Cara Melindungi Situs WordPress dari Serangan Brute Force

Apakah Anda ingin mengamankan atau melindungi situs WordPress dari serangan brute force? Serangan ini dapat memperlambat situs web Anda, membuatnya tidak dapat diakses, dan bahkan memecahkan kata sandi Anda untuk memasang perangkat lunak jahat di situs web Anda. Pada artikel ini, saya akan menunjukkan kepada Anda cara melindungi situs WordPress dari serangan brute force.

melindungi WordPress dari serangan brute force

Apa itu Serangan Brute Force?

Brute Force Attack adalah metode peretasan yang menggunakan teknik trial and error untuk masuk ke situs web, jaringan atau sistem komputer.

Peretas menggunakan perangkat lunak otomatis untuk mengirim sejumlah besar permintaan ke sistem target. Dengan setiap permintaan, perangkat lunak ini mencoba menebak informasi yang diperlukan untuk mendapatkan akses, seperti sandi atau kode pin.

Alat ini juga dapat menyamar dengan menggunakan alamat IP dan lokasi berbeda, yang mempersulit sistem yang ditargetkan untuk mengidentifikasi dan memblokir aktivitas yang mencurigakan ini.

Serangan brute force yang berhasil dapat memberi peretas akses ke area admin situs web Anda . Mereka dapat menginstall backdoor, malware, mencuri informasi pengguna, dan menghapus semua yang ada di situs Anda.

Bahkan serangan brute force yang tidak berhasil dapat mendatangkan malapetaka dengan mengirimkan terlalu banyak permintaan yang memperlambat server hosting WordPress Anda dan bahkan merusaknya.

Karena itu, mari kita lihat cara melindungi situs WordPress Anda dari serangan brute force.

Langkah 1. Install Plugin Firewall WordPress

Serangan brute force memberi banyak beban pada server Anda. Bahkan yang tidak berhasil dapat memperlambat situs web Anda atau merusak server sepenuhnya. Inilah sebabnya mengapa penting untuk memblokirnya sebelum mereka sampai ke server Anda.

Untuk melakukan itu, Anda memerlukan solusi firewall situs web. Firewall menyaring lalu lintas yang buruk dan memblokirnya untuk mengakses situs Anda.

Cara kerja firewall situs web

Ada dua jenis firewall situs web yang dapat Anda gunakan.

Application Level Firewall – Plugin firewall ini memeriksa lalu lintas setelah mencapai server Anda tetapi sebelum memuat sebagian besar skrip WordPress. Metode ini tidak seefisien karena serangan brute force masih dapat memengaruhi beban server Anda.

Firewall Situs Web Tingkat DNS – Firewall ini merutekan lalu lintas situs web Anda melalui server proxy cloud mereka. Ini memungkinkan mereka untuk hanya mengirim lalu lintas asli ke server hosting web utama Anda sambil meningkatkan kecepatan dan kinerja WordPress Anda .

Saya merekomendasikan menggunakan Sucuri . Ini adalah pemimpin industri dalam keamanan situs web dan firewall WordPress terbaik di pasar. Karena ini adalah firewall situs web tingkat DNS, itu berarti semua lalu lintas situs web Anda melewati proxy mereka di mana lalu lintas yang buruk disaring.

Langkah 2. Install Pembaruan WordPress

Beberapa serangan brute force umum secara aktif menargetkan kerentanan yang diketahui di WordPress versi lama, plugin WordPress populer , atau tema.

Inti WordPress dan plugin WordPress paling populer adalah open source dan kerentanan sering kali diperbaiki dengan sangat cepat dengan pembaruan. Namun jika Anda gagal menginstall pembaruan, maka Anda membiarkan situs web Anda rentan terhadap ancaman lama tersebut.

Cukup buka Dasbor > Halaman Pembaruan di area admin WordPress untuk memeriksa pembaruan yang tersedia. Halaman ini akan menampilkan semua pembaruan untuk inti, plugin, dan tema WordPress Anda.

Pembaruan halaman di area admin WordPress

Langkah 3. Lindungi Direktori Admin WordPress

Sebagian besar serangan brute force di situs WordPress mencoba mendapatkan akses ke area admin WordPress. Anda dapat menambahkan perlindungan kata sandi pada direktori admin WordPress Anda di tingkat server. Ini akan memblokir akses tidak sah ke area admin WordPress Anda.

Cukup login ke control panel hosting WordPress (cPanel) Anda dan klik ikon ‘Directory Privacy’ di bawah bagian Files.

Catatan: menggunakan Bluehost di tangkapan layar ini tetapi pengaturan serupa tersedia di perusahaan hosting top lainnya juga seperti SiteGround , HostGator , dll.

Privasi direktori di cPanel

Selanjutnya, Anda perlu mencari folder wp-admin dan klik pada nama folder.

Jelajahi dan temukan folder wp-admin

cPanel sekarang akan meminta Anda untuk memberikan nama untuk folder yang dibatasi, nama pengguna, dan kata sandi. Setelah memasukkan informasi ini, klik tombol simpan untuk menyimpan pengaturan Anda.

Kata sandi melindungi direktori admin WordPress

Direktori admin WordPress Anda sekarang dilindungi kata sandi. Anda akan melihat prompt login baru ketika Anda mengunjungi area admin WordPress Anda.

Perintah login

Jika Anda mengalami kesalahan 404 atau Error terlalu banyak pesan pengalihan , Anda perlu menambahkan baris berikut ke file .htaccess WordPress Anda .

1
ErrorDocument 401 default

Langkah 4. Tambahkan Otentikasi Dua Faktor di WordPress

Otentikasi dua faktor menambahkan lapisan keamanan tambahan ke layar login WordPress Anda. Pada dasarnya, pengguna memerlukan ponsel mereka untuk membuat kode sandi satu kali bersama dengan kredensial login mereka untuk mengakses area admin WordPress.

Masukkan kode otentikasi dua langkah

Menambahkan otentikasi dua faktor akan mempersulit peretas untuk mendapatkan akses bahkan jika mereka dapat memecahkan kata sandi WordPress Anda.

Langkah 5. Gunakan Kata Sandi Kuat yang Unik

Kata sandi adalah kunci untuk mendapatkan akses ke situs WordPress Anda. Anda perlu menggunakan kata sandi kuat yang unik untuk semua akun Anda. Kata sandi yang kuat adalah kombinasi angka, huruf, dan karakter khusus.

Penting bagi Anda untuk menggunakan kata sandi yang kuat tidak hanya untuk akun pengguna WordPress Anda tetapi juga untuk FTP, panel kontrol hosting web, dan database WordPress Anda.

Kebanyakan pemula bertanya kepada kami bagaimana cara mengingat semua kata sandi unik ini? Nah, Anda tidak perlu melakukannya. Ada aplikasi pengelola kata sandi luar biasa yang tersedia yang akan menyimpan kata sandi Anda dengan aman dan secara otomatis mengisinya untuk Anda.

Langkah 6. Nonaktifkan Penjelajahan Direktori

Secara default, ketika server web Anda tidak menemukan file indeks (yaitu file seperti index.php atau index.html), secara otomatis akan menampilkan halaman indeks yang menampilkan konten direktori.

Indeks direktori

Selama serangan brute force, peretas dapat menggunakan penjelajahan direktori untuk mencari file yang rentan. Untuk memperbaikinya, Anda perlu menambahkan baris berikut di bagian bawah file .htaccess WordPress Anda.

1
Options -Indexes

Langkah 7. Nonaktifkan Eksekusi File PHP di Folder WordPress Tertentu

Peretas mungkin ingin menginstall dan menjalankan skrip PHP di folder WordPress Anda. WordPress sebagian besar ditulis dalam PHP, yang berarti Anda tidak dapat menonaktifkannya di semua folder WordPress.

Namun, ada beberapa folder yang tidak membutuhkan skrip PHP. Misalnya, folder unggahan WordPress Anda terletak di / wp-content / uploads.

Anda dapat dengan aman menonaktifkan eksekusi PHP di folder unggahan yang merupakan tempat umum yang digunakan peretas untuk menyembunyikan file pintu belakang.

Pertama, Anda perlu membuka editor teks seperti Notepad di komputer Anda dan menempelkan kode berikut:

1
2
3
<Files *.php>
deny from all
</Files>

Sekarang, simpan file ini sebagai .htaccess dan unggah ke / wp-content / uploads / folder di situs web Anda menggunakan klien FTP .

Langkah 8. Install dan Siapkan Plugin Cadangan WordPress

Plugin cadangan WordPress

Cadangan adalah alat paling penting dalam gudang keamanan WordPress Anda. Jika semuanya gagal, maka pencadangan akan memungkinkan Anda memulihkan situs web dengan mudah.

Sebagian besar perusahaan hosting WordPress menawarkan opsi cadangan terbatas. Namun, cadangan ini tidak dijamin, dan Anda bertanggung jawab penuh untuk membuat cadangan Anda sendiri.

Ada beberapa plugin cadangan WordPress yang bagus , yang memungkinkan Anda menjadwalkan pencadangan otomatis.

Saya merekomendasikan menggunakan UpdraftPlus . Ini ramah pemula dan memungkinkan Anda untuk dengan cepat mengatur cadangan otomatis dan menyimpannya di lokasi terpencil seperti Google Drive, Dropbox, Amazon S3, dan banyak lagi.

Semua tip yang disebutkan di atas akan membantu Anda melindungi situs WordPress Anda dari serangan brute force. Untuk pengaturan keamanan yang lebih komprehensif, Anda harus mengikuti instruksi di keamanan WordPress utama.

Saya harap artikel ini membantu Anda mempelajari cara melindungi situs WordPress dari serangan brute force.

Achyar

Panduan Blog

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.