Cara Menyembunyikan Halaman Login WordPress (wp-admin) Tanpa Plugin

Oleh Diposting pada

LarhTech – Jika Anda menggunakan WordPress, cobalah buka log keamanan peladen (server) Anda. Anda pasti akan terkejut melihat ribuan alamat IP asing yang mencoba mengakses halaman namadomain.com/wp-admin.

Halaman login bawaan WordPress adalah pintu utama yang selalu menjadi target serangan Brute-Force. Jika dibiarkan terbuka untuk publik, peladen VPS Anda akan kehabisan CPU dan RAM hanya untuk merespons ketukan pintu dari bot-bot peretas tersebut.

Banyak tutorial menyarankan Anda untuk menginstal plugin penyembunyi login. Namun, bagi pengelola website yang mengutamakan kecepatan (seperti kita), menambah plugin berarti menambah beban baru pada database.

Dalam panduan ini, kita akan mempelajari dua cara tingkat lanjut (advanced) untuk menyembunyikan halaman login WordPress murni tanpa plugin. Cara pertama menggunakan injeksi kode PHP, dan cara kedua adalah dengan menguncinya langsung dari tingkat peladen (menggunakan aaPanel dan Nginx).

Metode 1: Menggunakan Kode Parameter Rahasia (PHP)

Metode ini akan membuat halaman wp-login.php Anda menjadi “buta”. Jika seseorang mengakses halaman tersebut tanpa membawa “kata sandi rahasia” di URL-nya, mereka akan otomatis ditendang kembali ke halaman depan (Homepage).

Karena kita menghindari plugin, kita akan memasukkan kode ini ke dalam file inti tema Anda. (Atau, Anda bisa menggunakan plugin WPCode yang sudah kita gunakan di tutorial sebelumnya).

  • Masuk ke dashboard WordPress Anda.
  • Buka menu Code Snippets > Add Snippet (jika menggunakan WPCode), lalu pilih PHP Snippet. (Alternatif: Edit file functions.php dari tema Anda melalui aaPanel).
  • Tempelkan (paste) kode keamanan berikut:
add_action('init', 'larhtech_kunci_login');

function larhtech_kunci_login() {
// Tentukan parameter dan nilai rahasia Anda di sini
$parameter_rahasia = 'kunci';
$nilai_rahasia = 'masuk';

$url_sekarang = 'http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];

// Jika seseorang mengakses wp-login.php atau wp-admin (tapi belum login)
if ( strpos($url_sekarang, 'wp-login.php') !== false || ( is_admin() && !is_user_logged_in() ) ) {

// Cek apakah URL-nya mengandung ?kunci=masuk
if ( !isset($_GET[$parameter_rahasia]) || $_GET[$parameter_rahasia] !== $nilai_rahasia ) {
// Jika tidak ada, tendang kembali ke halaman utama!
wp_redirect( home_url() );
exit;
}
}
}

Cara Kerjanya:

  • Jika hacker mengakses domainanda.com/wp-admin, mereka akan dilempar ke Beranda.
  • Untuk bisa masuk, Anda wajib mengetikkan URL rahasia ini di browser: domainanda.com/wp-login.php?kunci=masuk
  • (Catatan: Anda bisa mengubah kata ‘kunci’ dan ‘masuk’ pada kode di atas dengan kata sandi rahasia Anda sendiri).

Metode 2: Lapis Baja Tingkat Server di aaPanel (Directory Protection)

Jika Metode 1 adalah mengunci pintu rumah, Metode 2 ini ibarat memasang gerbang besi di depan kompleks perumahan Anda. Kita akan menyuruh Nginx (web server) untuk memblokir siapa saja yang mencoba membuka folder /wp-admin sebelum mereka memasukkan password lapis pertama.

Jika Anda menggunakan VPS dengan aaPanel, caranya sangat instan:

  • Login ke dashboard aaPanel Anda.
  • Masuk ke menu Website di bilah kiri, lalu klik tulisan Conf (Configuration) pada nama domain WordPress Anda.
  • Di jendela pengaturan yang muncul, pilih menu DirAuth (Directory Authentication) di sebelah kiri.
  • Klik tombol Add DirAuth.
  • Isi pengaturannya sebagai berikut: Name: Proteksi WP Admin, Authorized dir: Pilih folder /wp-admin, Username: Buat username unik (contoh: penjaga_larhtech), Password: Buat password yang sangat kuat.
  • Klik Submit.

Apa yang terjadi sekarang?

Setiap kali Anda (atau peretas) mencoba mengakses halaman /wp-admin, website WordPress Anda bahkan tidak akan dimuat. Browser akan memunculkan sebuah kotak pop-up kelabu khas sistem operasi, meminta Username dan Password.

Hanya setelah Anda memasukkan kredensial dari aaPanel tadi, barulah halaman login asli WordPress akan terbuka. Bot peretas tidak bisa melewati pop-up ini, sehingga CPU VPS Anda akan selalu berada di angka 1% (sangat ringan!).

Kesimpulan

Keamanan website yang baik tidak selalu harus dibayar mahal dengan mengorbankan kecepatan. Dengan menerapkan injeksi PHP sederhana atau memanfaatkan fitur Directory Authentication bawaan aaPanel, Anda baru saja memotong 90% upaya peretasan Brute-Force yang menguras sumber daya peladen Anda.

Baca Juga: Cara Hubungkan Domain ke Cloudflare dengan SSL Gratis

Kini, Anda bisa tidur nyenyak mengetahui bahwa pintu masuk ke ruang kendali WordPress Anda telah tersembunyi dengan sempurna!

Posting terkait:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *