Area admin WordPress Anda seperti ruang kontrol situs web Anda. Jika peretas berhasil masuk, mereka dapat mengubah pengaturan, mencuri data, atau bahkan mengunci Anda. Itulah sebabnya menjaganya tetap aman adalah salah satu hal terpintar yang dapat Anda lakukan.
Kami telah melihat banyak pemilik situs web menghadapi ancaman keamanan tanpa menyadari betapa rentannya area admin mereka. Serangan brute force, penyuntikan malware, dan login tanpa izin lebih umum daripada yang Anda kira.
Kabar baiknya? Anda tidak perlu menjadi pakar keamanan untuk melindungi situs Anda. Beberapa penyesuaian sederhana dapat mempersulit penyerang untuk mendapatkan akses.
Dalam panduan ini, kami akan membagikan kiat dan trik penting untuk melindungi area admin WordPress Anda. Langkah-langkah ini akan membantu menjaga situs, data, dan pikiran Anda tetap aman.
Kami akan membahas banyak kiat, dan Anda dapat menggunakan tautan cepat di bawah ini untuk berpindah-pindah di antara kiat-kiat tersebut:
Daftar isi :
- 12 Tips Penting untuk Melindungi Area Admin WordPress Anda di Tahun 2025
- 1. Gunakan firewall
- 2. Direktori admin WordPress yang dilindungi kata sandi
- 3. Selalu gunakan kata sandi yang kuat
- 4. Gunakan verifikasi dua langkah di layar login WordPress
- 5. Batasi upaya koneksi
- 6. Batasi akses login ke alamat IP
- 7. Nonaktifkan tips login
- 8. Meminta pengguna untuk menggunakan kata sandi yang kuat
- 9. Reset kata sandi untuk semua pengguna
- 10. Selalu perbarui WordPress
- 11. Buat halaman login dan registrasi khusus
- 12. Batasi akses ke dasbor WordPress
- FAQ: Melindungi area admin WordPress Anda
- 1. Mengapa area admin WordPress menjadi sasaran peretas?
- 2. Haruskah saya menggunakan plugin firewall atau layanan seperti Cloudflare?
- 3. Bagaimana saya mengetahui apakah kata sandi saya cukup kuat?
- 4. Apa yang harus saya lakukan jika saya mencurigai adanya penyusupan ke area administrasi saya?
- 5. Dapatkah saya membatasi akses ke wp-admin tanpa memengaruhi pengguna situs saya?
- 6. Apakah pembaruan WordPress benar-benar diperlukan?
- 7. Apakah aman menggunakan plugin untuk mengamankan area admin saya?
- Kesimpulan
12 Tips Penting untuk Melindungi Area Admin WordPress Anda di Tahun 2025
1. Gunakan firewall
Firewall memantau lalu lintas situs web dan mencegah permintaan mencurigakan mencapai situs web Anda.
Meskipun ada beberapa plugin WordPress firewall, seperti Wordfence, kami sarankan untuk menggunakan cloudflare.
Ini adalah firewall berbasis cloud terbesar dan terkuat untuk melindungi situs web Anda.
Semua lalu lintas situs web Anda pertama-tama melewati proksi cloud Cloudflare, yang memindai setiap permintaan dan memblokir permintaan mencurigakan agar tidak mencapai situs web Anda.
Ini melindungi situs web Anda dari kemungkinan upaya peretasan, phishing, malware, dan aktivitas berbahaya lainnya. Untuk petunjuk penyiapan langkah demi langkah, lihat artikel kami tentang menyiapkan CDN gratis Cloudflare untuk situs web Anda.
Pilihan bagus lainnya adalah Sucuri, yang telah kami gunakan.
2. Direktori admin WordPress yang dilindungi kata sandi
Kiat lain yang kami temukan sangat efektif adalah menambahkan proteksi kata sandi pada direktori admin WordPress.
