Apakah Anda pernah merasa was-was website WordPress Anda menjadi sasaran serangan brute force? Serangan ini bekerja dengan cara menebak kombinasi username dan password ribuan kali hingga berhasil masuk. Biasanya, solusi standar yang ditawarkan adalah menginstal plugin keamanan berat seperti Wordfence atau iThemes Security.
Memang, plugin tersebut sangat ampuh. Namun, bagi sebagian pemilik website, plugin keamanan “kelas berat” ini bisa memperlambat kinerja situs dan membebani database.
Lantas, adakah cara amankan login WordPress yang ringan, efektif, tapi tetap “mematikan” bagi para peretas? Jawabannya ada: Membuat Authorization Code (Kode Otorisasi) Kustom.
Dalam panduan ini, kita akan membongkar rahasia para developer untuk menyisipkan lapis keamanan ekstra langsung ke dalam “jantung” WordPress, tanpa perlu menginstal plugin tambahan.
Mengapa Perlu Authorization Code Manual?
Sebelum kita masuk ke teknis penulisan kode, mari kita pahami dulu konsepnya. Authorization Code yang akan kita buat ini berfungsi mirip seperti PIN tambahan.
Meskipun hacker berhasil menebak username dan password Anda, mereka tetap tidak akan bisa masuk jika tidak mengetahui “kata sandi kedua” ini.
Berikut adalah alasan mengapa metode manual ini lebih disukai oleh para webmaster senior:
-
Sangat Ringan: Kita hanya menambahkan beberapa baris kode PHP. Tidak ada beban database tambahan.
-
Anti-Deteksi (Stealth Mode): Hacker biasanya menggunakan bot yang diprogram untuk menyerang form login standar WordPress. Ketika Anda menambahkan kolom kustom baru, bot tersebut akan bingung dan gagal melakukan eksekusi.
-
Privasi Terjamin: Berbeda dengan plugin yang kodenya bersifat publik (open source), kode rahasia yang Anda buat sendiri ini unik dan hanya Anda yang tahu logikanya.
Persiapan Sebelum Mengedit File Inti
Karena kita akan bermain di area “dapur” WordPress, ada baiknya Anda melakukan persiapan matang. Metode ini akan melibatkan pengeditan file functions.php yang ada di tema Anda.
-
Backup Website: Selalu lakukan backup database dan file sebelum mengedit kode.
-
Akses File Manager: Pastikan Anda punya akses ke cPanel atau FTP, untuk berjaga-jaga jika terjadi kesalahan pengetikan yang membuat situs tidak bisa diakses.
Tutorial: Menambahkan Kode Rahasia di Halaman Login
Nah, inilah inti dari cara amankan login WordPress secara mandiri. Kita akan memanipulasi halaman wp-login.php agar menampilkan kolom tambahan.
Langkah 1: Buka Theme File Editor
Masuklah ke dashboard WordPress Anda, kemudian arahkan kursor ke menu: Appearance (Tampilan) > Theme File Editor (Penyunting Berkas Tema).
Di bagian kanan layar, cari file bernama functions.php. File ini adalah otak dari tema yang Anda gunakan.
Langkah 2: Masukkan Script Ajaib
Scroll hingga ke baris paling bawah dari file functions.php. Salin dan tempelkan (paste) kode berikut ini dengan hati-hati:
/**
* 1. Menampilkan Kolom Authorization Code di Form Login
*/
function tampilkan_kode_rahasia_login() {
?>
<p>
<label for=”kode_rahasia”>Authorization code<br />
<input type=”text” name=”kode_rahasia” id=”kode_rahasia” class=”input” value=”” size=”20″ autocomplete=”off” /></label>
</p>
<?php
}
add_action( ‘login_form’, ‘tampilkan_kode_rahasia_login’ );/**
* 2. Memeriksa Apakah Kode yang dimasukkan Benar
*/
function cek_kode_rahasia_login( $user, $username, $password ) {
// Tentukan kode rahasia Anda di sini (GANTI ‘contohkode123’ DENGAN KODE ANDA)
$kode_benar = ‘contohkode123’;// Jika kolom username atau password kosong, biarkan WP yang handle errornya
if ( empty( $username ) || empty( $password ) ) {
return $user;
}// Ambil data dari kolom inputan kita
$input_kode = isset( $_POST[‘kode_rahasia’] ) ? $_POST[‘kode_rahasia’] : ”;// Cek apakah kodenya cocok
if ( $input_kode !== $kode_benar ) {
// Jika salah, batalkan login dan tampilkan pesan error
remove_action( ‘authenticate’, ‘wp_authenticate_username_password’, 20 );
return new WP_Error( ‘denied’, ‘<strong>ERROR</strong>: Authorization Code yang Anda masukkan salah.’ );
}return $user;
}
// Jalankan pengecekan ini di awal proses login
add_filter( ‘authenticate’, ‘cek_kode_rahasia_login’, 10, 3 );
Penting: Ubah bagian $kode_benar = 'contohkode123'; dengan kode unik pilihan Anda sendiri. Kombinasi angka dan huruf yang aneh akan jauh lebih aman.
Langkah 3: Simpan dan Uji Coba
Klik tombol Update File. Sekarang, coba buka halaman login Anda di browser lain atau mode Incognito. Anda akan melihat kolom baru bertuliskan “Authorization code”.
Cobalah login tanpa mengisi kolom tersebut, atau isi dengan kode asal. Dijamin, WordPress akan menolak akses Anda meskipun password utama sudah benar. Inilah cara amankan login WordPress yang sesungguhnya!
Bisakah Kode Ini Diintip Lewat Inspect Element?
