Cara Melindungi Situs WordPress Anda dari Serangan Brute Force
Diterbitkan: 2022-11-24Peretas menggunakan banyak cara untuk mendapatkan kendali atas situs web WordPress. Beberapa yang paling umum adalah serangan backdoor, SQL Injection, atau serangan brute force.
Serangan brute force adalah cara paling umum dan mudah untuk meretas situs web. Anda mungkin tidak pernah tahu bahwa Anda telah menjadi korban serangan semacam itu sampai situs Anda mati.
Dalam serangan brute force, peretas dapat menggunakan daftar kata dengan ribuan nama pengguna dan kata sandi untuk dicoba di halaman login WordPress. Daftar ini memiliki semua kemungkinan kombinasi dalam format seperti daniel/11, daniel/12, dll.
Ini adalah proses yang membosankan, tetapi dengan bantuan perangkat lunak, ini menjadi sangat mudah. Dalam beberapa kasus, butuh beberapa detik untuk memecahkan akun tertentu, terutama yang lebih lemah.
Sekarang, bagaimana jika Anda kehilangan kerja keras selama bertahun-tahun di situs web dalam semalam? Menakutkan, bukan? Yah, Anda tidak boleh seperti itu karena ada beberapa cara konkret untuk melindungi situs web Anda. Dengan mengikuti mereka, kemungkinan besar Anda akan tetap aman.
Apa itu Serangan Brute Force dan Bagaimana Mencegahnya?
Serangan brute force adalah sejenis metode peretasan di mana peretas menggunakan perangkat lunak otomatis untuk memecahkan kredensial masuk situs web.
Peretas dapat menggunakan algoritme yang kompleks, dan setelah mendapatkan kombinasi nama pengguna dan kata sandi yang tepat, ia dapat dengan mudah masuk ke situs web Anda.
Serangan tersebut mungkin ditujukan terhadap berbagai jenis layanan. Penyerang dapat membidik akun media sosial pengguna atau bahkan akun perbankan online.
Namun, penggerebekan semacam itu juga dapat ditargetkan terhadap situs web WordPress. Jika serangan berhasil, pelaku dapat melakukan modifikasi yang tidak diinginkan atau melakukan pengambilalihan akun.
Jenis serangan brute force
Ada berbagai serangan brute force yang beredar di ruang digital. Untuk melindungi situs web Anda dan akun lainnya, Anda harus mengetahuinya masing-masing.
- Daur ulang kredensial:
- Serangan kamus:
- Membalikkan serangan brute force:
Seperti yang Anda ketahui, beberapa kata sandi dianggap tidak aman (ya, kombinasi seperti 123456789 ada di antaranya). Namun, itu bukan satu-satunya sumber yang dapat digunakan peretas. Lusinan pelanggaran data di seluruh dunia telah menghasilkan sejumlah besar kata sandi yang ditetapkan pengguna.
Dengan demikian, itu bisa menjadi inspirasi utama untuk serangan brute force. Misalnya, jika serangan tertentu menargetkan situs web Anda secara khusus, seorang peretas mungkin mencoba menemukan kata sandi sebelumnya yang terkait dengan Anda. Ini bisa menjadi kata sandi yang dibocorkan oleh layanan yang sama sekali berbeda. Namun, itu dapat digunakan untuk meretas situs web WordPress Anda (jika Anda menggunakan kata sandi yang bocor untuk itu).
Sumber utama serangan ini adalah kamus. Anda mungkin mengira pintar menggunakan kombinasi kata-kata yang berbeda. Namun, tidak. Peretas dapat mengambil seluruh kamus dan menjalankan setiap kata (atau kombinasinya). Jadi, Anda tidak boleh menggunakan kata-kata kamus untuk melindungi salah satu akun Anda, termasuk WordPress.
Dalam hal ini, serangan biasanya acak. Seorang peretas mengambil kata sandi populer dan menjalankannya melalui berbagai akun. Dalam beberapa kasus, penyerang ini mungkin beruntung dan mengakses akun acak dengan menggunakannya.
