Setelah googling akhirnya ketemu solusi yang pas, yaitu dengan membatasi akses ke file wp-login.php di htaccess. Kebetulan saya jarang login jadi cara ini cukup efektif. Untuk yang sering login mungkin cara ini agak kurang menyenangkan karena setiap mau login harus mengedit dulu htaccess. Berikut ini kodenya:
order deny,allow Deny from all
Kode tersebut akan memblokir semua akses ke wp-login.php (termasuk saya sendiri) maka akan mendapatkan notifikasi 403 Forbidden. Coba saja buka https://nul.is/wp-login.php 😀 Untuk bisa login maka harus mengedit kode tadi dengan menambahkan # di awal kode, setelah itu baru login ke WordPress. Contohnya:
#
#order deny,allow
#Deny from all
#
Repot sih, karena setiap mau login harus buka FileZilla dulu atau SSH untuk ngedit htaccess. Tapi demi keamanan ya repot sedikit ngga apa-apa lah