Secara default, area admin sudah dilindungi oleh kata sandi WordPress Anda. Namun, menambahkan perlindungan kata sandi ke direktori admin akan menambah lapisan keamanan lain ke halaman login Anda.
Pertama, Anda perlu masuk ke dashboard cPanel Anda. Hosting web WordPress, lalu klik ikon “Proteksi Kata Sandi Direktori” atau “Privasi Direktori”.
Berikutnya, Anda perlu memilih folder wp-admin, yang biasanya terletak di direktori /public_html/.
Pada layar berikutnya, Anda perlu mencentang kotak di samping opsi "Lindungi direktori ini dengan kata sandi" dan berikan nama untuk direktori yang dilindungi.
Setelah itu, klik tombol “Simpan” untuk mengatur izin.
Selanjutnya, Anda perlu menekan tombol kembali dan kemudian membuat pengguna. Anda akan diminta untuk memberikan nama pengguna dan kata sandi, lalu klik tombol "Simpan".
Sekarang ketika seseorang mencoba mengunjungi direktori admin WordPress atau wp-admin di situs web Anda, mereka akan diminta memasukkan nama pengguna dan kata sandi.
3. Selalu gunakan kata sandi yang kuat
Kami telah melihat pengguna menggunakan kata-kata kamus sederhana sebagai kata sandi dan beberapa terlalu kecil dan mudah ditebak.
Selalu gunakan kata sandi yang kuat untuk semua akun daring Anda, termasuk situs WordPress Anda. Kami sarankan untuk menggunakan kombinasi huruf, angka, dan karakter khusus dalam kata sandi Anda. Hal ini akan mempersulit peretas untuk menebak kata sandi Anda.
Para pemula sering bertanya kepada kami bagaimana cara mengingat semua kata sandi tersebut.
Jawaban paling sederhana adalah Anda tidak memerlukannya. Ada aplikasi pengelola kata sandi yang bagus yang dapat Anda instal di komputer dan ponsel Anda.
4. Gunakan verifikasi dua langkah di layar login WordPress
Verifikasi dua langkah, juga dikenal sebagai verifikasi dua faktor, autentikasi dua faktor, atau 2FA, menambahkan lapisan keamanan lain ke kata sandi Anda.
Kami menggunakan perlindungan 2FA tidak hanya di situs web WordPress kami, tetapi juga di semua akun kami yang menyediakan 2FA.
Alih-alih hanya menggunakan kata sandi, Anda diminta memasukkan kode verifikasi yang dibuat oleh aplikasi Google Authenticator di ponsel Anda.
Sekalipun seseorang dapat menebak kata sandi WordPress Anda, mereka tetap memerlukan kode Google Authenticator untuk masuk.
5. Batasi upaya koneksi
Secara default, WordPress memungkinkan pengguna memasukkan kata sandi sebanyak yang mereka mau. Ini berarti seseorang dapat terus mencoba menebak kata sandi WordPress Anda dengan memasukkan berbagai kombinasi. Hal ini juga memungkinkan peretas menggunakan skrip otomatis untuk memecahkan kata sandi.
Untuk mengatasi masalah ini, Anda perlu menginstal dan mengaktifkan plugin Batasi Upaya Masuk Dimuat UlangSetelah aktivasi, buka halaman Pengaturan » Kunci Login untuk mengkonfigurasi pengaturan plugin.
6. Batasi akses login ke alamat IP
Trik lain yang bekerja dengan sangat baik adalah jika semua pengguna yang memiliki akses ke area admin memiliki alamat IP tetap. Pada dasarnya, Anda dapat membatasi akses ke area admin dengan membatasinya ke alamat IP tertentu.
Cukup tambahkan kode ini ke file .htaccess Anda:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>Jangan lupa mengganti nilai xx dengan alamat IP Anda sendiri. Jika Anda menggunakan lebih dari satu alamat IP untuk mengakses internet, pastikan untuk menambahkannya juga.
