Cara Melindungi Situs WordPress Anda dari Serangan DDoS

Pada tahun 2021 saja, penjahat dunia maya meluncurkan lebih dari 9,75 juta serangan DDoS. Mengingat persentase besar situs web yang menjalankan WordPress, mengamankan situs Anda dari potensi ancaman DDoS harus menjadi prioritas utama.

WordPress adalah platform CMS paling populer di dunia, mendukung lebih dari 43% situs web online. Karena CMS gratis dan mudah digunakan, banyak orang yang menjalankan situs web WordPress mungkin tidak memiliki keamanan yang komprehensif.

Seperti bagaimana Anda harus mengoptimalkan posting WordPress Anda sebelum menekan "publikasikan", situs web WordPress Anda membutuhkan perlindungan sebelum dibuka untuk umum.

Apa itu Serangan DDoS

Serangan Distributed Denial-of-Service (DDoS) adalah salah satu metode yang digunakan penyerang jahat untuk menargetkan situs WordPress. Tujuan dari serangan ini sederhana. Penyerang akan membanjiri situs web target dengan begitu banyak permintaan sehingga crash atau menjadi sangat lambat sehingga tidak berguna.

Dengan melakukan itu, penyerang mencegah pengunjung yang sah mengakses situs web. Ini juga dapat memaksa pemilik situs web untuk meningkatkan biaya keamanan siber untuk beberapa periode.

Cara Kerja Serangan DDoS

Tujuan serangan DDoS adalah membanjiri situs web target. Namun, serangan yang berasal dari satu server mudah diblokir. Karena itu, penjahat dunia maya sering menggunakan botnet. Ini adalah jaringan komputer yang terinfeksi malware yang dapat dikendalikan oleh penyerang.

Menggunakan botnet juga mempersulit tim forensik untuk mengidentifikasi sumber serangan begitu penyelidikan dimulai.

Potensi Kerusakan yang Dapat Disebabkan DDoS

Ketika serangan DDoS menyerang situs WordPress Anda, itu dapat menyebabkan banyak kerusakan. Dampak finansial pada situs web WordPress non-bisnis bisa lebih rendah tetapi tidak kalah dahsyatnya. Jika DDoS mengenai situs web Anda, Anda mungkin kehilangan akses ke situs web Anda untuk waktu yang singkat.

Situs web bisnis memiliki risiko yang jauh lebih besar dan dapat mengalami kerugian yang cukup besar. Berikut adalah beberapa konsekuensi potensial;

• Dampak finansial langsung dari hilangnya penjualan
• Biaya tinggi yang dikeluarkan untuk forensik pasca-serangan
• Potensi risiko dari pelanggaran data
• Potensi kerusakan merek dari opini negatif pelanggan

Dan banyak lagi.

Masalah dengan serangan DDoS adalah bahwa mereka dapat menjadi tantangan untuk dimitigasi. Terlepas dari itu, ada beberapa cara untuk meningkatkan ketahanan situs WordPress Anda terhadap serangan ini;

Melindungi Situs WordPress Anda dari Serangan DDoS

1. Pilih Host Web yang Andal

   Garis pertahanan pertama untuk situs web WordPress mana pun adalah selalu penyedia layanan hosting web. Banyak pengguna baru sering fokus pada dasar-dasar web hosting. Itu termasuk harga, sumber daya, jenis paket, dan gratisan apa yang mereka dapatkan.

   Keamanan adalah aspek penting tetapi sering diabaikan. Beberapa penyedia hosting web bermitra dengan merek keamanan yang diakui seperti Sucuri untuk melindungi jaringan mereka dengan lebih baik. Lainnya, seperti UltaHost, telah mendedikasikan paket DDoS VPS.

   Jangan khawatir jika ini membingungkan Anda. Karena WordPress sangat populer, banyak host juga menawarkan opsi hosting WordPress Terkelola. Paket khusus ini memungkinkan Anda untuk fokus membangun dan menjalankan situs WordPress Anda sementara penyedia layanan menangani detail teknis seperti keamanan.

2. Gunakan Jaringan Pengiriman Konten

   
   Content Delivery Network (CDN) adalah kumpulan server yang didistribusikan di seluruh dunia yang bekerja sama untuk mengirimkan aset statis situs web Anda dengan cepat dan andal. Tujuannya adalah untuk memastikan situs web Anda dimuat dengan cepat.

   Namun, CDN juga membawa manfaat keamanan ekstra yang mungkin tidak Anda sadari. Berkat jaringan server global, situs web dapat mengurangi area permukaan serangan potensial dengan mendistribusikan beban. Pada dasarnya, Anda meminjam server CDN untuk meningkatkan potensi penanganan lalu lintas situs web Anda secara artifisial.

   Berkat fitur ini, penyerang perlu mengeluarkan lebih banyak sumber daya jika mereka ingin serangan DDoS mereka berhasil. Jika penyerang ditentukan, mereka masih bisa mengatasi situs web yang menggunakan CDN.

