Hadang Serangan Brute Force di WordPress Dengan ModSecurity
WordPress merupakan aplikasi web content management system (CMS) yang paling popular di internet. Karena kepopulerannya ini, maka tidaklah aneh jika website yang menggunakan WordPress sering menjadi target serangan. Meski demikian kamu tidak perlu khawatir, karena ada banyak cara untuk mengamankan website WordPress kamu.
Salah satu serangan yang paling sering digunakan untuk menyerang website WordPress dengan menggunakan serangan Brute Force. Serangan Brute Force yang diterjemahkan kedalam bahasa Indonesia adalah serangan brutal. Teknik serangan terhadap sistem keamanan komputer dengan mencoba menebak password atau passcode sebanyak mungkin agar bisa masuk kedalam sistem.
Pada artikel kali ini kami akan membahas mengenai salah satu cara untuk menghadang serangan Brute Force pada website WordPres. Teknik yang akan kami bahas menggunakan ModSecurity.
Apa Itu ModSecurity
ModSecurity (atau dikenal juga dengan mod_security, security2_module, modsec) merupakan module Apache yang didesain dengan fungsi yang mirip dengan Web Application Firewall, yang memiliki tujuan untuk membantu melindungi website dari berbagai tipe serangan seperti: SQL Injection, Iframe attacks, Webshell/Backdor Detection, Botnet Attack Detection, Brute Force dan HTTP Denial of Service (DoS) attacks.
Untuk cara instal ModSecurity bisa mengunjungi BlogHostingIndonesia.com
Cara Menghadang Serangan Brute Force di WordPress
Pertama yang harus dilakukan adalah membuat file yang diberi nama bruteforce.conf, yang ditaruh pada lokasi ini: /usr/local/apache/conf/bruteforce.conf.
Bisa dengan mengetik command:
nano -w /usr/local/apache/conf/bruteforce.conf
Kemudian copy code dibawah ini ke dalam file tersebut:
# WordPress ModSecurity Brute Force Rules
# -----------------------------------------------------------------------------
# TX.max_requests - # of requests allowed during x period of time
# TX.requests_ttl - time in seconds
# TX.block_ttl - block time in seconds
# -----------------------------------------------------------------------------
SecRequestBodyAccess On
SecDataDir /tmp
SecAction "phase:1,pass,setvar:TX.max_requests=6,setvar:TX.requests_ttl=180,setvar:TX.block_ttl=900,initcol:ip=%{REMOTE_ADDR},nolog,id:5001000"
SecRule IP:blocked "@eq 1" "phase:1,drop,log,id:5001001"
# WordPress Anti Brute Force Rules
<LocationMatch "/wp-login.php">
SecAction "phase:2,chain,nolog,id:5001002"
SecRule REQUEST_METHOD "^POST$" "chain"
SecRule ARGS_POST_NAMES "^log$" "chain"
SecRule ARGS_POST_NAMES "^pwd$" "chain"
SecAction "setvar:ip.request_count=+1,expirevar:ip.request_count=%{TX.requests_ttl}"
SecRule IP:request_count "@ge %{TX.max_requests}" "phase:2,drop,setvar:ip.blocked=1,expirevar:ip.blocked=%{TX.block_ttl},log,msg:'Blocked by %{TX.block_ttl} seconds',id:5001003"
Loading Rules Anti Brute Force
Sekarang kita harus mengkonfigurasi ModSecurity untuk meng-load rule anti brute force, dengan menjalankan command ini:
echo "Include /usr/local/apache/conf/bruteforce.conf" >> /usr/local/apache/conf/modsec2.user.conf
Kemudian restart Apache untu menerapkan perubahan:
service httpd restart
Hasil dari rule anti serangan brute force untuk WordPress ini akan di-log pada Apache error log.
Menonaktifkan Rule Anti Serangan Brute Force
Jika rule ModSecurity ini menyebabkan masalah, kamu bisa menonaktifkannya dengan mengedit file /usr/local/apache/conf/modsec2.user.conf, lalu hapus line dibawah ini:
Include /usr/local/apache/conf/bruteforce.conf
Kemudian restart Apache untuk menerapkan perubahan:
service httpd restart
Itulah cara untuk melindungi website WordPress kamu dari serangan brute force. Untuk cara yang lebih mudah kamu bisa menggunakan plugin.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
Cara Menambahkan Google Authenticator di WordPress
Google telah lama menambahkan 2-step authentication untuk login ke dalam akun Google. Dengan fitur ini kamu dapat mengamankan akun kamu Google dengan dua langkah, langkah pertama login dengan username dan password dan langkah kedua memasukan PIN yang dikirimkan ke email. (more…)
5 Mitos Keamanan WordPress Yang Populer
Karena popularitasnya yang luar biasa sebagai platform content management system untuk membuat website, WordPress memiliki komunitas pengguna yang sangat besar, dimana pengguna bisa saling berbagi informasi, sumber daya, tips dan juga wawasan untuk pengguna lainnya. Dan juga karena saking populernya CMS ini, keamanan WordPress juga menjadi perhatian paling depan dari para pemilik situs. Banyak serangan yang menargetkan situs yang menggunakan WordPress. (more…)
Tips Untuk Melindungi Admin Area WordPress
Seringkali serangan siber diawali dari admin area WordPress, jika website tersebut menggunakan CMS WordPress. Melindungi admin area WordPress dari akses yang tidak diijinkan dapat melindungi website WordPress kamu dari banyak ancaman keamanan. Pada artikel kali ini, saya akan membahas beberapa tips untuk melindungi admin area WordPress.
1. Menggunakan Website Application Firewall
Website application firewall atau WAF menawarkan pengawasan terhadap traffic website dan memblokir request yang mencurigakan yang datang ke website WordPress kamu.
Ada banyak plugin firewall untuk WordPress, tapi saya merekomendasikan untuk menggunakan Sucuri. Layanan keamanan dan pengawasan website ini menawarkan WAF berbasis cloud untuk melindungi website kamu. Plugin ini dapat mencegaj website kamu dari percobaan hacking, phishing, malware dan aktivitas berbahaya lainnya.
2. Password Protect Directories
Melindungi admin area WordPress dengan password merupakan bawaan default dari sistem WordPress. Namun ada fitur untuk menambahkan perlindungan dengan password untuk WordPress admin directory.
Untuk menggunakannya kamu harus memiliki akses ke dashboard cPanel dari penyedia hosting yang kamu gunakan. Login ke cPanel, lalu pilih ikon ‘Password Protect Directoies’ atau ‘Directory Privacy.’
Selanjutnya, kamu pilih folder wp-admin website WordPress kamu, yang biasanya ada di directory /public_html/.
Pada layar selanjutnya, kamu perlu memberi centang pada kotak di sebelah ‘Password protect this directory’ dan masukan nama yang diinginkan. Setelah itu klik tombol Save dibawahnya.
Langkah selanjutnya adalah membuat user, akan diminta untuk memasukan username dan password, setelah selesain klik tombol Save dibawahnya.
Siapa saja yang mencoba membuka halaman WordPress admin atau wp-admin, akan diminta memasukan username dan password. Untuk kamu, tinggal masukan username dan password yang tadi kamu buat, baru kemudian login ke admin area WordPress.
3. Selalu Gunakan Password Yang Kuat
Selalu gunakan password yang kuat untuk semua akun online kamu, termasuk akun untuk admin WordPress. Jangan gunakan password yang mudah ditebak, gunakan password dengan kombinasi dari huruf, angkat, dan karakter spesial, gunakan juga huruf kapital.
Atau jika bingung membuat password yang sulit, bisa memanfaatkan software password generator.
4. Gunakan Two Step Verification Untuk Login Admin Area WordPress
Two-step verification juga menambahkan lapisan keamanan untuk melindungi login admin area WordPress. Selain memasukan username dan password yang biasa, kamu juga akan diminta untuk memasukan kode verifikasi. Disini kita bisa menggunakan Google Authenticator.
Install plugin Google Authenticator, lalu pasang aplikasinya di smartphone Android atau iOS yang kamu miliki.
Meski hacker berhasil menebak username dan password kamu, tetapi tetap belum bisa masuk karena harus memasukan kode verifikasi lagi.
5. Batasi Percobaan Login
Bawaannya, sistem WordPress memungkinkan pengguna untuk mencoba memasukan username dan password sebanyak mungkin. Ini berarti setiap orang dapat terus mencoba menebak password kamu.
Untuk itu kamu perlu membatasi percobaan login. Bisa menggunakan plugin yang bernama Login LockDown. Lalu masuk ke admin area, dan masuk ke Settings-> Login LockDown untuk mengkonfigurasi plugin.
6. Limit Akses Login Untuk Alamat IP Tertentu
Jika website WordPress kamu hanya memiliki sedikit pengguna yang bisa login atau kamu saja yang bisa login. Lebih baik melindungkan admin area WordPress dengan membatasi dari alamat IP tertentu. Tentunya IP dari provider internet yang kamu gunakan dan penggunakan lainnya.
