Cara Mengamankan Login WordPress dengan 2FA & Limit Login Attempts

By | 17 November 2025
0 Comment

Untuk menjaga keamanan website, sangat penting menerapkan langkah-langkah khusus untuk mengamankan login WordPress agar tidak mudah dibobol oleh brute force maupun akses ilegal. Dua metode yang paling efektif dan mudah diterapkan adalah Two-Factor Authentication (2FA) dan Limit Login Attempts. Kombinasi keduanya terbukti mampu menurunkan risiko serangan hingga lebih dari 90%. Pada tutorial ini, kita akan membahas apa itu 2FA dan limit login attempts, cara mengaktifkannya, plugin yang dapat digunakan, hingga praktik terbaik untuk memastikan halaman login WordPress benar-benar aman.

Mengapa Halaman Login WordPress Jadi Target Utama?

Sebelum membahas solusi, penting memahami mengapa halaman login WordPress sering diserang:

1. Serangan Brute Force Sangat Mudah Dilakukan

Hacker menggunakan script otomatis untuk mencoba ribuan kombinasi username dan password hingga menemukan yang benar. Tanpa batasan login, serangan ini sangat efektif.

2. Pengguna Cenderung Menggunakan Password Lemah

Fakta menunjukkan banyak pengguna menggunakan password seperti “admin123”, “123456”, atau “password”. Kombinasi seperti ini sangat mudah ditebak.

3. URL Login WordPress Bersifat Standar

URL default seperti /wp-login.php atau /wp-admin mudah ditebak, sehingga memudahkan bot otomatis melakukan serangan.

4. Bot Jahat Dirancang Untuk Menyerbu WordPress

Karena WordPress memiliki pangsa pasar lebih dari 40%, bot otomatis dibuat khusus untuk menyerang halaman login WordPress.

Dengan alasan-alasan tersebut, lapisan keamanan tambahan seperti 2FA dan limitasi percobaan login menjadi sangat penting.

Apa Itu 2FA (Two-Factor Authentication)?

Two-Factor Authentication adalah metode keamanan yang meminta pengguna melakukan verifikasi tambahan setelah memasukkan password. Umumnya 2FA menggunakan:

  • Kode OTP dari aplikasi authenticator (Google Authenticator, Authy, Microsoft Authenticator)

  • SMS OTP (lebih tidak disarankan karena rentan)

  • Email OTP

  • Token berbasis waktu (TOTP)

Mengapa 2FA Efektif?

Walaupun password dicuri, diretas, atau ditebak melalui brute force, hacker tetap tidak bisa masuk tanpa kode OTP yang hanya muncul di perangkat pemilik akun. Artinya, satu lapisan keamanan baru ditambahkan, sehingga risiko kebobolan login sangat kecil.

Apa Itu Limit Login Attempts?

Limit Login Attempts adalah fitur untuk membatasi percobaan login yang gagal. Jika seseorang salah memasukkan password beberapa kali (misalnya 3 kali), sistem akan:

  • Mengunci akses sementara (lockout)

  • Memblokir alamat IP

  • Menambahkan waktu tunggu (cooldown) antara percobaan login

  • Mengirim notifikasi kepada admin

Mengapa Limit Login Attempts Sangat Penting?

Tanpa pembatasan login, hacker bisa mencoba ribuan password per menit. Dengan limit login attempts, serangan brute force menjadi tidak mungkin dilakukan karena IP akan diblokir setelah sejumlah percobaan gagal.

Cara Mengamankan Login WordPress dengan 2FA

Untuk mengaktifkan 2FA, Anda dapat menggunakan beberapa plugin terbaik. Berikut panduan lengkapnya:

Menggunakan Plugin Wordfence Security

Wordfence menyediakan fitur 2FA gratis dan sangat mudah digunakan.

Cara Mengaktifkan 2FA di Wordfence:

  1. Install dan aktifkan plugin Wordfence.

  2. Masuk ke menu Wordfence → Login Security.

  3. Pilih Two-Factor Authentication.

  4. Scan QR Code menggunakan Google Authenticator atau Authy.

  5. Simpan Recovery Codes untuk keadaan darurat.

  6. Aktifkan untuk admin dan editor.

Keunggulan Wordfence 2FA:

  • Gratis

  • Sangat aman

  • Mudah digunakan

  • Bisa diatur untuk semua role pengguna

Menggunakan Plugin iThemes Security

iThemes Security menawarkan 2FA berbasis aplikasi authenticator.