   

   Sementara sebagian besar CDN memerlukan langganan berbayar, Cloudflare menawarkan paket gratis yang akan bekerja dengan baik untuk individu dan bisnis kecil. Atau, beberapa CDN juga memiliki harga yang sangat terjangkau, seperti BunnyCDN.

3. Gunakan Firewall Aplikasi Web

   Fitur keamanan lain yang dapat Anda gunakan adalah Web Application Firewall (WAF). WAF adalah perangkat lunak yang berada di antara situs web Anda dan internet, melindunginya dari pengguna jahat. Ini dilakukan dengan memfilter permintaan, memeriksa perilaku yang mencurigakan, dan menghentikan lalu lintas yang berpotensi berbahaya sebelum mencapai server Anda.

   Anda dapat menggunakan WAF untuk melakukan banyak hal. Selain melindungi dari serangan DDoS, mereka dapat memblokir injeksi SQL atau XSS, mencegah upaya login paksa di situs WordPress, dan banyak lagi. Banyak CDN akan menyertakan fitur WAF – terkadang gratis atau dengan sedikit biaya tambahan.

4. Nonaktifkan Pingback XML-RPC

   Menonaktifkan Pingback XML-RPC sangat penting untuk mengurangi jumlah permintaan yang diterima situs Anda. Fitur inilah yang memungkinkan pengguna untuk meninggalkan komentar di blog atau website Anda melalui pingback. Sayangnya, ini juga sering disalahgunakan oleh penyerang DDoS.

   Untuk melakukan ini, buka Pengaturan > Diskusi , lalu klik “ Nonaktifkan ping dan lacak balik .”

   Setelah Anda selesai melakukannya, gulir ke bawah hingga Anda melihat XML-RPC Pingbacks . Klik " Nonaktifkan " di sebelahnya dan simpan perubahan .

   Jika tidak ada opsi untuk menonaktifkan Pingback XML-RPC di halaman pengaturan atau panel plugin tema Anda (seperti dengan WordPress itu sendiri), Anda juga dapat mempertimbangkan untuk menggunakan plugin keamanan. Plugin yang baik untuk dipertimbangkan akan mencakup WordFence atau Sucuri Security.

5. Perbarui WordPress Secara Teratur untuk Mengurangi Kerentanan

   Untuk membantu melindungi situs web Anda dari serangan DDoS, Anda harus selalu memperbarui WordPress dan plugin, tema, dan plugin keamanannya. Pengembang sering meninjau aplikasi ini untuk mengatasi kekurangan seperti kelemahan keamanan – selain memperkenalkan fitur baru.

   Anda dapat memperbarui WordPress secara manual atau otomatis dengan mengikuti langkah-langkah berikut:

   1. Masuk ke akun situs WordPress Anda
   2. Klik Dasbor di menu navigasi kiri
   3. Pilih Pembaruan
   4. Perbarui plugin yang ditampilkan di layar itu

   Banyak web host juga menawarkan pelanggan opsi untuk memperbarui WordPress secara otomatis melalui panel kontrol hosting web. Untuk mempelajari lebih lanjut tentang ini, bicarakan dengan penyedia hosting web Anda.

   Selain itu, selalu berhati-hatilah dengan plugin yang Anda pilih untuk ditambahkan ke situs web WordPress Anda. Tidak semua plugin memiliki kualitas yang sama. Beberapa memperkenalkan kerentanan atau bug jahat, seperti mengunci Anda dari dasbor admin WordPress Anda.

6. Nonaktifkan REST API

   WordPress hadir dengan REST API yang diaktifkan secara default. Fitur ini merupakan vektor potensial untuk serangan DDoS karena memungkinkan pengguna eksternal untuk membuat permintaan ke server Anda. Penyerang dapat menggunakan ini untuk membanjiri situs atau menyebabkannya mogok.

   Namun, REST API tidak diperlukan agar WordPress berfungsi atau aman atau efisien. Jika dinonaktifkan, Anda tidak akan kehilangan fungsionalitas apa pun yang saat ini Anda miliki dengan situs Anda—itu akan tetap seperti sebelum menonaktifkan REST API.

   Cara terbaik untuk menonaktifkan REST API WordPress adalah dengan menggunakan plugin seperti Perfmatters. Plugin seperti ini akan memungkinkan Anda untuk dengan mudah mengubah beberapa pengaturan dengan tombol sakelar – Tidak perlu pengkodean.

Kesimpulan

WordPress adalah platform hebat untuk pembuatan dan pengelolaan konten. Tapi itu tidak sempurna dan tidak akan melindungi Anda dari semua ancaman keamanan. Anda harus proaktif dalam melindungi situs Anda, itulah sebabnya kami menyarankan untuk menggunakan firewall aplikasi web atau layanan serupa lainnya yang dapat memindai lalu lintas yang masuk dari sumber luar.

Bahkan jika Anda mengabaikan semua opsi lain, host web yang baik dan CDN yang andal adalah minimal yang diperlukan untuk melindungi situs WordPress Anda dari serangan DDoS.