Cukup tambahkan kode dibawah ini ke file .htaccess:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist wahyudhi IP address allow from xx.xx.xx.xxx # whitelist wahyudha IP address allow from xx.xx.xx.xxx </LIMIT>
Ganti xx dengan alamat IP kamu dan pengguna lainnya, jika kamu menggunakan beberapa penyedia internet jangan lupa juga untuk memasukannya.
Kami harap artikel ini dapat membantu kamu untuk melindungi admin area WordPress kamu.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.
5 Plugin Firewall Untuk WordPress
Salah satu cara untuk melindungi website WordPress kamu dari serangan siber adalah dengan memasang plugin firewall. Dengan firewall kamu dapat melindungi website WordPress dari hacking, serangan brute force dan serangan distributed denial of service (DDoS). Pada artikel kali ini saya akan membahas 5 plugin firewall terbaik untuk website WordPress kamu.
Dua tipe umum dari plugin firewall yang tersedia untuk WordPress adalah:
- DNS Level Website Firewall – Firewall ini akan mengarahkan traffic website kamu melalui server proxy-nya sebelum script WordPress di-load. Dengan metode ini, mereka hanya akan mengirimkan traffic yang asli ke web server kamu.
- Application Level Firewall – Firewall ini akan memeriksa traffic setelah mencapai server tetapi sebelum script WordPress di-load. Metode ini tidak seefisien DNS level firewall dalam mengurangi load server.
1. Sucuri
Sucuri menawarkan DNS level firewall, yang dapat melindungi dari penyusup dan mencegah brute force, serta juga melindungi dari malware dan memiliki layanan blacklist removal.
Sucuri juga dapat meningkatkan kinerja website dengan mengurangi server load melalui optimasi caching, website acceleration, dan Anycast CDN. Juga melindungi website dari SQL Injections, XSS, RCE, RFU dan semua serangan umum.
Setiing WAF juga mudah, kamu perlu untuk menambahkan DNS A record ke domain kamu dan mengarahkannya ke Sucuri cloud proxy daripada ke website kamu.
2. Cloudflare
Cloudflare terkenal dengan layanan CDN mereka yang termasuk perlindungan dasar DDoS. Namun untuk paket yang gratis tidak termasuk website application firewall. Untuk WAF kamu perlu berlangganan paket Pro.
Cloudflare juga menawarkan DNS level firewall yang berarti traffic diarahkan melalu jaringan mereka. Hal ini dapat meningkatkan kinerja website dan mengurangi downtime pada saat traffic tinggi.
Paket Pro termasuk perlindungan DDoS terhadap serangan 3 layer, untuk perlindungan DDoD 5 dan 7 layer perlu berlangganan paket Business.
3. SiteLock
SiteLock merupakan website application firewall yang juga popular, yang menawarkan layanan perlindungan DDoS, scan malware dan menghapusnya.
SiteLock WAF merupakan DNS level firewall dengan layanan CDN untuk meningkatkan kinerja website kamu. Layanannya menawarkan scan malware, file change monitor, security alert dan malware removal.
SiteLock juga bekerja sama dengan banyak perusahaan hosting, diman SiteLock ditawarkan sebagai add-on untuk paket hosting.
4. WordFence Security
WordFence merupakan plugin keamanan WordPress yang juga popular dengan website application firewall built-in. Plugin ini dapat memonitor website WordPress kamu dari malware, perubahan file, SQL injections dan banyak lagi. Plugin ini juga melindungi website dari serangan DDoS dan brute force.
WordFence merupakan application level firewall yang berarti firewall dipicu pada server dan traffic jahat akan diblokir setelah mencapai server tetapi sebelum website di-load.
WordFence hadir dengan on-demand security scan dan juga scheduled scan. Memungkinkan kamu untuk secara manual memonitor traffic dan memblokir alamat IP yang mencurigakan langsung dari area admin WordPress.
5. BulletProof Security
BulletProof Security juga merupakan plugin keamanan untuk WordPress yang popular. Plugin ini hadir dengan application level firewall, login security, database backup, maintenance mode, dan beberapa tweak keamanan untuk melindungi website kamu.
BulletProof Security tidak menawarkan pengalaman user yang baik dan banyak pemula yang mungkin akan mengalami kesulitas untuk mengertinya. Plugin ini memiliki setup wizard yang secara otomatis mengupdate file .htaccess dan mengaktifkan firewall.
Bagi kamu yang sedang mencari hosting, Jakartawebhosting.com menyediakan WordPress Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.