Security: Cara Batasi (Limit) Login Gagal Berulang di WordPress

Secara default, ketika login ke halaman admin, WordPress memungkinkan pengguna mencoba kata sandi yang berbeda sebanyak yang diinginkan.

Hal ini menjadi salah satu cara peretas (hacker) mencoba masuk ke website Anda dengan menebak kata sandi admin Anda, bahkan dapat menggunakan serangan brute force (salah satu teknik hacking), di mana peretas mencoba memanfaatkan ini dengan menggunakan skrip yang memasukkan kombinasi berbeda sampai website Anda teretas.

Tetapi Anda dapat menambah lapisan keamanan ke website Anda guna mencegah hal ini, diantaranya membatasi jumlah upaya masuk yang gagal tiap pengguna.

Misalnya, ketika 5 kali gagal untuk login, akan mengunci sementara. Jika seseorang lebih dari 5 kali gagal, maka website Anda akan memblokir IP mereka untuk jangka waktu sementara berdasarkan pengaturan Anda. Anda dapat membuatnya 5 menit, 10 menit, 30 menit, 24 jam, bahkan lebih lama.

limit login 1

Cara Membatasi Jumlah Maksimal Gagal Login

Pertama Anda harus menginstall dan mengaktifkan plugin Loginizer, yang merupakan salah satu plugin yang dapat dipilih ketika install WordPress menggunakan Softaculous. Akan tampil satu menu di halaman admin, Loginizer Security.

Cara cepat install WordPress menggunakan Softaculous

Lalu, Anda harus masuk ke halaman Loginizer Security >> Brute Force untuk melakukan konfigurasi pengaturan plugin tersebut.

Pada bagian paling atas terdapat informasi log percobaan login yang gagal 24 jam terakhir. Anda dapat mengetahui IP mana saja yang telah mencoba login tetapi gagal, termasuk waktu dan jumlah gagalnya.

limit login 2 info

Pada bagian kedua merupakan pengaturannya. Secara default plugin ini telah memberikan pengaturan standar apabila Anda tidak ingin lagi melakukan perubahan.

limit login 3: pengaturan

  • Max Retries, jumlah maksimal upaya gagal sebelum di lockout oleh sistem
  • Lockout Time, batasan menit pengguna dapat kembali melakukan upaya login
  • Max Lockout, batasan maksimal pengguna terkena lockout, misalnya diatur 5 yang berarti 5 kali, apabila pengguna sudah lima kali terkena lockout, dia baru dapat mencoba lagi setelah berdasarkan pengaturan Extend Lockout di bawah ini
  • Extend Lockout, berdasarkan jam, perpanjangan waktu Lockout setelah terkena Max Lockouts, misal diisi 24, yang berarti 24 jam dapat login kembali.
  • Reset Entries, berdasarkan jam, berapa jam daftar / list yang gagal di setel ulang kembali.
  • Email Notification, isi dengan angka yang berarti berapa angka kali lockout akan mengirim email notifikasi ke administrator, yang memberitahukan kalau ada upaya login yang gagal, sehingga dapat melakukan tindakan lebih lanjut. Atur ke 0 apabila tidak ingin mendapatkan notifikasi.

Bagian Blacklist IP

Anda dapat mem-blacklist IP yang mencurigakan melalui kolom ini, apabila hanya single IP, cukup pada kolom pertama. Setelah di input klik Add Blacklist IP Range. Untuk menghapusnya klik Delete All Blacklist IP Range(s).

limit login 3: blacklist

Whitelist IP

Anda juga dapat memberikan daftar IP yang tidak akan terpengaruh oleh batas waktu ini. Artinya IP yang Anda inputkan di bagian ini dapat melakukan upaya pengulangan login berapa kalipun juga.

limit login 5 whitelist

Bagian Error Massages

Anda dapat memodifikasi beberapa pesan gagal yang secara default menggunakan Bahasa Inggris.

limit login 5 translate

Informasi: dengan instalasi Loginizer ini akan menambah satu tabel _loginizer_logs pada database Anda.

2 pemikiran untuk “Security: Cara Batasi (Limit) Login Gagal Berulang di WordPress”

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *