Cara memblokir upaya login yang gagal di WordPress

Login yang gagal dapat terjadi karena berbagai alasan. Seringkali, ini hanyalah hasil dari pengguna yang benar-benar lupa kata sandi mereka. Itu terjadi pada yang terbaik dari kita sehingga kita tidak akan menilai terlalu keras. Namun, kadang-kadang, sesuatu yang lebih serius mungkin terjadi – seseorang mencoba masuk.

Seni memecahkan masalah login yang gagal

Seperti semua masalah WordPress lainnya, pemecahan masalah (alias menyelesaikan masalah) adalah langkah pertama yang perlu kita lakukan. Ini akan membantu kami memastikan bahwa kami menangani masalah yang sebenarnya dan bukan gejalanya. Untungnya, ada cara mudah untuk memulai proses ini – lihat datanya. Pada dasarnya, Anda harus melihat satu dari dua hal:

• Nama pengguna yang salah dan kombinasi kata sandi yang salah

Kombinasi nama pengguna dan kata sandi yang salah dapat terjadi karena salah satu dari dua alasan. Entah seseorang atau sesuatu mencoba menebak kombinasi nama pengguna/kata sandi untuk mendapatkan akses, atau itu adalah serangan yang ditargetkan. Dalam kasus opsi pertama, ini adalah kejadian yang cukup umum. Jika tidak, itu mungkin serangan yang ditargetkan pada situs web Anda baik untuk mendapatkan akses atau membebani situs web Anda (DoS/DDoS).

• Nama pengguna yang benar dan kombinasi kata sandi yang salah

Nama pengguna yang benar dan kombinasi kata sandi yang salah dapat berarti satu dari dua hal. Entah itu kasus asli seseorang yang lupa kata sandinya, atau seseorang telah menemukan nama pengguna yang sebenarnya terdaftar di WordPress Anda dan sekarang mencoba menebak kata sandinya.

Satu hal lain yang harus Anda ingat untuk melihat adalah frekuensi. Sejumlah besar upaya dalam waktu singkat biasanya merupakan tanda serangan otomatis. Di sisi lain, garis waktu yang lambat dan tidak teratur adalah pertanda seseorang yang belum minum kopi.

Bahaya dari terlalu banyak upaya login yang gagal

Serangan menebak kata sandi cukup lazim. Terlalu banyak upaya login WordPress yang gagal umumnya merupakan indikasi dari jenis serangan ini. Tanpa cara untuk mengelola ini, Anda bisa membiarkan situs Anda terbuka terhadap serangan dan gangguan. Untungnya, mengelola risiko ini sangat mudah dan membutuhkan sedikit upaya administratif.

WordPress tidak menawarkan fungsionalitas apa pun untuk membatasi atau mengambil tindakan mengelak ketika ada upaya login yang gagal. Seorang pengguna dapat terus mencoba mual iklan sampai mereka melakukannya dengan benar. Meskipun memberi orang kesempatan ekstra dapat dikatakan sebagai hal yang etis untuk dilakukan, menerapkan batasan dan kontrol dapat sangat membantu dalam memastikan keamanan dan integritas situs web WordPress Anda.

Bagaimana mencegah upaya login yang gagal di WordPress

Menerapkan kebijakan login gagal WordPress lebih mudah daripada kedengarannya. Ada dua pilihan utama untuk dipilih, yang sekarang akan kita bahas.

Batasi login yang gagal secara manual

Jika Anda ingin membatasi login WordPress yang gagal tanpa plugin, Anda dapat memodifikasi file function.php tema aktif dan menambahkan kode yang relevan. Ada beberapa cara untuk menambahkan kode kustom ke situs WordPress; namun, ini membutuhkan pemahaman yang baik tentang PHP dan cara kerja WordPress.

Instal plugin

Ada opsi lain dan paling praktis – gunakan plugin. Plugin tersedia dalam berbagai bentuk dan ukuran, termasuk plugin yang hanya membatasi upaya login dan plugin yang memungkinkan Anda menerapkan kebijakan keamanan kata sandi di WordPress untuk kontrol dan keamanan yang lebih ketat.

WPassword adalah salah satu plugin WordPress tersebut. Ini memberi administrator kontrol yang lebih besar atas bagaimana kata sandi digunakan dan dikelola di situs web WordPress mereka. Ini mencakup kemampuan untuk menyiapkan kebijakan yang secara eksplisit menangani upaya login yang gagal, di antara banyak fitur lainnya.

