Apa itu Brute Force? Brute force attack adalah salah satu jenis serangan cyber yang paling umum terjadi.
Serangan ini dilakukan dengan cara mencoba semua kemungkinan kombinasi username dan password untuk mendapatkan akses ke sebuah akun atau sistem.
Serangan brute force dapat dilakukan oleh siapa saja, mulai dari hacker profesional hingga penjahat cyber pemula.
Serangan ini cukup efektif karena tidak membutuhkan keterampilan khusus atau pengetahuan teknis yang mendalam.
Di tahun 2023, serangan brute force masih menjadi salah satu ancaman terbesar bagi situs WordPress.
Sebuah penelitian yang dilakukan oleh Sucuri menemukan bahwa serangan brute force terhadap situs WordPress meningkat sebesar 25% di tahun 2022.
Dengan popularitas WordPress sebagai platform pembuatan situs web dan banyak pemakainya, keamanan menjadi prioritas utama.
Sekarang, yuk kita pelajari mengenai apa itu serangan brute force dan bagaimana cara menghadapinya.
Daftar Isi
Apa itu Serangan Brute Force?
Serangan brute force adalah upaya masuk secara paksa ke sistem dengan mencoba semua kemungkinan kombinasi kata sandi.
Bayangkan seorang pencuri yang mencoba setiap kode kombinasi pada brankas, teknik tersebut bisa dibilang sama.
Bagaimana hacker melakukan serangan brute force tersebut?
Hacker menggunakan perangkat lunak yang secara otomatis dan berulang kali memasukkan kombinasi username dan password, hingga berhasil masuk.
Proses ini bisa memakan waktu dari beberapa menit hingga berbulan-bulan, tergantung pada kekuatan kata sandi dari si target korban.
Mengapa WordPress Rentan Brute Force?
Situs WordPress karena banyak digunakan oleh netizen, sehingga menjadi target favorit para hacker.
Semakin populer, semakin banyak celah yang mungkin bisa dimanfaatkan.
Kesalahan umum dalam keamanan WordPress, bukan karena WordPress tidak memberikan patch keamanan terbaru.
Ini lebih kepada pengguna WordPress itu sendiri.
Jadi banyak pengguna WordPress yang masih menggunakan “admin” sebagai username atau kata sandi yang mudah ditebak.
Sehingga membuat situs mereka menjadi target sasaran yang empuk.
Sebagai contoh berikut ini adalah username dan password yang mudah ditebak:
Username:
admin
administrator
webmaster
yourname
youremail
yourcompany
123456
password
qwerty
123456789
Password:
123456
password
qwerty
123456789
12345
abc123
123abc
letmein
welcome
Metode Brute Force Attack
Ada beberapa metode yang dapat digunakan untuk melakukan serangan brute force.
Beberapa metode yang paling umum digunakan adalah:
- Dictionary attack adalah metode yang menggunakan daftar kata atau frasa yang umum digunakan sebagai username dan password.
- Brute force attack adalah metode yang mencoba semua kemungkinan kombinasi username dan password, mulai dari huruf, angka, hingga simbol.
- Hybrid attack adalah metode yang menggabungkan dictionary attack dan brute force attack.
Ketiga serangan ini bisa berdampak pada performa website kamu lho.
Dampak Serangan Brute Force
Jika seorang hacker jahat berhasil melakukan serangan brute force, maka ia bisa mengakses akses penuh halaman backend.
Mereka bisa mencuri data, menginstall malware, atau bahkan menghapus seluruh konten situs.
Tren terakhir bahkan seseorang yang melakukan peretasan website, lalu mengunci semua file dan folder di server tersebut.
Lalu meminta tebusan, jadi serangan ransomware ini ditujukan kepada pemilik situs web.
Selain itu, serangan brute force juga bisa memperlambat situs kamu karena beban server yang meningkat.
Hal ini akibat ribuan hingga jutaan percobaan login yang dilakukan secara terus menerus.
Untuk mencegah serangan seperti ini ada beberapa hal yang bisa kamu lakukan.