Banyak pengguna awam khawatir, “Apakah orang lain bisa melihat kode rahasia saya dengan cara klik kanan lalu Inspect Element di browser?”
Jawabannya adalah: TIDAK BISA.
Perlu dipahami bahwa PHP adalah bahasa pemrograman Server-Side. Artinya, kode contohkode123 yang Anda tulis tadi tersimpan aman di server hosting. Server hanya mengirimkan tampilan kulit luarnya (HTML) ke browser pengunjung.
Ketika seseorang melakukan Inspect Element, mereka hanya melihat kotak kosong (value=""). Browser tidak pernah tahu apa isi variabel $kode_benar yang ada di dalam server. Jadi, keamanan metode ini sangat terjamin selama server Anda tidak diretas dari dalam.
Tips Tambahan: Sembunyikan Menu Plugins dan Menu Editor
Setelah berhasil mengamankan pintu depan, ada baiknya kita juga mengamankan bagian dalam. Terkadang, kita ingin mencegah user lain (atau klien) sembarangan menginstall plugin yang bisa merusak situs.
Anda bisa menambahkan kode ekstra ini di bawah kode login tadi pada file functions.php:
/**
* PENGAMANAN DASHBOARD:
* Mematikan Fitur Install Plugin & Theme Editor
*/
function amankan_dashboard_wordpress() {
// 1. Sembunyikan Menu ‘Add New’ Plugin
remove_submenu_page( ‘plugins.php’, ‘plugin-install.php’ );// 2. Mematikan File Editor (Cara Paling Aman)
if ( ! defined( ‘DISALLOW_FILE_EDIT’ ) ) {
define( ‘DISALLOW_FILE_EDIT’, true );
}
}
// Gunakan ‘admin_init’ agar dieksekusi sedini mungkin
add_action( ‘admin_init’, ‘amankan_dashboard_wordpress’ );
Dengan script sederhana ini, menu “Add New” pada Plugins dan ” Theme File Editor” akan hilang dari dashboard, membuat situs Anda jauh lebih bersih dan terkontrol.
Kalau masih muncul tombol “Install Plugins” nya, silahkan ganti pakai script berikut :
/**
* PERBAIKAN: PENGAMANAN DASHBOARD
* Menggunakan hook ‘admin_menu’ (bukan admin_init)
*/
function amankan_dashboard_wordpress() {
// 1. Sembunyikan Sub-menu ‘Add New’ (Tambah Baru) di sidebar
remove_submenu_page( ‘plugins.php’, ‘plugin-install.php’ );// 2. Sembunyikan Theme File Editor (Penyunting Tema)
remove_submenu_page( ‘themes.php’, ‘theme-editor.php’ );// 3. Sembunyikan Plugin File Editor (Penyunting Plugin)
remove_submenu_page( ‘plugins.php’, ‘plugin-editor.php’ );
}
// WAJIB pakai ‘admin_menu’ dan prioritas 999 agar menimpa settingan default
add_action( ‘admin_menu’, ‘amankan_dashboard_wordpress’, 999 );/**
* TAMBAHAN: Hapus Tombol “Add New” di Halaman Plugins
* (Karena remove_menu saja tidak menghapus tombol di atas layar)
*/
function sembunyikan_tombol_add_new() {
global $pagenow;
// Cek jika sedang di halaman Plugins
if ( $pagenow == ‘plugins.php’ ) {
echo ‘<style>
.page-title-action, /* Tombol Add New standar */
.wrap .wp-heading-inline + .page-title-action /* Memastikan target tepat */
{ display: none !important; }
</style>’;
}
}
add_action( ‘admin_head’, ‘sembunyikan_tombol_add_new’ );/**
* DEFINE CONSTANT (Opsional tapi Recommended)
* Bagian ini sebaiknya ditaruh di paling atas functions.php atau di wp-config.php
* karena jika ditaruh di dalam hook seringkali terlambat dieksekusi.
*/
if ( ! defined( ‘DISALLOW_FILE_EDIT’ ) ) {
define( ‘DISALLOW_FILE_EDIT’, true );
}
Bayangkan jika seseorang berhasil masuk ke dashboard (mungkin Anda meminjamkan akun ke developer atau karyawan), mereka bisa saja membuka Theme File Editor dan menghapus kode keamanan yang baru saja Anda buat tadi. Bahaya, bukan?
Untuk mencegah script contohkode123 tadi dihapus atau dimodifikasi, kita perlu menyembunyikan menu Plugins dan Theme File Editor dari pandangan.
Kode di atas bekerja sangat efektif. Setelah Anda klik “Update File”, menu Theme File Editor akan langsung hilang dari dashboard WordPress Anda.
Apa artinya? Artinya, Anda sendiri juga tidak akan bisa mengakses menu editor tersebut dari dashboard WP lagi. Anda telah mengunci pintunya dari dalam.
Jika ingin mengedit kode lagi bagaimana? Jangan panik. Anda tetap bisa mengedit file tersebut lewat cPanel atau File Manager hosting. Ini justru praktik keamanan terbaik: Hanya pemilik server yang boleh menyentuh kode, bukan user yang login lewat dashboard.
Mengamankan website tidak selalu harus mahal atau menggunakan plugin yang berat. Dengan sedikit keberanian mengolah kode, Anda bisa menciptakan sistem pertahanan lapis ganda yang efisien.
Cara amankan login WordPress dengan Authorization Code custom ini adalah solusi cerdas bagi Anda yang mengutamakan kecepatan website tanpa mengorbankan keamanan. Ingat, keamanan website adalah investasi jangka panjang. Jangan tunggu sampai website Anda diretas baru bertindak.
Selamat mencoba, dan semoga website Anda selalu aman!