan yang ada pada WordPress, hal ini cukup berbahaya.
Baca Juga : Instalasi WordPress dan SSL pada Nginx Debian 9
Oleh karena itu, akses ke WP Admin harus diamankan dan dibatasi, salah satunya dengan disembunyikan.
Berikut ini langkah-langkah untuk menyembunyikan wp-login dan wp-admin pada WordPress.
1. Login WordPress seperti biasa, klik Plugin | Add New, cari WPS Hide Login, lalu Install dan aktifkan plugin tersebut
2. Konfigurasi plugin tersebut, klik Settings | WPS Hide Login
Pada bagian Login URL, silakan diubah sesuai keinginan, misal saya ubah menjadi /direct123, jadi nanti jika mau login WordPress bukan menggunakan /wp-login.php atau /wp-admin lagi, melainkan mesti akses menggunakan alamat /direct123 seperti berikut : https://rizkypratama.id/direct123
Pada bagian redirection URL, isikan saja 404, jadi nanti jika ada yang mencoba langsung akses /wp-login.php atau /wp-admin akan langsung diredirect ke halaman 404 Not Found, bukan ke halaman login WordPress lagi
Dengan begitu, minimal kita sudah sedikit menyulitkan calon peretas untuk melakukan brute force attack pada halaman Login WordPress kita, karena peretas tidak mengetahui alamat halaman login WordPress kita.
Hal diatas merupakan salah satu dari banyak metode pengamanan yang bisa dilakukan terhadap WordPress, untuk metode pengamanan lainnya mungkin akan saya tulis secara berkala dikemudian hari hehehe
Mungkin cukup sekian, semoga bermanfaat.
Rizky Pratama. Tinggal di Bekasi, Jawa Barat. Seorang IT di salah satu perusahaan IT. Pengguna Mac, Linux dan Windows
Selain sebagai penulis di blog ini, saya juga penulis di blog saya yang lain, yaitu https://pratama.biz.id