Hal lain yang perlu dipertimbangkan

Satu opsi lain yang layak disebutkan adalah CAPTCHA. Plugin seperti Advanced noCaptcha & invisible Captcha sangat bagus dalam membantu Anda menghentikan serangan otomatis. Karena CAPTCHA harus diselesaikan sebelum upaya logging dilakukan, bot di balik serangan tersebut gagal dalam pengujian dan tidak akan melakukan satu pun upaya login.

Opsi lain yang cenderung muncul dalam percakapan tentang kebijakan login yang gagal adalah memblokir IP. Melalui opsi ini, IP yang melanggar dimasukkan dalam daftar hitam, mencegahnya mengakses situs web Anda sejak awal. Meskipun secara teknis ini benar, aktor jahat yang gigih dapat dengan mudah menggunakan IP yang berbeda – yang dapat mereka lakukan dengan mudah. Karena itu, strategi memblokir IP sering berakhir dengan permainan kucing dan tikus.

Salah satu opsi yang lebih baik adalah menggunakan CDN (Content Delivery Network) dan membiarkan mereka menangani pemblokiran IP yang menyinggung. Ini dapat menghemat waktu Anda yang berharga, yang dapat Anda investasikan untuk hal-hal yang produktif.

Cara mendesain kebijakan login gagal WordPress

Sebelum kita mulai menerapkan kebijakan login yang gagal di situs WordPress, ada beberapa hal yang perlu kita pikirkan. Seperti semua masalah terkait keamanan lainnya, mengelola upaya login yang gagal mengalami paradoks keamanan/kegunaan. Semakin aman sesuatu, semakin tidak berguna. Kebalikannya juga sama benarnya. Tidak mengizinkan siapa pun untuk masuk sangat aman tetapi hampir tidak dapat digunakan. Memberi pengguna peluang tak terbatas dalam logging dapat membahayakan keamanan tetapi meningkatkan kegunaan.

Yang perlu Anda pahami adalah seberapa besar kelonggaran yang ingin Anda berikan kepada pengguna Anda. Secara tradisional, tiga upaya dipandang memadai dan masuk akal. Beberapa tidak setuju dengan gagasan ini dan menempatkan upaya login maksimum yang diizinkan pada sepuluh. Either way, menawarkan upaya login tak terbatas bukanlah strategi yang baik dan dapat memiliki dampak negatif.

Kebenaran dari masalah ini adalah bahwa tidak ada jawaban yang benar atau salah. Tiga adalah angka yang aman, tetapi akan meningkatkan biaya administrasi. Sepuluh mungkin memiliki biaya administrasi yang lebih rendah tetapi membawa lebih banyak risiko.

Dengan demikian, Anda mungkin ingin mulai dengan membatasi jumlah upaya login menjadi tiga dan kemudian menilai situasinya. Saat menggunakan WPassword, sangat mudah untuk mengubah nomor ini. Dengan demikian, Anda dapat dengan mudah menyesuaikan kebijakan dengan pengguna dan keadaan Anda.

Akan lebih baik jika Anda juga memikirkan apa yang terjadi ketika akun dikunci. Haruskah akun dibuka secara otomatis setelah jendela waktu yang telah dikonfigurasikan sebelumnya, atau haruskah administrator membukanya secara manual? Pertanyaan ini mengalah pada masalah yang sama seperti sebelumnya: Anda perlu memutuskan antara kegunaan dan keamanan. Aspek penting lainnya yang mungkin memengaruhi bagian kebijakan ini adalah lokasi pengguna Anda. Jika orang masuk dari belahan dunia lain, apakah Anda senang bangun jam dua pagi untuk membuka kunci akun? Dan jika tidak, berapa lama pengguna harus menunggu sebelum mereka dapat login kembali? Apakah ini akan berdampak pada produktivitas mereka atau keuntungan Anda?

Memilih plugin (dan kebijakan) yang tepat untuk mengelola login gagal WordPress

Setelah Anda memahami seperti apa kata sandi dan kebijakan login gagal yang Anda inginkan, Anda harus mulai mengerjakan implementasinya. Kami sebelumnya menyebutkan WPassword sebagai kandidat utama. Ini menawarkan banyak opsi konfigurasi, memungkinkan Anda kelonggaran yang cukup besar saat mengonfigurasi dan menerapkan kebijakan kata sandi Anda.