7. Nonaktifkan tips login
Ketika upaya login gagal, WordPress menampilkan kesalahan yang memberi tahu pengguna apakah nama pengguna atau kata sandi mereka salah. Petunjuk login ini dapat digunakan oleh seseorang untuk melakukan upaya jahat seperti serangan brute force.
Anda dapat dengan mudah menyembunyikan petunjuk login ini dengan menambahkan kode berikut ke file function.php tema Anda atau menggunakan plugin snippet seperti Kode WP (direkomendasikan) :
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );8. Meminta pengguna untuk menggunakan kata sandi yang kuat
Jika Anda menjalankan situs WordPress dengan banyak penulis, pengguna ini dapat mengubah akun pengguna mereka dan menggunakan kata sandi yang lemah. Kata sandi ini dapat dibobol, sehingga seseorang dapat mengakses area admin WordPress.
Untuk mengatasi masalah ini, Anda dapat menginstal dan mengaktifkan Plugin SolidWP.
9. Reset kata sandi untuk semua pengguna
Apakah Anda khawatir tentang keamanan kata sandi di situs WordPress multi-pengguna Anda? Anda dapat dengan mudah meminta semua pengguna Anda untuk mengatur ulang kata sandi mereka.
Pertama-tama, Anda perlu menginstal dan mengaktifkan plugin Reset Kata Sandi DarurattSetelah aktivasi, buka halaman Pengguna » Reset Kata Sandi Darurat dan klik tombol “Reset semua kata sandi”.
10. Selalu perbarui WordPress
WordPress sering merilis versi baru perangkat lunaknya. Setiap versi baru inti WordPress berisi perbaikan bug penting, fitur baru, dan patch keamanan.
Menggunakan WordPress versi lama di situs Anda akan membuat Anda rentan terhadap eksploitasi dan potensi kerentanan yang diketahui. Untuk mengatasi masalah ini, Anda perlu memastikan bahwa Anda menggunakan WordPress versi terbaru.
Demikian pula, plugin WordPress sering diperbarui untuk memperkenalkan fitur baru atau mengatasi masalah keamanan dan masalah lainnya. Pastikan Anda plugin WordPress juga terkini.
11. Buat halaman login dan registrasi khusus
Banyak situs WordPress yang mengharuskan pengguna untuk melakukan registrasi. Misalnya, situs keanggotaan, situs manajemen pembelajaran, dan toko online mengharuskan pengguna untuk membuat akun.
Namun, pengguna ini dapat menggunakan akun mereka untuk masuk ke area admin WordPress. Ini bukan masalah besar, karena mereka hanya dapat melakukan hal-hal yang diizinkan oleh peran dan kemampuan pengguna mereka.
Namun, hal ini mencegah Anda membatasi akses dengan benar ke halaman login dan registrasi, karena Anda memerlukan halaman ini agar pengguna dapat mendaftar, mengelola profil mereka, dan login.
Cara termudah untuk memecahkan masalah ini adalah membuat halaman login dan registrasi khusus sehingga pengguna dapat mendaftar dan masuk langsung dari situs web Anda.
12. Batasi akses ke dasbor WordPress
Beberapa situs WordPress memiliki pengguna tertentu yang memerlukan akses ke dasbor dan pengguna lain yang tidak. Namun, secara default, mereka semua dapat mengakses area admin.
Untuk mengatasi masalah ini, Anda perlu menginstal dan mengaktifkan plugin Hapus Dashboard AccessSetelah aktivasi, buka halaman Pengaturan » Akses Dasbor dan pilih peran pengguna yang akan memiliki akses ke area administrasi situs Anda.
FAQ: Melindungi area admin WordPress Anda
Berikut adalah jawaban atas pertanyaan yang sering diajukan tentang pengamanan area admin WordPress:
1. Mengapa area admin WordPress menjadi sasaran peretas?
Area admin (wp-admin) adalah jantung situs WordPress Anda, tempat Anda mengelola konten, pengguna, dan pengaturan. Jika peretas memperoleh akses, mereka dapat mengubah situs Anda, mencuri data, atau bahkan menghapus konten. Penyerang sering menargetkan area ini melalui serangan brute-force atau eksploitasi kerentanan yang diketahui.