Cara Mencegah Serangan Brute Force
Serangan hacking ini bisa diminimalisir dengan beberapa cara berikut ini, saya akan bahas dari yang paling mudah dahulu untuk kamu lakukan, yaitu:
1. Gunakana Perlindungan Bot Dari Cloudflare
Seperti yang sebelumnya saya jelaskan bahwa dalam melancarkan aksinya, hacker menggunakan alat untuk automation kegiatan hacking seperti menggunakan server yang terinfeksi virus.
Target dari serangan terkadang bisa secara acak ke situs-situs WordPress yang ada di internet atau ditargetkan secara khusus ke situs WordPress yang memang populer.
Cloudflare sendiri memiliki fitur yang cukup oke untuk mengantisipasi bot, fiturnya yang Bernama fight bot. Bot Fight Mode ini akan mendeteksi dan memitigasi kunjungan bot ke website kita.
Terutama pada bot yang memang terindikasi secara pola melakukan serangkaian kegiatan hacking illegal. Cara mengaktifkan fitur ini cukup mudah.
Akses ke dashboard Cloudflare kamu, lalu pilih Security > Bots > Bot Fight Mode> dan klik tombol On atau nyalakan. Kamu tidak perlu melakukan apa pun dari segi WordPress.
Ini salah satu cara yang bisa kita lakukan di level jaringan atau network. Tidak ribet dan mudah untuk dilakukan oleh pemula.
Di poin akhir, kita baru akan membahas cara menggunakan beberapa plugin security tambahan di WordPress.
Yuk, kita lanjut dari yang paling mudah dulu.
2. Gunakan Username dan Password yang Kuat
Sebelum kita membahas cara memblokir serangan brute force menggunakan plugin.
Ada beberapa hal sederhana yang bisa meningkatkan keamanan WordPress kamu dengan cara di poin kedua ini.
Pada awal artikel kita sudah sama-sama mengetahui bahwa saat ini sudah banyak daftar kamus yang berisi username dan password yang paling sering digunakan oleh netizen.
Kalau kamu menggunakan password dan username yang mudah ditebak, dalam hitungan detik atau menit saja bisa jadi situs kamu sudah bisa diambil alih.
Sehingga pastikan bahwa username dan password yang kamu buat, harus kuat terdiri dari huruf, angka, dan simbol, serta memiliki panjang minimal 12 karakter.
Kamu bisa mengganti password dengan mengakses menu Dashboard > Users > Profile dan cari hingga menemukan Account Management dan pilih New Password.
Selain cara itu, kamu bisa juga melakukan reset password WordPress untuk mengganti password.
3. Pentingnya Pembaruan Berkala
Langkah berikutnya yang paling mudah yang pemula bisa lakukan yaitu memastikan situs WordPress yang digunakan selalu up-to-date.
Termasuk pembaruan pada tema dan plugin. Jangan abaikan notifikasi pembaruan yang ada di dashboard WordPress. Versi terbaru biasanya mengandung perbaikan keamanan.
Pembaruan plugin, tema, dan core WordPress itu tidak melulu soal keamanan tetapi bisa juga terkait penambahan fitur baru. Cara melakukan pembaruan tinggal klik menu Dashboard > Updates > dan perbarui plugin, tema, dan core WP.
Tips berikutnya yaitu hindari menggunakan plugin/tema yang versi lama atau sudah tidak lagi ada pembaruan selama bertahun-tahun. Risiko menggunakan versi lama seperti plugin, tema dan Core WordPress.
Versi lama sering memiliki celah keamanan yang bisa saja dimanfaatkan oleh hacker.
4. Backup dan Pemulihan
Dari poin satu sampai keempat ini lebih banyak ngomongin dipencegahan. Jangan sampai jadi korban dulu baru bebenah soal keamanan situs WordPress.
Backup itu seperti jaring pengaman. Jika terjadi serangan, kamua masih bisa mengembalikan situs seperti semula. Cara melakukan backup dan pemulihan.
Kamu bisa menggunakan plugin seperti UpdraftPlus atau VaultPress untuk backup otomatis dan mudah pemulihannya.
