Cara Melindungi Situs WordPress dari Serangan Brute Force (Step by Step)

By | November 2, 2019

Apakah sobat ingin melindungi situs WordPress sobat dari serangan brute force? Serangan-serangan ini dapat memperlambat situs web sobat, membuatnya tidak dapat diakses, dan bahkan memecahkan kata sandi sobat untuk menginstal malware di situs web sobat. Pada artikel ini, kami akan menunjukkan kepada sobat bagaimana melindungi situs WordPress sobat dari serangan brute force.

Apa itu Serangan Brute Force?

Serangan Brute Force adalah metode peretasan yang menggunakan teknik coba-coba untuk masuk ke situs web, jaringan, atau sistem komputer.

Peretas menggunakan perangkat lunak otomatis untuk mengirim sejumlah besar permintaan ke sistem target. Dengan setiap permintaan, perangkat lunak ini mencoba menebak informasi yang diperlukan untuk mendapatkan akses, seperti kata sandi atau kode pin.

Alat-alat ini juga dapat menyamarkan diri mereka dengan menggunakan alamat dan lokasi IP yang berbeda, yang mempersulit sistem yang ditargetkan untuk mengidentifikasi dan memblokir kegiatan mencurigakan ini.

Serangan brute force yang berhasil dapat memberi hacker akses ke area admin situs web sobat. Mereka dapat menginstal backdoor, malware, mencuri informasi pengguna, dan menghapus semua yang ada di situs sobat.

Bahkan serangan brute force yang gagal dapat mendatangkan malapetaka dengan mengirimkan terlalu banyak permintaan yang memperlambat server hosting WordPress dan bahkan membuat crash.

Karena itu, mari kita lihat bagaimana melindungi situs WordPress sobat dari serangan brute force.

Langkah 1: Instal Plugin WordPress Firewall

Serangan brutal memberi banyak beban pada server sobat. Bahkan yang gagal dapat memperlambat situs web sobat atau benar-benar crash server. Inilah sebabnya mengapa penting untuk memblokir mereka sebelum mereka sampai ke server sobat.

Untuk melakukan itu, sobat akan memerlukan solusi firewall situs web. Firewall menyaring lalu lintas yang buruk dan memblokirnya dari mengakses situs sobat.

Website Application Firewall - Sucuri

Ada dua jenis firewall situs web yang dapat sobat gunakan.

Application Level Firewall: Plugin firewall ini memeriksa lalu lintas setelah mencapai server sobat tetapi sebelum memuat sebagian besar skrip WordPress. Metode ini tidak seefisien karena serangan brute force masih dapat mempengaruhi beban server sobat.

Firewall Situs Web Tingkat DNS: Firewall ini merutekan lalu lintas situs web sobat melalui server proxy cloud mereka. Hal ini memungkinkan mereka untuk hanya mengirimkan lalu lintas asli ke server hosting web utama sobat sambil memberikan dorongan untuk kecepatan dan kinerja WordPress sobat.

Kami merekomendasikan menggunakan Sucuri. Ini adalah pemimpin industri dalam keamanan situs web dan firewall WordPress terbaik di pasar. Karena ini adalah firewall situs web tingkat DNS, itu berarti semua lalu lintas situs web sobat melewati proxy mereka di mana lalu lintas yang buruk disaring.

Langkah 2: Instal Pembaruan WordPress

Beberapa serangan brute force umum secara aktif menargetkan kerentanan yang diketahui di WordPress versi lama, plugin WordPress populer, atau tema.

Inti WordPress dan plugin WordPress paling populer adalah open source dan kerentanan sering diperbaiki dengan sangat cepat dengan pembaruan. Namun jika sobat gagal menginstal pembaruan, maka sobat meninggalkan situs web sobat rentan terhadap ancaman lama itu.

Cukup buka Dashboard ยป Updates di area admin WordPress untuk memeriksa pembaruan yang tersedia. Halaman ini akan menampilkan semua pembaruan untuk inti WordPress, plugin, dan tema sobat.

Langkah 3: Lindungi Direktori Admin WordPress

Sebagian besar serangan brute force di situs WordPress sedang mencoba untuk mendapatkan akses ke area admin WordPress. Sobat dapat menambahkan perlindungan kata sandi pada direktori admin WordPress sobat di tingkat server. Ini akan memblokir akses tidak sah ke area admin WordPress sobat.

Cukup masuk ke panel kontrol hosting WordPress (cPanel) dan klik ikon ‘Directory Privacy’ di bawah bagian File.

Catatan: Kami menggunakan Bluehost di screenshot kami, tetapi pengaturan serupa tersedia di perusahaan hosting top lainnya seperti SiteGround, HostGator, dll.

Selanjutnya, sobat perlu mencari folder wp-admin dan klik pada nama folder.

cPanel sekarang akan meminta sobat untuk memberikan nama untuk folder, nama pengguna, dan kata sandi yang dibatasi. Setelah memasukkan informasi ini klik pada tombol simpan untuk menyimpan pengaturan sobat.

Direktori admin WordPress sobat sekarang dilindungi kata sandi. Sobat akan melihat prompt masuk baru ketika mengunjungi area admin WordPress.

Jika sobat mengalami Error 404 atau kesalahan terlalu banyak pengalihan pesan, maka sobat perlu menambahkan baris berikut ke file .htaccess WordPress.

ErrorDocument 401 default

 

Langkah 4: Tambahkan Otentikasi Dua Faktor di WordPress

Otentikasi Dua Faktor menambahkan lapisan keamanan tambahan ke layar login WordPress sobat. Pada dasarnya, pengguna akan membutuhkan ponsel mereka untuk menghasilkan kode sandi satu kali bersama dengan kredensial login mereka untuk mengakses area admin WordPress.

Menambahkan otentikasi dua faktor akan mempersulit peretas untuk mendapatkan akses bahkan jika mereka dapat memecahkan kata sandi WordPress sobat.

Langkah 5: Gunakan Kata Sandi Kuat dan Unik

Kata sandi adalah kunci untuk mendapatkan akses ke situs WordPress. Sobat perlu menggunakan kata sandi kuat dan unik untuk semua akun sobat. Kata sandi yang kuat adalah kombinasi angka, huruf, dan karakter khusus.

Sangat penting bahwa sobat menggunakan kata sandi yang kuat untuk tidak hanya akun pengguna WordPress, tetapi juga untuk FTP, panel kontrol hosting web, dan database WordPress sobat.

Kebanyakan pemula bertanya kepada kami bagaimana cara mengingat semua kata sandi unik ini? sobat tidak perlu melakukannya. Ada beberapa aplikasi pengelola kata sandi yang sangat baik yang akan menyimpan kata sandi sobat dengan aman dan secara otomatis mengisinya untuk sobat.

Langkah 6: Nonaktifkan Direktori Browsing

Secara default, ketika server web sobat tidak menemukan file indeks (mis. File seperti index.php atau index.html), secara otomatis menampilkan halaman indeks yang menunjukkan isi direktori.

Selama serangan brute force, peretas dapat menggunakan penelusuran direktori untuk mencari file yang rentan. Untuk memperbaikinya, sobat perlu menambahkan baris berikut di bagian bawah file .htaccess WordPress.

Options -Indexes

Untuk lebih lengkap lihat panduan berikut tentang cara menonaktifkan direktori browsing di WordPress.

Langkah 7. Nonaktifkan Eksekusi File PHP di Folder WordPress Tertentu

Peretas mungkin ingin menginstal dan menjalankan skrip PHP di folder WordPress sobat. WordPress ditulis terutama dalam PHP, yang berarti sobat tidak dapat menonaktifkannya di semua folder WordPress.

Namun, ada beberapa folder yang tidak memerlukan skrip PHP apa pun. Misalnya, folder unggahan WordPress sobat berada di /wp-content/.

Sobat dapat dengan aman menonaktifkan eksekusi PHP di folder unggahan yang merupakan tempat yang biasa digunakan peretas untuk menyembunyikan file backdoor.

Pertama, sobat perlu membuka editor teks seperti Notepad di komputer dan rekatkan kode berikut:

<Files *.php>
deny from all
</Files>

Sekarang, simpan file ini sebagai .htaccess dan upload ke folder /wp-content/uploads/ di situs web menggunakan klien FTP.

Langkah 8: Instal dan Atur Plugin Cadangan WordPress

Plugin Backup WordPress Terbaik

Backup/Cadangan adalah alat paling penting di gudang keamanan WordPress. Jika semuanya gagal, cadangan akan memungkinkan sobat untuk dengan mudah memulihkan situs web.

Sebagian besar perusahaan hosting WordPress menawarkan opsi cadangan terbatas. Namun, cadangan ini tidak dijamin, dan sobat bertanggung jawab untuk membuat cadangan sendiri.

Ada beberapa plugin cadangan WordPress yang hebat, yang memungkinkan sobat untuk menjadwalkan pencadangan otomatis.

Kami merekomendasikan menggunakan UpdraftPlus. Ini ramah pemula dan memungkinkan sobat dengan cepat mengatur cadangan otomatis dan menyimpannya di lokasi terpencil seperti Google Drive, Dropbox, Amazon S3, dan lainnya.

Untuk lebih detail, sobat bisa melihat artikel berikut tentang Plugin Backup WordPress Terbaik.

Kami harap artikel ini membantu sobat mempelajari cara melindungi situs WordPress dari serangan brute force.