2. Haruskah saya menggunakan plugin firewall atau layanan seperti Cloudflare?
Plugin seperti Wordfence sangat bagus untuk perlindungan khusus WordPress, tetapi layanan seperti Cloudflare menawarkan perlindungan tingkat jaringan yang lebih luas. Cloudflare bertindak sebagai proxy antara situs Anda dan pengunjung, memblokir permintaan berbahaya sebelum mencapai server Anda. Untuk keamanan maksimal, gabungkan keduanya: Cloudflare untuk lalu lintas jaringan dan plugin seperti Wordfence untuk perlindungan khusus WordPress.
3. Bagaimana saya mengetahui apakah kata sandi saya cukup kuat?
Kata sandi yang kuat harus terdiri dari minimal 12 karakter, termasuk huruf besar dan kecil, angka, dan karakter khusus (misalnya, !@#$). Hindari kata-kata umum atau informasi pribadi. Gunakan pengelola kata sandi seperti LastPass atau 1Password untuk membuat dan menyimpan kata sandi yang rumit.
4. Apa yang harus saya lakukan jika saya mencurigai adanya penyusupan ke area administrasi saya?
- Ubah semua kata sandi pengguna segera.
- Periksa log aktivitas dengan plugin seperti WP Security Audit Log.
- Pindai situs Anda dengan plugin keamanan seperti Sucuri atau Wordfence untuk mendeteksi malware.
- Hubungi tuan rumah Anda untuk memulihkan cadangan yang bersih jika perlu.
5. Dapatkah saya membatasi akses ke wp-admin tanpa memengaruhi pengguna situs saya?
Ya, menggunakan plugin seperti Hapus Dashboard Access, Anda dapat membatasi akses ke area admin untuk peran tertentu (misalnya, hanya administrator). Anda juga dapat membatasi akses berdasarkan alamat IP atau membuat halaman login khusus untuk pengguna non-administrator, seperti yang dijelaskan dalam kiat #11.
6. Apakah pembaruan WordPress benar-benar diperlukan?
Tentu saja. Setiap pembaruan pada inti, tema, atau plugin WordPress sering kali menyertakan perbaikan keamanan untuk mengatasi kerentanan yang diketahui. Jika tidak diperbarui, situs Anda akan rentan terhadap eksploitasi yang diketahui. Aktifkan pembaruan otomatis untuk versi minor di WordPress untuk mengurangi risiko.
7. Apakah aman menggunakan plugin untuk mengamankan area admin saya?
Ya, asalkan Anda memilih plugin yang andal dan terawat baik, seperti Wordfence, Sucuri, atau Limit Login Attempts Reloaded. Periksa ulasan, frekuensi pembaruan, dan jumlah instalasi aktif sebelum menginstal plugin. Hindari plugin yang sudah ketinggalan zaman, karena dapat menimbulkan kerentanan.
Kesimpulan
Melindungi area admin WordPress Anda merupakan langkah penting untuk memastikan keamanan dan ketenangan pikiran situs Anda. Dengan mengikuti 12 kiat penting ini—mulai dari menggunakan firewall seperti Cloudflare hingga membuat halaman login khusus—Anda dapat mengurangi risiko serangan brute force, penyuntikan malware, atau akses tidak sah secara signifikan.
Kuncinya adalah menggabungkan beberapa lapisan keamanan: kata sandi yang kuat, autentikasi dua faktor, pembatasan akses, dan pembaruan rutin. Luangkan waktu untuk menerapkan rekomendasi ini hari ini, karena situs yang aman adalah situs yang berkembang pesat.
Kami harap artikel ini membantu Anda mempelajari beberapa kiat dan trik baru untuk melindungi area admin WordPress Anda.