5. Gunakan plugin keamanan WordPress
Ada banyak plugin keamanan WordPress yang dapat membantu melindungi situs kamu dari serangan brute force. Minimal gunakan plugin yang mengakomodir dua hal berikut:
- Plugin yang bisa membatasi percobaan login yang berulang kali.
- Plugin yang memberikan fitur 2FA.
Fitur pertama untuk memblokir serangan login paksa, jadi misalnya ada bot yang berusaha login paksa dan sudah salah berulang kali maka akan diblokir otomatis oleh plugin tersebut.
Fitur berikutnya yaitu dengan memblokir bot yang berhasil login dan mengetahui password. Ini bisa diblokir apabila kamu mengaktifkan fitur 2FA (two step authentication).
Setelah saya riset ada kurang lebih tiga plugin yang bisa kamu gunakan dengan fitur yang sebelumnya sudah saya sebutkan yaitu : Jetpack, iTheme Security, Wordfence, dan Sucuri.
6. Monitoring Log Secara Berkala
Log atau catatan log in itu ibarat CCTV ya kadang tidak perlu kita pantau 1×24 jam. Just in case, kamu merasa kok ada yang aneh ya dengan situs WordPress misalnya tampilanyna berubah sendiri.
Atau kok ada halaman yang baru terpublikasi padahal tidak pernah mempublikasikan halaman apa pun. Hal-hal yang janggal seperti ini bisa terjawab ketika situs WordPress kamu memiliki log.
Log aktivitas dan catatan login setiap user. Plugin yang bisa kamu pakai yang versi gratisannya adalah WP Activity Log. Plugin yang versi berbayar seperti Wordfence dan iTheme Security Pro juga ada.
Nah, di sini kalau memang terlihat ada aktivitas yang mencurigakan. Kamu bisa coba melakukan pergantian password terlebih dahulu dan mengaktifkan fitur 2FA seperti di poin kelima di atas.
7. Melakukan Audit Keamanan Situs Secara Mandiri
Sebelum orang lain yang melakukan penetrasi keamanan situs web kita. Ada baiknya kita sendiri yang melakukan audit keamanan situs web yang kita miliki terlebih dahulu.
Setidaknya kita jadi tahu pada bagian mana situs kita memiliki masalah. Salah satu tool yang bisa kamu gunakan untuk melakukan audit keamanan situs yaitu menggunakan WPScan.
Setelah proses scan, kamu akan diberitahukan apakah ada plugin atau tema yang bermasalah atau apakah core WordPress-nya sendiri yang memiliki masalah.
Nah kamu harus segera aware jika ada plugin atau tema yang bermasalah kamu bisa segera nonaktifkan dan menghapusnya dari WordPress.
Jika core WordPress-nya yang bermasalah kamu bisa melakukan pembaruan WordPress ke versi terbaru atau melakukan re-install dengan mengunggah ulang file WordPress yang baru ke hosting kamu.
8. Manfaatkan Captcha
Teknik lainnya yang bisa kamu lakukan untuk mecegah spam dan serangan login paksa adalah dengan Captcha. Captcha ini ada yang bentuknya kita cuma perlu centang saja.
Ada yang seperti kuis kita harus mengisi hitung-hitungan, mengubah gambar, menyamakan gambar, dan ada yang tidak perlu melakukan apa pun.
Jadi jenis Captcha ada banyak, yang lazin digunakan di situs WordPress adalah ReCaptcha dan hCAPTCHA. Sederhananya dengan tool ini kita bisa memverifikasi pengguna.
Apakah yang berupaya login tersebut adalah orang atau robot. Karena saat ini, dengan Captcha kita bisa mengatur tingkat pertanyaannya apakah mudah hingga sulit, untuk filterasi yang lebih ketat lagi.
9. Menyembunyikan Halaman Login Admin
Halaman login dari WordPress yang mudah diakses oleh siapa pun bisa menjadi pisau bermata dua. Di satu sisi untuk kemudahan tinggal akses domain.ltd/wp-login.php.
Dan halaman login bisa di akses oleh siapa saja termasuk oleh bot. Wajar jika banyak upaya login paksa ke halaman login situs WordPress.