Setelah Anda mengaktifkan kebijakan login gagal untuk WordPress, Anda dapat memilih berapa banyak upaya yang dilakukan pengguna sebelum akun mereka dikunci. Anda juga dapat memutuskan cara membuka kuncinya dan apakah Anda ingin memaksa pengguna mengubah kata sandi mereka atau tidak, seperti yang dijelaskan di bawah ini.

Langkah 1: Instal dan aktifkan WPassword

Menginstal WPassword itu mudah. Anda dapat mengunduh plugin keamanan kata sandi langsung dari situs web WP White Security dan kemudian mengunggahnya ke situs web WordPress Anda.

Setelah Anda menginstal plugin, klik Plugin dari menu samping WordPress, cari plugin, dan klik Activate . Ini akan menambahkan opsi menu baru yang disebut Kebijakan Kata Sandi , yang perlu Anda klik.

Langkah 2: Aktifkan Kebijakan Login yang Gagal

Centang kotak di sebelah Enable Failed Logins Policies untuk membatasi upaya login yang gagal di situs WordPress Anda. Masukkan Jumlah upaya login yang gagal sebelum mengunci pengguna, dengan 3 – 5 umumnya dianggap sebagai awal yang baik.

Opsi konfigurasi lainnya termasuk apa yang terjadi setelah akun dikunci dan apakah pengguna yang diblokir diharuskan untuk mengatur ulang kata sandi mereka saat membuka blokir. Lihat artikel basis pengetahuan kebijakan login gagal WordPress untuk informasi lebih lanjut.

Langkah 3: Ambil langkah-langkah keamanan tambahan

CAPTCHA

Kami juga menyentuh CAPTCHA – tes di mana-mana hadir di banyak login dan formulir yang dirancang untuk membiarkan manusia lewat sambil menghentikan bot dan bentuk serangan otomatis lainnya. Plugin seperti Advanced no Captcha dan Invisible Captcha membuat penerapan tes tersebut menjadi sangat mudah sambil menawarkan kompatibilitas universal dan dukungan untuk versi yang berbeda.

Otentikasi dua faktor

Dalam meningkatkan keamanan proses login, otentikasi dua faktor harus dimiliki. Melalui proses ini, pengguna perlu mengautentikasi untuk kedua kalinya dengan memasukkan kode sandi satu kali yang disediakan melalui ponsel cerdas mereka. Dengan menggunakan 2FA, yang dapat Anda lakukan dengan mudah melalui plugin seperti WP 2FA, Anda dapat memastikan bahwa meskipun kata sandi disusupi, kecuali orang tersebut memiliki telepon yang terikat ke akun pengguna itu, mereka tidak akan dapat masuk.

Langkah 4: Melangkah lebih jauh (Opsional)

Dengan kata sandi dan kebijakan login yang gagal, CAPTCHA, dan otentikasi dua faktor, Anda harus dilindungi dengan baik.

Namun, jika situs web Anda masih mengalami sejumlah besar upaya login yang gagal, Anda harus mempertimbangkan untuk menggunakan layanan CDN. Anda mungkin ingin berbicara dengan penyedia hosting web Anda untuk membantu Anda menerapkan solusi yang cocok untuk serangan skala besar.

Keamanan kata sandi WordPress membutuhkan pendekatan 360

Seperti yang kita lihat di seluruh artikel, beberapa faktor perlu dipertimbangkan saat menerapkan kebijakan kata sandi. Meskipun memblokir login WordPress yang gagal adalah langkah pertama yang baik (dan langkah yang diperlukan untuk itu), dengan mengambil pendekatan 360, Anda bisa menjadi jauh lebih aman. Ini tidak hanya membantu Anda mencakup semua basis Anda, tetapi juga dapat membantu Anda menginspirasi lebih banyak kepercayaan dan keyakinan di situs web WordPress Anda.

Pendekatan 360 derajat melihat beberapa faktor, termasuk plugin dan tema, hosting, TLS, inti WordPress, dan lainnya. Dengan cara ini, Anda dapat memastikan bahwa keamanan WordPress Anda dalam kondisi prima.