Gara-Gara Brute Force Login Attack ke WordPress

Tadi malam waktu lagi ngotak-ngatik wordpress saya, saya kebingungan. Kenapa hanya sedikit pengunjung yang aktif secara bersamaan, sekitar 14 orang, tapi cpu usage di hosting cpanel saya tinggi sekali penggunaannya? Hingga pagi tadi saya mendapatkan pesan “Resource Limit is Reached. The website is temporarily unable to service your request as it exceeded resource limit. Please try again later.” Pesan ini muncul pada saat saya masuk ke akun wordpress saya. Langsung saya sedikit khawatir dengan wordpress tarjiem.com saya ini.

Contoh penggunaan cpu usage yang tinggi

Contoh penggunaan cpu usage yang tinggi tarjiem.com

Saya langsung mengirim tiket bantuan ke hosting saya untuk berkonsultasi dan bertanya. Kenapa paket shared hosting dhy-2 yang saya gunakan malahan kena batasan akses jalur pita lebar (bandwith)? Sekitar 30 menit kemudian saya mendapatkan balasan. Syukurnya penjelasannya dapat saya pahami. Walaupun itu cukup membuat saya ketar-ketir.

Penjelasan hosting saya.

Penjelasan hosting saya.

Brute Force Login Attack

Kalau diterjemahkan istilah Bahasa Inggris “Brute Force Login Attack” kurang lebih terjemahan Bahasa Indonesianya yakni “Serangan Masuk Secara Membabi-Buta”. Metode brute force ini merupakan salah satu metode hacking (meretas) yang banyak beredar. Brute force memang umum terjadi di wordpress. Banyak yang menjadi korban dengan teknik serangan tradisional namun terkadang manjur ini. Saya jadi teringat dengan seorang blogger yang blognya cukup ramai. Ia pernah 3 kali kena serangan pada blog miliknya.

Ilustrasi bagaimana cara metode brute force attack bekerja.

Ilustrasi bagaimana cara metode brute force attack bekerja. Gambar: inmotionhosting.com

Ilustrasi Brute Force Login Attack

Sederhananya, penyusup mencoba memasukkan variasi kata kunci masuk ke halaman admin wordpress milik kita secara membabi-buta (cepat dan memaksa). Entah menggunakan metode, program atau cara apa, yang jelas pembajak atau penyusup ini akan berusaha terus mencoba mencari password dan username wp-admin milik kita. Seperti pada saat kita mencari-cari anak kunci untuk membuka sebuah gembok. Hanya saja mencari anak kunci dan mencobanya satu per satunya pada gembok dilakukan secara cepat sekali. Itulah sebabnya penggunaan cpu pada hosting berbagi milik saya menjadi merah. Seperti mesin yang dipaksa hidup terus dan akhirnya kepanasan dan menyebabkan website tidak bisa diakses (Resource Limit is Reached).

Langkah Seberhana Menghindari Brute Force

Banyak sekali penjelasan mengenai bagaimana cara mengamankan wordpress milik kita dari serangan hacker. Berikut ini hal sederhana yang saya lakukan dalam antisipasi awal menghadapi serangan brute force hari ini.

1. Memasang WordPress Plugin Security

Saya sadar kalau wordpress.org milik saya tidak memiliki perangkat tambahan keamanan (plugin). Saya pun menjelajah internet untuk mencari-cari rekomendasi wordpress plugin security. Cukup banyak pilihan plugin security untuk worpdress ini. Ada dua alternatif pilihan saya, plugin iThemes Security dan Wordfence Security. Dua plugin keamanan wordpress ini gratis. Akhirnya pilihan saya jatuh pada Wordfence Security plugin. Setahu saya pencegahan utama dua plugin ini adalah membatasi akses masuk pada saat masuk ke halaman administrator wordpress milik kita. Seperti pada saat kita memasukkan pin ke mesin atm. Kita hanya memiliki kesempatan 3 kali kesalahan memasukkan pin kartu atm milik kita.

Hasil pemeriksaan wordfence plugin wordpress.