Kamu bisa menyembunyikan halaman login WordPress dengan mudah menggunakan plugin yang sebelumnya kita sudah bahas yaitu iThemes Security dan Jetpack.
Dengan menyembunyikan halaman login WordPress ini, kamu bisa terhindar dari serangan login paksa. Jangan lupa bookmark di browser URL login WordPress kamu yang sudah di custom ya.
10. Mengaktifkan Fitur Otentikasi HTTP
Cara lainnya untuk memblokir serangan login paksa adalah dengan menggunakan otentikasi HTTP. Kalau dulu cara ini menurut saya yang paling ribet sebelum adanya tool dari cPanel.
Kita perlu melakukan setup manual pada file .htaccess dan menyesuaikan folder yang ingin kita “kunci”. Tidak praktis prosesnya dan memakan waktu.
Saat ini, kamu bisa membuat otentikasi HTTP tanpa bantuan dari panel seperti cPanel dan Plesk. Kamu bisa membuat otentikasi HTTP menggunakan plugin HTTP Auth.
Dengan menggunakan plugin ini situs WordPress kamu bisa terhindar dari serangan login paksa. Termasuk membatasi crawling bot pada situs stagging atau situs yang masih tahap pengembangan.
Tinggal kamu akses saja menu Dashboard > HTTP Auth > lalu pada bagian Credential masukkan username dan password yang berbeda dengan akses masuk ke WordPress.
Ini untuk otentikasi perlindungan tambahannya.
11. Membuat Pengguna WordPress Baru
Tips berikutnya sebagai penutup, kamu bisa membuat sebuah akun baru yang dikhususkan sebagai penulis. Jadi semua yang berkaitan dengan akun administrator tidak digunakan untuk publik.
Misalnya akun administrator dipakai untuk menulis sebuah artikel. Secara otomatis, akun tersebut akan terpublikasikan sebagai penulis di halaman depan WordPress.
Kalau kamu mau, kamu bisa membuat role semisalnya Author atau Contributor baru. Jadi hal-hal yang berkaitan dengan publikasi baik itu halaman atau post bisa menggunakan akun tersebut.
Cara membuat akun baru bisa klik Dashboard > Users > Add New User. Jangan lupa pada bagian role pilih Kontributor atau Penulis dan klik tombol Add New User untuk membuat akun WordPress yang baru.
Kesimpulan
Dengan menerapkan 11 jurus jitu di atas, kamu bisa meningkatkan keamanan situs WordPress kamu secara signifikan.
Ingat, keamanan website bukan hanya soal hal-hal teknis semata, tetapi juga melibatkan kesadaran dan kebiasaan pengguna.
Semoga dengan tips di atas situs kamu bisa terhindar dari serangan brute force.
FAQ (Pertanyaan Umum)
Apakah mengganti URL login bisa mencegah serangan brute force?
Mengganti URL login dapat mengurangi risiko, tetapi tidak sepenuhnya mencegah serangan brute force. Ini harus dipadukan dengan praktik keamanan lain seperti yang sudah dijelaskan di atas.
Apa itu Two-Factor Authentication dan bagaimana cara kerjanya?
Two-Factor Authentication adalah metode keamanan yang memerlukan dua jenis informasi sebelum mengizinkan akses, biasanya password dan kode dari perangkat kedua.
Bagaimana cara memilih password yang kuat?
Password yang kuat biasanya kombinasi dari huruf besar, huruf kecil, angka, dan simbol. Hindari menggunakan informasi pribadi atau kata-kata yang mudah ditebak.
Apakah perlu membackup website secara rutin?
Ya, backup website secara rutin sangat penting untuk mengamankan situs web kamu dan memudahkan pemulihan jika terjadi serangan.
Bagaimana cara memilih hosting yang aman untuk WordPress?
Cari penyedia hosting yang menawarkan fitur keamanan seperti firewall, pemindaian malware, backup otomatis, dan dukungan SSL/HTTPS.
Apa peran SSL/HTTPS dalam keamanan WordPress?
SSL/HTTPS mengenkripsi data yang dikirim antara pengunjung website dan server, sehingga membantu melindungi data dari akses tidak sah.
