Two Step Authentication WordPress

Artikel ini terakhir diperbaharui pada 6 September 2020.

Halo selamat malam semua, kali ini saya akan share bagaimana caranya anda melakukan sedikit proteksi tambahan untuk situs anda pada form login.

Tujuan

Tujuannya adalah untuk melakukan blocking terhadat bot yang mencoba untuk melakukan brute force dengan username dan password yang acak untuk login ke situs anda.

Brute force ini akan sangat menggangu jika terus dilakukan bisa membuat kinerja situs kurang baik, bahkan bisa down.

Menggunakan Plugin

Untuk menanggulangi hal ini biasanya para pakar wordpress mengganti url login yang default ke kustom dimana hanya webmaster yang tau alamat urlnya.

Atau bisa juga menggunakan plugin tambahan untuk menangkal serangan brute force.

Saya sudah menggunakan plugin ini sebelumnya, untuk tujuan monitoring, cdn gratisan, image akselerator, dan ads.

Tapi ads nya tidak saya gunakan karena ads nya tidak support dengan full AMP dari blog saya, jadi saya mengalah tidak pakai ads.

Anda bisa menggunakan fitur-fitur lain dari plugin ini, seperti yang sudah saya sampaikan beberapa fitur unggulan diatas.

Langkah Installasi

Ya, nama pluginya jetpack, silahkan ikuti langkah dibawah ini :

  • Download plugin jetpack versi terbaru.
  • Install Plugin
  • Daftar pada wordpress.com untuk akun baru, atau anda bisa login menggunakan akun eksisting.
  • Approve akun anda pada dashboard WordPress.
  • Kemudian pilih paling bawah start with free plan.

Setelah anda mengaktivekan plugin jetpack dan menggunakan free plan yang sudah disediakan, langkah selanjutnya adalah melakukan aktivasi pada security nya, karena secara default tidak langsung aktive.

  • Navigasi ke Jetpack.
  • Klik Setting
  • Klik Security.
  • Scroll ke paling bawah
  • Pada box wordpress.com login hidupkan ke 3 tombolnya.
wp-login

Daftar Two Step Authentication

Silahkan anda sekarang logout terlebih dahulu dari situs, kemudian coba akses url login anda, seharusnya sudah muncul form login yang baru dengan opsi login menggunakan wordpress.com

wordpress.com login page

Nantinya anda akan diminta untuk melakukan seting two step verification, klik saja linknya (maaf ini saya lupa screenshoot), kemudian anda akan di redirect ke situs wordpress.com.

Anda diminta untuk menginputkan nomor handphone, sebelumnya pilih negara Indonesia dengan kode +62.

Install Google Authenticator

Anda diminta untuk memilih menggunakan SMS atau aplikasi, pada artikel ini saya menggunakan aplikasi google authenticator.

Silahkan pilih menggunakan aplikasi, jika anda pengguna android silahkan di cek kembali apakah google authenticator sudah terinstall atau belum, jika belum silahkan install terlebih dahulu.

Jika anda pengguna iphone silahkan anda install google authenticator, dapat anda download pada app store.

Scan QRCode

Setelah selesai install app, silahkan anda lanjutkan dengan cara melakukan scan pada QRCode yang sudah disediakan oleh wordpress.com dengan google authenticator yang sudah anda download sebelumnya.

Jika sudah melakukan scan, input 6 digit nomor yang di generate dari google authenticator, kemudian di input pada dashboard wordpress.com.

Jika berhasil nantinya akan muncul pesan sebagai berikut.

sukses enable two step verification

Sampai disini anda sudah berhasil untuk melakukan setup two step verification, langkah selanjutnya adalah melakukan backup untuk kode-kode yang di generate oleh wordpress.com.

Backup Code Acak

Tujuannya jika anda kehilanggan HP atau tidak membawanya, anda bisa gunakan digit-digit kode ini untuk login ke situs.

backup code

Simpan backup code nya pada tempat yang aman, diluar dari hp anda ya.

Tes Login

Langkah selanjut nya adalah melakukan test login, sekarang anda coba logut terlebih dahulu dari situs. Kemudian navigasi ulang ke page login.

Klik Log in with WordPress.com, kemudian input username dan password yang sudah anda buat sebelumnya.

login with wordpress.com

Seharus nya sekarang sudah meminta 6 digit kode untuk melakukan login, buka aplikasi google authenticator kemudian masukan 6 digit kode yang sudah muncul pada aplikasi tersebut kedalam form wordpress.com.

login code from google auth apps

Login Username dan Password

Benar, dari form yang sudah di berikan authentication wordpress.com itu ada opsi untuk melakukan login menggunakan username dan password.

Masih tetap ada celah untuk dilakukan brute force, namun tidak sebanyak celah diawal, buktinya record brute force yang saya capture menggunakan plugin dari softaculous sudah berhenti.

Untuk preventive anda bisa tambahkan plugin loginizer, untuk melihat log dari percobaan login di situs anda.

brute force example

Pada default konfigrasi loginizer, jika IP Address tersebut gagal 3 kali saat melakukan input username dan password, maka harus mengunggu 1×24 jam untuk melakukan login ulang.

Kesimpulan

Menggunakan plugin untuk menangkal brute force adalah langkah tepat untuk melindungi situs anda dari percobaan serangan.

Anda bisa gunakan plugin dari jetpack dan loginizer untuk mendapatkan benefit dari keduanya.

Update 5 Sep 2020

Jika anda ingin force / paksa untuk login via wordpress.com tidak melalui username dan password silahkan ikuti langkah berikut ini.

Download plugin snippets (agar tidak ubah file function.php secara manual), install plugin dan tambahkan snippets baru dengan klik new snippet.

code snippets wp login form

Tambahkan remove default login wordpress dan paksa menggunakan wordpress.com

add_filter( 'jetpack_remove_login_form', '__return_true' );

Tambahkan proteksi untuk two factor authentification agar digunakan saat login. Ulangi langkah diatas.

add_filter( 'jetpack_sso_require_two_step', '__return_true' );

Log out, kemudian coba akses halaman login anda, seharusnya sudah tidak ada lagi opsi untuk login username dan password.

wp login form

Tentunya tidak ada system yang benar-benar aman di dunia ini, tapi setidaknya kita sudah berusaha untuk melakukan yang terbaik untuk menjaga keamanan situs yang kita miliki.

Semoga bermanfaat.

Wassalam
Hendra Wijaya

Leave a Comment

Your email address will not be published. Required fields are marked *