5 Aturan Sederhana untuk Keamanan Login WordPress

Diterbitkan: 2022-07-12

Strategi keamanan WordPress yang sukses harus mencakup langkah-langkah untuk memperkuat login WordPress. Dalam posting ini, kami membahas lima aturan sederhana untuk keamanan login WordPress yang lebih baik.

Hal hebat tentang WordPress adalah bagaimana membuat situs web dapat diakses oleh siapa saja. Tetapi dengan aksesibilitas itu datang prediktabilitas. Siapa pun yang memiliki pengalaman bekerja dengan WordPress tahu di mana perubahan pada situs dilakukan: melalui area wp-admin. Mereka bahkan tahu ke mana mereka harus pergi untuk mengakses wp-admin, halaman wp-login.php.

Secara default, URL login WordPress sama untuk setiap situs WordPress, dan tidak memerlukan izin khusus untuk mengakses. Itulah mengapa halaman login WordPress adalah bagian yang paling diserang—dan berpotensi rentan—dari situs WordPress mana pun.

Sayangnya, membuat bot yang akan menjelajah internet melakukan serangan brute force tidak membutuhkan banyak keterampilan, dan peretas tingkat pemula mana pun dapat membuatnya. Karena serangan pada halaman login WordPress memiliki penghalang masuk yang rendah, keamanan login WordPress sangat penting untuk mengamankan situs WordPress mana pun.

Dengan mengikuti aturan ini dan menggunakan praktik terbaik keamanan WordPress, Anda dapat menghindari kerentanan terhadap kesalahan login pengguna yang umum.

1. Gunakan Kata Sandi yang Kuat

Ada banyak informasi yang membingungkan dan bertentangan tentang praktik terbaik keamanan kata sandi di internet. Dalam upaya untuk menjernihkan kebingungan itu, mari kita uraikan dasar-dasar bagaimana menggunakan kata sandi yang kuat meningkatkan keamanan WordPress Anda.

Setiap kali membuat kata sandi, item pertama yang ingin Anda pertimbangkan adalah panjang kata sandi. Daftar di bawah ini menunjukkan perkiraan waktu yang diperlukan untuk memecahkan kata sandi menggunakan prosesor i5 empat inti.

7 karakter akan membutuhkan waktu 0,29 milidetik untuk dipecahkan.
8 karakter akan memakan waktu 5 jam untuk dipecahkan.
9 karakter akan memakan waktu 5 hari untuk dipecahkan.
10 karakter akan memakan waktu 4 bulan untuk dipecahkan
11 karakter akan memakan waktu 1 dekade untuk dipecahkan
12 karakter akan memakan waktu 2 abad untuk dipecahkan.

Jadi seperti yang Anda lihat, menambahkan satu karakter ke kata sandi Anda dapat meningkatkan keamanan login Anda secara signifikan.

Kata sandi yang panjangnya setidaknya 12 karakter, acak dan berisi kumpulan besar karakter seperti “ ISt8XXa!28X3 ” akan membuatnya sangat sulit untuk diretas.

Sayangnya, beberapa peretas memanfaatkan GPU dan CPU yang lebih kuat untuk mengurangi jumlah waktu yang dibutuhkan untuk memecahkan kata sandi. Jadi untuk memperkuat login Anda, perhatikan juga entropi kata sandi Anda. Semakin tinggi entropi kata sandi, semakin sulit kata sandi untuk dipecahkan.

Misalnya, hanya berdasarkan persyaratan panjang, kata sandi seperti "abcdefghijkl" adalah 12 karakter, yang sangat bagus dan membutuhkan waktu 200 tahun untuk dipecahkan. Namun, karena kata sandi menggunakan rangkaian huruf yang berurutan, itu membuat kata sandi jauh lebih mudah diprediksi dibandingkan dengan kata sandi seperti "rfybolaawtpm" yang memiliki karakter acak.

Mengacak karakter mengurangi prediktabilitas dan meningkatkan kekuatan kata sandi. Tetapi kedua kata sandi ini memiliki satu kesamaan yang pada akhirnya mengurangi entropi kata sandi. Keduanya hanya menggunakan huruf kecil, membatasi kumpulan karakter yang mungkin menjadi 26. Itulah mengapa penting untuk menyertakan alfanumerik, huruf besar, dan karakter ASCII umum untuk menambah kumpulan karakter yang diperlukan untuk memecahkan kata sandi menjadi 92.

Tip: Gunakan pengelola kata sandi seperti LastPass untuk membuat dan menyimpan kata sandi dengan mudah dengan aman.

Tip: Paling tidak, Anda harus mewajibkan pengguna yang dapat mengedit WordPress untuk menggunakan kata sandi yang kuat. Menggunakan plugin keamanan WordPress seperti iThemes Security Pro untuk memaksa pengguna istimewa menggunakan kata sandi yang kuat akan membantu meningkatkan keamanan login WordPress.

2. Gunakan Kata Sandi Unik Untuk Setiap Akun

Praktik terbaik lainnya untuk keamanan online adalah menggunakan kata sandi unik untuk setiap akun dan login situs web yang Anda miliki. Ini sangat penting, kami akan mengatakannya lagi: Anda harus menggunakan kata sandi yang berbeda untuk setiap situs.

Mengapa menggunakan kembali kata sandi sangat penting? Jika Anda menggunakan kata sandi yang sama untuk setiap situs dan salah satu situs tersebut disusupi, Anda sekarang menggunakan kata sandi yang disusupi untuk setiap akun, di setiap situs. Peretas dapat menggunakan data dump dari kata sandi yang disusupi yang dipasangkan dengan alamat email atau nama pengguna Anda untuk mendapatkan akses ke akun Anda. Yang terbaik adalah bahkan tidak mengambil risiko.

Semakin banyak pengguna Anda yang menggunakan kembali kata sandi, semakin lemah keamanan login WordPress Anda.

Dalam daftar yang disusun oleh Cybernews, kata sandi paling umum pada tahun 2022 adalah 123456. Keamanan login WordPress situs Anda hanya sekuat tautan terlemah, jadi proaktiflah dengan persyaratan kata sandi yang kuat.

Tip: Lindungi WordPress dari Kata Sandi yang Disusupi

Anda dapat melindungi WordPress dari kata sandi yang disusupi dengan plugin seperti iThemes Security Pro. iThemes Security Pro memanfaatkan API HaveIBeenPwned untuk mendeteksi apakah kata sandi telah muncul dalam pelanggaran data atau tidak.

Tip: Dorong pengguna untuk sering mengubah kata sandi

Fitur Persyaratan Kata Sandi iThemes Security memungkinkan Anda untuk memaksa semua pengguna Anda untuk mengubah kata sandi mereka saat mereka masuk lagi. Memaksa pengguna untuk membuat kata sandi baru, memungkinkan semua orang untuk memulai dengan kata sandi yang kuat dan tanpa kompromi, yang akan meningkatkan login WordPress Anda keamanan.

Tip: Gunakan pengelola kata sandi

Pada akhirnya, menggunakan pengelola kata sandi dapat membantu Anda melacak login dan kata sandi unik Anda. Dengan bantuan pengelola kata sandi, Anda tidak perlu mengingat kata sandi Anda.

3. Batasi Upaya Masuk

Secara default, tidak ada sesuatu yang dibangun ke dalam WordPress untuk membatasi jumlah upaya login yang gagal yang dapat dilakukan seseorang. Tanpa batasan jumlah upaya login yang gagal yang dapat dilakukan penyerang, mereka dapat terus mencoba nama pengguna dan kata sandi dalam jumlah tak terbatas sampai berhasil.

Tingkatkan keamanan login WordPress Anda dengan menginstal plugin keamanan WordPress seperti iThemes Security Pro untuk membatasi jumlah upaya login yang gagal. Fitur iThemes Security Pro WordPress Brute Force Protection memberi Anda kekuatan untuk mengatur jumlah upaya login gagal yang diizinkan sebelum nama pengguna atau IP dikunci. Penguncian akan menonaktifkan sementara kemampuan penyerang untuk melakukan upaya login. Setelah penyerang dikunci tiga kali, mereka akan dilarang bahkan untuk melihat situs tersebut. Catatan: Saat memutuskan seberapa ketat aturan yang Anda inginkan untuk upaya masuk yang gagal, ingatlah pengguna situs Anda yang sebenarnya. Jika Anda membuat aturan penguncian terlalu tak kenal ampun, Anda berisiko secara tidak sengaja mengunci pengguna sebenarnya.