Cara Mengaktifkan 2FA di iThemes:

  1. Install plugin iThemes Security.

  2. Buka menu Security → Settings → Two-Factor Authentication.

  3. Pilih metode TOTP dan scan QR Code.

  4. Aktifkan wajib 2FA untuk administrator.

Keunggulan iThemes:

  • Ringan dan tidak membebani server

  • Banyak opsi otentikasi

  • Bisa dipaksa untuk role tertentu

Menggunakan Plugin Google Authenticator

Plugin ini khusus untuk menambahkan 2FA tanpa fitur keamanan lainnya.

Kelebihan:

  • Sangat ringan

  • Mudah digunakan

  • Cocok untuk website kecil

Cara Mengamankan Login WordPress dengan Limit Login Attempts

Ada beberapa plugin yang menyediakan fitur limit login attempts. Berikut yang terbaik:

Limit Login Attempts Reloaded

Plugin ini paling populer dan sangat sederhana.

Cara Mengaktifkan:

  1. Install plugin Limit Login Attempts Reloaded.

  2. Buka menu Settings → Limit Login Attempts.

  3. Atur:

    • Maximum retries (misalnya: 3)

    • Lockout time (misalnya: 20 menit)

    • Extended lockout (1–24 jam)

  4. Aktifkan email notifikasi ketika ada serangan.

Wordfence Security (Built-in Brute Force Protection)

Sudah termasuk di Wordfence tanpa plugin tambahan.

Pengaturan:

  • Buka Wordfence → Firewall → Brute Force Protection

  • Atur limit login gagal

  • Atur lockout permanen untuk IP mencurigakan

iThemes Security

iThemes Security juga menyediakan fitur limit login.

Pengaturan:

  • Buka Security → Settings → Local Brute Force Protection

  • Atur limit login, waktu lockout, dan IP auto-ban

Menggunakan 2FA + Limit Login Attempts: Kombinasi Pertahanan Terkuat

Menggunakan salah satu fitur saja sudah aman, tetapi menggunakan keduanya sekaligus adalah kombinasi terbaik, karena:

  • Limit login attempts menghentikan brute force

  • 2FA menghentikan login meski password bocor

  • IP mencurigakan diblokir otomatis

  • Hacker tidak punya kesempatan mencoba ribuan kombinasi password

Website menjadi jauh lebih aman tanpa mengorbankan kenyamanan pengguna.

Tips Tambahan untuk Memperkuat Keamanan Login WordPress

Selain dua fitur utama ini, Anda bisa menambahkan beberapa praktik keamanan tambahan:

1. Gunakan Username Unik (bukan admin)

Username “admin” adalah yang paling sering diserang.

2. Gunakan Password Kuat

Gunakan kombinasi huruf besar, kecil, angka, dan simbol.

3. Sembunyikan URL Login (Opsional)

Gunakan plugin seperti WPS Hide Login.

4. Aktifkan Captcha

Captcha menambah satu lapisan proteksi untuk mencegah bot login.

5. Pantau Aktivitas Login

Gunakan plugin seperti WP Activity Log.

Kesimpulan

Menggunakan 2FA dan limit login attempts adalah langkah penting untuk mengamankan login WordPress dari serangan brute force dan upaya akses ilegal. 2FA memastikan bahwa hanya pengguna asli yang bisa login karena membutuhkan kode OTP, sedangkan limit login attempts membatasi percobaan login sehingga bot dan hacker tidak bisa mencoba berulang-ulang.

Dengan menerapkan dua langkah ini dan ditambah penggunaan password yang kuat, pemantauan aktivitas login, serta update rutin, website WordPress Anda akan jauh lebih aman. Tidak perlu menjadi ahli keamanan untuk menerapkannya, cukup gunakan plugin yang tersedia dan ikuti panduan sederhana seperti di atas.

Related posts:

  1. Plugin Keamanan Terbaik untuk WordPress
  2. Tips Keamanan Awal Setelah Instalasi WordPress
  3. Apa Itu Plugin WordPress dan Cara Menginstalnya
  4. Tips Meningkatkan Keamanan WordPress dari Serangan Hacker
  5. Cara Membuat Form Login Keren dengan Bootstrap dan Validasi Otomatis
  6. Cara Backup dan Restore Website WordPress dengan Mudah
  7. Plugin Wajib untuk Website WordPress Baru
  8. Cara Membuat Plugin WordPress Sendiri dari Nol
  9. Cara Mengatur User Role dan Permission di WordPress
  10. Cara Menginstal WordPress di Localhost Menggunakan XAMPP