Dengan demikian, serangan brute force berbeda dalam hal sumber apa yang digunakan. Mungkin sebelumnya kata sandi yang dilanggar, kamus, atau kata sandi populer yang dikenal.
Perkuat Kata Sandi Anda
Meskipun ada banyak cara lain untuk mencegah serangan brute force, yang terkuat adalah kata sandi login Anda. Pastikan Anda menetapkan kata sandi masuk yang kuat.
Kata kuat di sini bukan berarti David1234 atau Daniel456. Kata sandi semacam itu tidak lagi aman. Dengan bantuan perangkat lunak otomatis, ini dapat dipecahkan dalam hitungan detik atau menit. Karenanya, tetapkan kata sandi yang memenuhi ketentuan berikut:
- Panjangnya minimal harus 12 karakter.
- Seharusnya tidak menggunakan karakter atau angka yang sama dua kali.
- Gunakan simbol khusus seperti @#$%^&*<.>? dll.
- Menggunakan nama Anda, tanggal lahir, atau informasi pribadi serupa lainnya bukanlah ide yang baik dalam kata sandi. Peretas Brute Force dapat dengan mudah menggunakannya untuk meretas akun Anda. Jadi, selalu disarankan untuk memiliki kombinasi huruf besar, huruf kecil, dan karakter atau angka khusus.
- Kata sandi yang Anda atur untuk halaman login Anda harus berbeda dari yang ada di tabel database Anda, tempat WordPress menyimpan semua kredensial pengguna Anda.
Tentu saja, Anda mungkin bingung bagaimana cara mengingat kombinasi ini. Untungnya, alat telah dirancang tepat untuk tujuan ini. Pengelola kata sandi adalah tambahan yang bagus untuk gudang senjata digital Anda.
Mereka menyimpan kata sandi Anda di lingkungan yang aman. Hal terbaiknya adalah Anda hanya perlu mengingat kata sandi yang digunakan untuk membuka kunci pengelola kata sandi Anda. Segala sesuatu yang lain akan dilindungi oleh alat yang berguna.
Posting Terkait: Bagaimana Anda Dapat Melindungi Situs WordPress Anda Terhadap Serangan DDoS
Tembok api
Jika Anda ingin mencegah situs Anda diretas melalui serangan Brute Force, Anda harus mempertimbangkan untuk menggunakan firewall.
Ada beberapa plugin yang tersedia yang dapat menghapus alamat IP penyerang segera setelah terdeteksi mencoba kredensial yang tidak valid.
Selain itu, firewall juga dapat membantu Anda dalam menerapkan kata sandi yang kuat, menambahkan CAPTCHA dan pemblokiran geografis. Dengan bantuan firewall, Anda juga dapat memasukkan IP yang mencurigakan ke dalam daftar hitam selamanya. Jika Anda mencari plugin, Anda dapat menginstal plugin Wordfence Security untuk mengamankan situs web Anda dengan sempurna dari serangan brute force.
Autentikasi 2 Faktor (2FA)
Sampai batas tertentu, dapat dimengerti bahwa peretas mendapatkan kata sandi Anda. Namun, tingkat keamanan selanjutnya agak sulit untuk dipecahkan. Otentikasi dua faktor adalah semacam tindakan keamanan yang tidak dapat ditembus yang melibatkan lebih dari sekadar kata sandi.
Saat ini, kata sandi (bahkan yang kuat) adalah perlindungan minimum untuk akun. Perlu ada elemen ketiga, mencegah akses tidak sah lebih jauh. Untuk masalah ini, otentikasi dua faktor ada!
Dengan 2FA, bahkan jika peretas memiliki kata sandi Anda, mereka tidak akan dapat meretas situs web Anda karena mereka memerlukan kode masuk khusus yang umumnya dikenal sebagai OTP.
Setelah pengguna memasukkan ID pengguna dan kata sandi, OTP dikirim ke ponsel atau surat mereka, yang hanya dapat diakses oleh pengguna yang sah.