4. Batasi Upaya Otentikasi Luar Per Permintaan

Ada cara lain untuk login ke WordPress selain menggunakan form login. Menggunakan XML-RPC, penyerang dapat membuat ratusan upaya nama pengguna dan kata sandi dalam satu permintaan HTTP. Metode amplifikasi brute force memungkinkan penyerang melakukan ribuan upaya nama pengguna dan kata sandi menggunakan XML-RPC hanya dalam beberapa permintaan HTTP. Ketika Anda tahu penyerang dapat menggunakan dump basis data sebagai titik awal dan membuat ribuan tebakan per permintaan, itu membuat pentingnya keamanan login WordPress menjadi lebih jelas. Menggunakan pengaturan WordPress Tweaks iThemes Security Pro, Anda dapat memblokir beberapa upaya otentikasi per permintaan XML-RPC. Membatasi jumlah upaya nama pengguna dan kata sandi menjadi satu untuk setiap permintaan akan sangat membantu mengamankan login WordPress Anda.

Selain itu, saat Anda mengembangkan rencana keamanan login WordPress, penting untuk diketahui bahwa WordPress Rest API menambahkan cara tambahan untuk mengautentikasi pengguna WordPress. Otentikasi cookie adalah salah satu metode otentikasi ketika Anda login WordPress secara otomatis menyimpan cookie sehingga plugin dan tema dapat melakukan fungsi atas nama Anda. Otentikasi cookie akan mendapat manfaat dari perlindungan yang telah Anda tambahkan ke wp-login.php.

5. Gunakan Otentikasi Dua Faktor

Saya menyimpan metode cara terbaik untuk meningkatkan keamanan login WordPress untuk yang terakhir: otentikasi dua faktor WordPress. Otentikasi dua faktor memerlukan kode tambahan bersama dengan nama pengguna dan kata sandi WordPress Anda untuk masuk.

Ada banyak metode otentikasi dua faktor, tetapi tidak semua metode dibuat sama. Jika bisa, hindari menggunakan SMS untuk otentikasi dua faktor. Institut Nasional Standar dan Teknologi tidak lagi merekomendasikan penggunaan SMS untuk mengirim dan menerima kode otentikasi.

Menggunakan plugin keamanan WordPress, seperti iThemes Security Pro, Anda harus mengaktifkan metode dua faktor email atau aplikasi seluler.

Perhatikan bahwa banyak situs mengharuskan Anda menggunakan alamat email sebagai nama pengguna. Jika penyerang meretas salah satu situs ini, langkah selanjutnya adalah mencoba masuk ke akun email menggunakan alamat email dan kata sandi baru yang mereka curi. Jika salah satu pengguna atau klien Anda menggunakan kembali sandi yang disusupi di setiap situs, akun email mereka, bersama dengan kode email dua faktor mereka, akan disusupi. Metode aplikasi seluler dua faktor akan melakukan yang terbaik untuk meningkatkan keamanan login WordPress. Kode otentikasi tambahan yang diperlukan untuk masuk akan dikirim ke ponsel pengguna. Jadi, bahkan jika penyerang memiliki akses ke WordPress dan kredensial email, tetap tidak akan ada cara bagi mereka untuk masuk.

Rekap: Daftar Periksa Keamanan Login WordPress Sederhana

Keamanan login WordPress harus menjadi prioritas utama di setiap situs. Sekarang setelah Anda mengetahui cara meningkatkan keamanan login di situs Anda, Anda dapat memanfaatkan strategi pencegahan peretasan yang efektif ini.

1. Gunakan Kata Sandi yang Kuat
2. Gunakan Kata Sandi Unik untuk Setiap Akun
3. Batasi Upaya Masuk
4. Batasi Upaya Otentikasi
5. Gunakan Otentikasi Dua Faktor

Dapatkan konten bonus: Panduan Keamanan WordPress

Klik disini

Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress

WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs WordPress Anda. Ini seperti memiliki staf ahli keamanan penuh waktu yang terus-menerus memantau dan melindungi situs WordPress Anda untuk Anda.

Dapatkan iThemes Security Pro

Kristen Wright

Kristen telah menulis tutorial untuk membantu pengguna WordPress sejak 2011. Sebagai direktur pemasaran di iThemes, dia berdedikasi untuk membantu Anda menemukan cara terbaik untuk membangun, mengelola, dan memelihara situs web WordPress yang efektif. Kristen juga suka menulis jurnal (lihat proyek sampingannya, Tahun Transformasi !), hiking dan berkemah, aerobik langkah, memasak, dan petualangan sehari-hari bersama keluarganya, berharap untuk menjalani kehidupan yang lebih kekinian.