Bagaimana Membatasi Upaya Login di WordPress?

Diterbitkan: 2021-11-30

Dalam artikel kami sebelumnya, kami telah menjelaskan berbagai cara untuk menghentikan serangan brute force di situs WordPress. Dibandingkan dengan semua opsi lain, membatasi upaya login halaman login WordPress Anda adalah salah satu cara paling efektif untuk melindungi situs Anda. Sebagian besar pengguna berpikir ini adalah tugas yang sulit dan tidak cukup untuk meningkatkan keamanan situs web mereka. Ini terutama karena fakta bahwa itu bisa memakan waktu, mahal, dan benar-benar sulit. Tetapi bagaimana jika kami memberi tahu Anda bahwa Anda dapat membatasi upaya login di situs WordPress Anda dalam waktu kurang dari 10 menit menggunakan plugin. Baca lebih lanjut untuk mengetahui bagaimana Anda bisa melakukannya.

Mengapa Membatasi Upaya Login di WordPress?

WordPress menawarkan formulir login sederhana yang dapat diakses dengan menambahkan akhiran /wp-admin/ atau /wp-login.php ke URL situs web Anda. Meskipun Anda dapat mengubah URL ini menggunakan plugin, ini dapat menimbulkan masalah lain karena banyak plugin WordPress menggunakan halaman login yang sama untuk mengakses dasbor. Di bawah ini adalah beberapa jenis plugin yang mungkin menggunakan halaman login WordPress Anda:

  • Plugin toko online seperti WooCommerce
  • Plugin berlangganan konten
  • Plugin keanggotaan

Tidak akan terlihat profesional untuk memberikan URL atau kata sandi khusus kepada pelanggan Anda yang membayar. Oleh karena itu, opsi terbaik adalah membatasi upaya login yang memungkinkan pelanggan Anda login ke situs Anda sekaligus membatasi bot otomatis.

Selain itu, memblokir bot akan menghemat bandwidth server yang dapat digunakan untuk melayani pengunjung nyata ke situs Anda.

Batasi Upaya Masuk Plugin yang Dimuat Ulang

Solusi kami untuk masalah ini hadir dalam bentuk Plugin Limit Login Attempts Reloaded . Ini adalah plugin WordPress terbaik untuk membatasi upaya login dan cukup mudah untuk dikonfigurasi dan diterapkan.

  • Buka portal admin WordPress Anda dan buka bagian “Plugins > Add New”.
  • Cukup ketik "batas login" di kotak pencarian untuk menemukan daftar plugin yang relevan.
  • Temukan plugin Limit Login Attempts Reloaded di hasil pencarian, klik "Instal", lalu klik "Aktifkan" segera setelahnya, seperti yang ditunjukkan pada gambar di bawah.
Instal dan Aktifkan Plugin Batas Masuk
Instal dan Aktifkan Plugin Batas Masuk

Dasbor Plugin

Setelah instalasi dan aktivasi, Anda akan menemukan menu baru yang terdaftar di sidebar dashboard WordPress Anda dengan nama “Limit Login Attempts”. Klik pada menu itu untuk masuk ke panel kontrol plugin. Atau, Anda juga dapat mengakses halaman dari “Pengaturan > Batasi Upaya Masuk”, seperti yang ditunjukkan pada gambar di bawah.

Dasbor Percobaan Masuk Batas Terbuka
Dasbor Percobaan Masuk Batas Terbuka

Saat memasuki halaman, Anda akan melihat bagian dasbor plugin. Di sini Anda bisa mendapatkan gambaran umum tentang semuanya serta memantau hal-hal berikut:

  • Lihat jumlah total upaya login yang gagal di situs web Anda dalam format yang direpresentasikan secara grafis dalam bentuk diagram lingkaran dan diagram batang.
  • Tingkatkan ke versi premium plugin. Sementara versi gratis plugin akan lebih dari cukup untuk sebagian besar pengguna, jika Anda mengalami penurunan kinerja situs web setelah menginstal plugin, meningkatkan ke premium akan menyelesaikan masalah ini karena plugin akan mulai menyerap serangan brute force di cloud mereka server sebagai lawan dari lokal. Anda juga akan mendapatkan dukungan 24 jam, pencadangan otomatis semua data, dan pembatasan lanjutan atas hal-hal lain.
  • Lihat statistik menarik seperti upaya login yang gagal oleh negara setiap hari.
Batasi Dasbor Upaya Masuk
Batasi Dasbor Upaya Masuk

Konfigurasikan Pengaturan Plugin

Klik pada tab pengaturan untuk membuat konfigurasi khusus dan perubahan pada pengaturan login default WordPress. Di halaman ini, Anda dapat membuat perubahan berikut:

  • Beri tahu saat Penguncian: Alamat email yang Anda masukkan akan diberi tahu setiap kali situs web dikunci karena beberapa kali upaya masuk yang gagal. Secara default, plugin akan memberi tahu melalui email setelah 3 penguncian, tetapi Anda dapat mengubahnya ke setiap penguncian dengan memasukkan “1” alih-alih 3 seperti yang ditunjukkan di bawah ini.
Pengaturan Pemberitahuan di Lockout
Pengaturan Pemberitahuan di Lockout
  • Pengaturan penguncian: Di bagian ini, Anda dapat membuat modifikasi keamanan berikut:
    • Percobaan Ulang yang Diizinkan: Ini adalah berapa kali Anda dapat mencoba masuk ke portal admin situs web. Nilai default plugin di sini adalah 4 tetapi 2 atau 3 akan lebih baik dari sudut pandang keamanan.
    • Penguncian Menit: Ini adalah durasi portal admin situs web tidak dapat diakses. Nilai default 20 menit sesuai menurut pendapat kami, tetapi Anda juga dapat membuat perubahan sesuai preferensi Anda.
  • Penguncian meningkatkan waktu penguncian: Ini pada dasarnya mengacu pada apa yang akan terjadi setelah beberapa penguncian. Misalnya, sesuai dengan pengaturan plugin default, setelah 4 penguncian, durasi penguncian akan berubah menjadi 24 jam dari 20 menit.
  • Percobaan ulang diatur ulang: Nilai yang Anda masukkan akan menentukan berapa lama waktu yang diperlukan sebelum percobaan ulang diatur ulang dan pengguna dapat mencoba masuk lagi.
  • Asal IP Tepercaya: Jika Anda memiliki asal tertentu yang Anda percayai, Anda dapat memasukkannya di sini dipisahkan dengan koma. Seperti plugin, kami juga menyarankan Anda menggunakan asal REMOTE_ADDR default karena asal lainnya dapat dengan mudah dipalsukan.
Pengaturan Aplikasi Batasi Upaya Masuk
Pengaturan Aplikasi Batasi Upaya Masuk

Setelah Anda memasukkan pengaturan khusus untuk plugin, jangan lupa untuk mengklik "Simpan Pengaturan" untuk mengaktifkan konfigurasi Anda.

Melihat Log

Selanjutnya, dari tab log, Anda akan dapat melihat total penguncian sejauh ini serta mencantumkan secara manual rentang IP atau IP yang ingin Anda blokir atau daftar aman.

Batasi Upaya Masuk Log
Batasi Upaya Masuk Log

Tonton Plugin beraksi

Jadi sekarang setelah kita mengonfigurasi plugin, mari kita lihat cara kerjanya. Keluar dari portal admin WordPress dan ketika Anda berada di halaman login, masukkan nama pengguna dan kata sandi yang tidak valid untuk menguji plugin. Seperti yang Anda lihat, plugin dengan jelas menunjukkan berapa banyak upaya yang Anda lakukan sebelum situs mengunci alamat IP Anda. Anda akan melihat pesan seperti "3 upaya tersisa" karena kami telah mengonfigurasi untuk membatasi login dengan 3 upaya yang tidak valid.

Upaya Masuk Tidak Valid
Upaya Masuk Tidak Valid

Jika Anda terus memasukkan nama pengguna atau kata sandi yang salah, Anda akan menghadapi status penguncian seperti yang ditunjukkan pada gambar di bawah. Dalam situasi ini, Anda tidak akan dapat mengirimkan permintaan masuk lagi hingga durasi penguncian berakhir, dalam hal ini 20 menit. Faktanya, bahkan jika Anda mengirimkan kredensial yang benar, plugin tidak akan mengizinkan Anda masuk selama durasi penguncian ini.

Upaya Masuk Lockout
Upaya Masuk Lockout

Kata-kata Terakhir

Kami sangat menyarankan untuk membatasi upaya login di situs WordPress Anda terutama jika Anda tidak menggunakan fitur pendaftaran apa pun. Anda dapat memantau statistik login yang gagal untuk memahami asal serangan. Jika diperlukan, Anda dapat meningkatkan durasi penguncian atau memblokir alamat IP secara permanen untuk meningkatkan keamanan. Namun, hindari menggunakan terlalu banyak batasan saat Anda memiliki pelanggan yang membayar login melalui formulir login WordPress default.