Jadi, dengan 2FA, situs web Anda hampir tidak bisa ditembus.
Batasi Upaya Login
Satu-satunya alasan seorang hacker dapat melakukan serangan brute force adalah karena jumlah upaya login yang mereka lakukan. Jika Anda mengurangi jumlah upaya login, kemungkinan Brute Force Attack akan berkurang.
Namun, ini dapat menyebabkan ketidaknyamanan Anda di masa mendatang jika Anda lupa kata sandi.
Pos Terkait: 18+ Plugin Registrasi WordPress Terbaik untuk Registrasi dan Login Pengguna
Ubah URL Halaman Login
Peretas terbuka untuk peluang hanya karena Anda menyediakannya. Sebagian besar situs web WordPress memiliki elemen URL halaman login yang sama seperti /login, /wp-login.php, atau /admin, dll. Hal ini memberikan peluang bagi peretas untuk meretas situs web Anda dengan membuka halaman web dan menjalankan skrip .
Untuk mencegahnya, Anda dapat melakukan perubahan pada URL halaman login. Melakukan hal itu akan menyembunyikan halaman login dan akan mempersulit peretas untuk masuk. Meskipun ada beberapa metode untuk menyiasatinya, ini akan melindungi situs web Anda dari sebagian besar upaya peretasan.
Periksa Pelanggaran Data
Seperti disebutkan sebelumnya, pelanggaran data terjadi lebih sering daripada yang kita inginkan. Oleh karena itu, sangat penting untuk melacak semua layanan yang Anda gunakan. Jika dalam beberapa kasus, bisnis mengalami pelanggaran data, Anda harus cepat bereaksi.
Salah satu tindakan pertama adalah mengubah kata sandi Anda. Jangan menunggu untuk mengetahui apakah seseorang akan menggunakannya.
Tentu saja, perusahaan diharuskan memberi tahu penggunanya bahwa ada masalah keamanan tertentu (pelanggaran data). Jadi, awasi pesan semacam itu dan ikuti panduannya.
Ubah kata sandi Anda secara teratur
Tidak semua pakar keamanan siber mungkin setuju dengan rekomendasi ini. Jika kata sandi kuat dan belum terungkap, mungkin tidak ada alasan untuk mengubahnya. Namun, sering mengubah kata sandi dapat mempermudah perlindungan akun Anda.
Misalnya, jika kata sandi disusupi, waktu penyerang tetap berada di dalam akun yang diretas menjadi lebih singkat.
Namun, harap perhatikan bahwa mengubah kata sandi Anda tidak berarti memilih kata sandi yang lebih lemah. Kombinasi Anda harus sama kuatnya, jika tidak lebih. Ini adalah salah satu kekurangan yang disebutkan oleh peneliti keamanan siber saat membahas perubahan kata sandi yang sering terjadi.
Kata Akhir
Situs web yang bagus dapat memakan waktu berbulan-bulan untuk dikembangkan, dan jika Anda tidak cukup berhati-hati, seluruh kerja keras Anda dapat sia-sia dalam beberapa menit. Untuk memastikan bahwa Anda tidak menjadi korban serangan brute force, terus perbarui situs web WordPress Anda dan ikuti semua cara yang disebutkan di atas dengan ketat.
Selain itu, untuk memastikan bahwa peretas tidak mencuri data berharga Anda, unduh aplikasi VPN. Ini menjamin bahwa semua yang Anda lakukan online dienkripsi. Jadi, meskipun Anda terhubung ke jaringan yang tidak aman, informasi Anda akan tetap menerima enkripsi yang tepat. Dan, jika Anda mengelola situs web WordPress, kemungkinan besar Anda akan bekerja sama dengan berbagai kolega.
Silakan pilih alat kolaborasi yang aman dan lingkungan yang kuat untuk bertukar informasi. Dengan perlindungan seperti itu, serangan brute force atau upaya untuk mencegat koneksi Anda akan sia-sia!