Pagi ini ketika saya membuka email saya, ada sebanyak 499 pemberitahuan percobaan login namun gagal ke area Administrator blog saya. Sungguh sebuah hal yang menyenangkan melihat usaha keras seseorang untuk mencoba menerobos halaman Admin :p
Namun sayang percobaan hacking tersebut sia-sia, karena halaman tersebut hanya dapat diakses oleh IP tertentu saja, dan selebihnya hanya akan muncul halaman forbidden.
Kalo saya gak ada keterangan kayak di atas lagi kang, soalnya port HTTPS saya matikan dan hanya bisa diakses dari IP khusus saya dan kemudian login admin WP nya saya forward ke port HTTPS.
BTW akang pake apa untuk blok akses halaman login tersebut.
Saya belum ketemu cara mindahin port httpsnya di Nginx 😀
Sementara ini pakai plugin IP Blaclist Cloud mas
Gampang kan, Nginxnya gak usah dimodifikasi yang perlu dimodifikasi adalah file config wordpressnya agar setiap login make port https, caranya dengan menambahkan konfigurasi berikut di :
define(‘FORCE_SSL_LOGIN’, true);
Sebelum komentar “That’s all …”
Dah gitu saya setting firewallnya untuk port 443 mati kecuali jika diakses di IP saya pribadi, kebetulan saya skrg pake CSF jadi modifikasinya gampang.
Itulah yang saya lakukan kang, nah skrg login WordPress saya jadi lebih secure 🙂
Waduh, ini komentarnya difilter sama Akismet, hampir aja kehapus 🙁
Terima kasih informasinya, akan saya coba nambahin konfigurasi tadi ke wpconfig. Kalau nggak salah, dulu ada plugin yang fungsinya force https.
Untuk dropping port 443, sepertinya nanti saya coba pakai IPTABLES, vps yang buat hosting blog semuanya dibuat pakai Minstall, jadi tidak ada control panel seperti Kloxo, dan yang ini juga pakai Debian 6 😀