Halaman login WordPress adalah salah satu bagian paling penting dalam keamanan website. Jika akses login berhasil ditembus, pihak tidak bertanggung jawab bisa mengubah konten, memasang malware, mencuri data, atau membuat website tidak bisa diakses.
Banyak pemilik website hanya fokus pada tampilan dan konten, tetapi lupa mengamankan halaman login. Padahal, perlindungan login adalah langkah dasar yang sangat penting.
Artikel ini membahas cara mengamankan login WordPress dengan langkah yang mudah dipahami dan bisa diterapkan oleh pemilik website.

Kenapa Login WordPress Perlu Diamankan?
Secara default, halaman login WordPress biasanya bisa diakses melalui:
/wp-login.php
atau:
/wp-admin
Karena alamat ini umum diketahui, bot dan penyerang bisa mencoba login berkali-kali menggunakan kombinasi username dan password.
Serangan seperti ini dikenal sebagai brute force attack.
Risiko Jika Login WordPress Tidak Aman
Jika login WordPress tidak diamankan, beberapa risiko yang bisa terjadi antara lain:
- Akun admin diambil alih.
- Website disisipkan malware.
- Konten website diubah.
- Data pelanggan berisiko bocor.
- Website redirect ke situs asing.
- Reputasi bisnis menurun.
- Website diblokir browser atau mesin pencari.
Karena itu, keamanan login bukan hanya masalah teknis, tetapi juga berkaitan dengan kepercayaan pelanggan.
Cara Mengamankan Login WordPress
Berikut langkah-langkah yang bisa dilakukan.
- Gunakan Password yang Kuat
Password adalah perlindungan pertama. Hindari password yang mudah ditebak seperti:
admin123
password
namabisnis123
12345678
Gunakan kombinasi:
- huruf besar,
- huruf kecil,
- angka,
- simbol,
- panjang minimal 12 karakter.
Contoh password yang lebih aman adalah kombinasi acak yang tidak mudah ditebak.
Jika sulit mengingat banyak password, gunakan password manager.
- Jangan Gunakan Username “admin”
Username admin sangat umum ditebak. Jika website masih menggunakan username ini, penyerang hanya perlu menebak password.
Lebih baik gunakan username yang unik dan tidak mudah ditebak.
Jika sudah terlanjur memakai username admin, buat user admin baru dengan username berbeda, lalu hapus user lama setelah memastikan konten dipindahkan ke user baru.
- Aktifkan Two-Factor Authentication
Two-Factor Authentication atau 2FA menambahkan lapisan keamanan tambahan. Setelah memasukkan password, pengguna masih perlu memasukkan kode verifikasi dari aplikasi authenticator atau email.
Dengan 2FA, meskipun password diketahui orang lain, login tetap lebih sulit ditembus.
- Batasi Percobaan Login
Serangan brute force biasanya mencoba login berkali-kali. Dengan membatasi percobaan login, sistem bisa memblokir sementara IP yang gagal login terlalu banyak.
Fitur ini biasanya tersedia di plugin keamanan WordPress.
Contoh pengaturan yang bisa digunakan:
- Maksimal 3–5 percobaan login.
- Blokir sementara setelah gagal berkali-kali.
- Notifikasi jika ada percobaan login mencurigakan.
- Gunakan Plugin Keamanan
Plugin keamanan bisa membantu melindungi halaman login dan memantau aktivitas mencurigakan.
Fitur yang biasanya berguna:
- firewall,
- login protection,
- malware scan,
- limit login attempts,
- 2FA,
- file change detection,
- security notification.
Gunakan plugin dari sumber resmi dan pastikan plugin tersebut aktif diperbarui.
- Batasi Jumlah User Admin
Tidak semua pengguna perlu memiliki akses admin. Semakin banyak akun admin, semakin besar risiko keamanan.
Gunakan role sesuai kebutuhan:
- Administrator untuk pengelola utama.
- Editor untuk pengelola konten.
- Author untuk penulis.
- Contributor untuk kontributor.
Berikan akses admin hanya kepada orang yang benar-benar membutuhkan.
- Hapus User yang Tidak Digunakan
Jika ada akun lama yang sudah tidak dipakai, sebaiknya hapus atau turunkan rolenya.
Akun lama yang tidak diawasi bisa menjadi celah jika passwordnya lemah atau emailnya tidak aktif.
- Gunakan HTTPS
HTTPS membantu mengenkripsi data yang dikirim antara browser dan server. Tanpa HTTPS, data login lebih rentan disadap pada jaringan yang tidak aman.
Pastikan website sudah memakai SSL aktif.
Alamat website harus menggunakan:
https://
bukan:
http://
- Update WordPress, Plugin, dan Tema
Banyak celah keamanan muncul dari plugin, tema, atau WordPress yang tidak diperbarui.
Lakukan update secara rutin, tetapi tetap hati-hati:
- Backup sebelum update besar.
- Update plugin satu per satu jika memungkinkan.
- Cek website setelah update.
- Hindari plugin yang sudah lama tidak diperbarui.
- Hindari Plugin dan Tema Bajakan
Plugin atau tema nulled sangat berisiko karena bisa saja sudah disisipkan malware. Meski terlihat gratis, risikonya bisa jauh lebih mahal jika website terkena serangan.
Gunakan plugin dan tema dari sumber resmi.
Tanda Login WordPress Sedang Diserang
Beberapa tanda yang perlu diperhatikan:
- Banyak notifikasi gagal login.
- Website menjadi lambat tanpa alasan jelas.
- Ada user admin baru yang tidak dikenal.
- Password sering berubah.
- Dashboard tidak bisa diakses.
- Hosting mengirim peringatan aktivitas mencurigakan.
Jika tanda ini muncul, segera lakukan pengecekan keamanan.
Checklist Keamanan Login WordPress
Gunakan checklist berikut:
- Password kuat sudah digunakan.
- Username admin tidak mudah ditebak.
- 2FA aktif.
- Limit login aktif.
- SSL/HTTPS aktif.
- Plugin dan tema rutin diupdate.
- User admin dibatasi.
- User lama dihapus.
- Backup rutin tersedia.
- Plugin bajakan tidak digunakan.
Kesalahan yang Sering Dilakukan
Beberapa kesalahan umum pemilik website:
- Memakai password yang sama di banyak tempat.
- Membagikan akses admin tanpa batas.
- Tidak mengganti password setelah freelancer selesai bekerja.
- Membiarkan user lama tetap aktif.
- Tidak melakukan update karena takut error.
- Tidak punya backup sebelum perubahan besar.
Keamanan WordPress harus dijaga secara rutin, bukan hanya saat website sudah bermasalah.
Butuh Bantuan Mengamankan WordPress?
WP Rescue ID membantu pengecekan keamanan dasar WordPress, pemulihan akses, pembersihan malware, dan maintenance agar website lebih aman.
Jika Anda ingin mengamankan login WordPress atau curiga website sedang diserang, hubungi WP Rescue ID untuk diagnosa awal.