Wajib Tahu! Cara Memaksa Login SSL (HTTPS) via wp-config.php

Oleh Diposting pada

LarhTech – Keamanan halaman login adalah garis pertahanan pertama website Anda. Tanpa koneksi terenkripsi (HTTPS), username dan password yang Anda ketikkan saat masuk ke WordPress dikirimkan ke peladen dalam format teks biasa. Di jaringan yang tidak aman (seperti Wi-Fi publik), peretas bisa dengan mudah melakukan teknik sniffing untuk mencuri akses masuk Anda.

Bagi Anda yang sudah menginstal sertifikat SSL (Let’s Encrypt di aaPanel atau Cloudflare), jangan biarkan halaman admin Anda tetap bisa diakses melalui jalur HTTP yang tidak aman.

Dalam tutorial ini, kita akan mempelajari cara mengunci halaman login dan seluruh area dashboard admin agar hanya bisa diakses via HTTPS menggunakan satu baris kode di file wp-config.php. Tanpa plugin, tanpa beban tambahan.

Mengapa Melalui wp-config.php?

Mengatur SSL di level konfigurasi inti memberikan kepastian bahwa instruksi keamanan dijalankan sebelum WordPress memproses hal lainnya. Ini lebih aman daripada menggunakan plugin yang baru bekerja setelah sistem WordPress berjalan setengah jalan.

Langkah 1: Pastikan SSL Sudah Aktif

Sebelum memasukkan kode ini, pastikan Anda sudah bisa membuka website Anda dengan https:// secara normal. Jika Anda memaksakan SSL lewat kode padahal sertifikat SSL belum terpasang atau kadaluwarsa, Anda akan terkunci (lockout) dan tidak bisa masuk ke dashboard karena browser akan menampilkan pesan error.

Langkah 2: Edit File wp-config.php

  • Masuk ke File Manager di panel Anda (cPanel/aaPanel) atau via FTP/SSH.
  • Cari file bernama wp-config.php di folder utama (root) website Anda.
  • Klik kanan dan pilih Edit.
  • Cari baris yang bertuliskan:
/* That's all, stop editing! Happy publishing. */
  • Tempelkan kode berikut tepat di atas baris tersebut:
// Memaksa penggunaan SSL untuk halaman login
define('FORCE_SSL_LOGIN', true);

// Memaksa penggunaan SSL untuk seluruh area admin (Dashboard)
define('FORCE_SSL_ADMIN', true);

Penjelasan Kode:

  • FORCE_SSL_LOGIN: Memastikan setiap kali Anda mengakses wp-login.php, WordPress akan otomatis mengalihkan ke versi HTTPS.
  • FORCE_SSL_ADMIN: Ini adalah versi yang lebih kuat. Tidak hanya halaman login, tetapi seluruh aktivitas Anda di dalam dashboard (menulis artikel, ganti tema, dsb) akan dikunci di jalur terenkripsi.

Langkah 3: Simpan dan Uji Coba

  • Klik Save.
  • Coba akses halaman admin Anda dengan mengetik manual menggunakan HTTP biasa: http://namadomain.com/wp-admin.
  • Jika berhasil, browser Anda akan secara otomatis berubah menjadi https://namadomain.com/wp-admin dengan ikon gembok hijau yang terkunci.

Kesimpulan

Keamanan website profesional dimulai dari hal-hal mendasar. Dengan menambahkan dua baris kode di atas, Anda telah menutup celah pencurian data pada titik paling vital di WordPress. Ini adalah langkah wajib bagi setiap pengelola peladen yang ingin menjaga integritas data adminnya dari serangan Man-in-the-Middle (MITM).

Posting terkait:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *