Website yang menggunakan CMS WordPress sering menjadi target serangan brute force. Serangan ini dilakukan dengan mencoba berbagai kombinasi username dan password secara berulang-ulang hingga menemukan yang benar. Selain membahayakan keamanan website, serangan ini juga dapat menyebabkan website tidak dapat diakses, yang sering kali disebut sebagai serangan DDoS.
Perlu diingat jika serangan brute force atau DDoS dapat menyebabkan peningkatan penggunaan CPU. Karena serangan tersebut membebani pemrosesan login, request http secara berulang, masuknya query ke database dan penggunaan memory dan i/o disk.
Lalu, bagaimana cara mencegah serangan brute force pada WordPress? Berikut beberapa langkah yang bisa Anda terapkan:
1. Mengaktifkan Captcha
Captcha, pilihan pertama yang bisa digunakan untuk mencegah serangan brute force. Serangan ini biasanya menargetkan halaman login admin WordPress, sehingga menambahkan captcha akan membuat proses percobaan brute force menjadi mustahil. Setiap percobaan login harus melewati verifikasi tambahan, yang menyulitkan bot atau hacker. Anda bisa menggunakan plugin seperti reCaptcha atau hCaptcha.
2. Menggunakan Password yang Unik
Password yang lemah adalah celah yang paling sering dimanfaatkan oleh hacker. Pastikan Anda menggunakan kombinasi huruf besar, huruf kecil, angka, dan simbol agar password lebih sulit ditebak. Hindari penggunaan informasi pribadi seperti nama, tanggal lahir, atau kata-kata umum seperti “admin”, “123456”, atau “qwerty”. Semakin unik password yang Anda gunakan, semakin sulit bagi hacker untuk menjebol website Anda.
3. Gunakan Fitur Lockout
Fitur lockout memungkinkan Anda membatasi jumlah percobaan login yang gagal. Misalnya, jika seseorang salah memasukkan password lebih dari tiga kali, akun akan dikunci sementara dan mereka harus menunggu beberapa menit sebelum mencoba lagi. Dengan cara ini, hacker tidak bisa melakukan ribuan percobaan login dalam waktu singkat. Plugin seperti Limit Login Attempts Reloaded bisa membantu mengaktifkan fitur ini di WordPress.
4. Mengaktifkan Plugins Keamanan
Menginstal plugin keamanan juga tidak kalah penting untuk melindungi website dari berbagai ancaman, termasuk brute force. Salah satu plugin yang direkomendasikan adalah Wordfence, yang memiliki fitur firewall, pemantauan aktivitas login, serta proteksi terhadap serangan seperti SQL Injection dan XSS. Selain Wordfence, ada juga plugin lain seperti Sucuri Security yang bisa digunakan untuk meningkatkan perlindungan.
5. Menonaktifkan XMLRPC
XML-RPC adalah fitur bawaan WordPress yang sering dimanfaatkan hacker untuk melakukan serangan brute force melalui system.multicall. Dengan fitur ini, hacker dapat mencoba ribuan kombinasi username dan password dalam satu waktu. Selain itu, XML-RPC juga dapat disalahgunakan untuk serangan DDoS dengan memanfaatkan fitur pingback yang ada di dalamnya. Untuk meningkatkan keamanan, Anda bisa menonaktifkan XML-RPC melalui plugin keamanan seperti Disable XMLRPC API.
6. Gunakan WAF
Gunakan WAF (Web Application Firewall), firewall yang dirancang khusus untuk melindungi aplikasi web dari serangan siber, termasuk brute force, SQL injection, XSS (Cross-Site Scripting), dan DDoS. WAF bekerja dengan cara menyaring, memantau, dan memblokir lalu lintas berbahaya sebelum mencapai server web,
Dengan menerapkan langkah-langkah seperti mengaktifkan captcha, menggunakan password yang kuat, membatasi percobaan login, menginstal plugin keamanan, dan menonaktifkan XML-RPC, Anda dapat meminimalisir risiko serangan brute force. Keamanan website bukan hanya tanggung jawab penyedia hosting atau developer, tetapi juga pemilik website. Dengan sistem keamanan yang baik, website Anda bisa tetap aman dan berjalan dengan lancar.
Sebagai penyedia jasa SEO dan pembuatan website, kami dapat membantumu membangun situs web yang menarik, SEO-friendly, dan optimal untuk meningkatkan visibilitas online. Dengan pengalaman dan keahlian kami, Optimaise siap memberikan solusi digital yang sesuai dengan kebutuhanmu. Hubungi Optimaise untuk memulai perjalanan digitalmu!