Hasil pemeriksaan wordfence plugin wordpress.

Hal yang membuat saya sedikit lega adalah tidak ditemukannya hal yang mencurigakan di blog saya oleh plugin Wordfence Security. Pada saat proses pemasangan plugin ini selesai maka kita dianjurkan untuk melakukan pemeriksaan wordpress milik kita oleh plugin Wordfence Security ini. Waktu yang diperlukan tidak sampai 10 menit untuk melakukan pemeriksaan (scaning). Jumlah tulisan belum sampai 200 tulisan.

2. Mengubah dan Menyembunyikan Username Admin

Sebelumnya saya menggunakan username “admin” untuk masuk ke halaman administrator. Nama pengguna “admin” itu adalah nama pengguna pengaturan awal (default) pada saat kita memasang/menginstal wordpress. Akhirnya saya menambahkan administrator baru di wordpress milik saya sebelum saya menghapus nama pengguna “admin” yang lama. Saya menggunakan nama admin yang 4l4y dan menggunakan kombinasi angka, huruf besar, huruf kecil, dan simbol pada sandi milik saya.

Langkah lain yang saya lakukan adalah membedakan pengguna akun administrator dengan akun author (penulis). Akun jenis admin sendiri tidak saya publikasikan dan hanya jenis pengguna author saja yang saya publikasikan.

3. Membuat Cadangan Blog di Control Panel

Langkah yang baru saja saya lakukan adalah membuat cadangan data (back up) wordpress saya dari hosting cpanel saya. Langkah ini saya lakukan hanya untuk berjaga-jaga saja. Kalau kurang paham bagaimana caranya, silakan minta bantuan ke hosting Anda.

Sekilas Keamanan WordPress.org

Pengamanan WordPress. Gambar:Page.ly

Pengamanan WordPress. Gambar:Page.ly

Memang salah satu kelemahan blog bermesin wordpress.org atau self host yakni seringnya penyusup atau pembajak berusaha mencoba masuk ke blog milik kita. Beda dengan blog bermesin blogspot/blogger atau wordpress.com. Lihat perbedaan antara wordpress dengan blogspot. Di wordpress.org banyak sekali aspek yang harus diamankan. Karena itu banyak yang menyarankan untuk menggunakan kata sandi yang berbeda-beda di masing akun yang terkait dengan wordpress. Baik itu sandi surat elektronik (email), sandi blog wp-admin, sandi hosting cpanel, dan sandi akun tempat kita menyewa hosting. Semua sandi tersebut sebaiknya berbeda-beda, khususnya sandi surel milik, itu merupakan sandi utama.

Tautan lain cara mengamankan blog wordpress yaitu:

  1. Dasar-dasar mengamankan blog wordpress.
  2. 21 cara mengamankan blog wordpress, tingkat lanjut drupadi.com/knowledgebase/66/Tips-Mengamankan-Website-Wordpress.html.
  3. “Cara tambahan mengamankan wordpress Anda” lihat di http://kangbudhi.blogdetik.com/keamanan-wordpress/

Pada dasarnya ini merupakan tindakan pencegahan saja. Tim wordpress sendiri mengatakan kalau mesin blog wordpress tidak mudah diserang. Hanya saja cukup banyak aspek atau akun yang terlibat di wordpress (domain, hosting, cpanel, tema/themes, plugin dsb). Hal inilah yang membuat wordpress jadi sasaran serangan (lihat gambar di atas). Kurang lebih demikian. Jangan lupa terus mengamankan dan mengganti sandi-sandi akun Anda. Agar blog kesayangan kita tidak disusupi atau di otak-atik oleh orang yang tidak bertanggung jawab.

48 Comments

  1. Jono 3 September 2016 19:24
    • Ridha Harwan 13 September 2016 06:17
  2. Ryan M. 29 Januari 2016 06:51
    • Ridha Harwan 30 Januari 2016 22:04
      • Ryan M. 31 Januari 2016 19:15
        • Ridha Harwan 31 Januari 2016 20:44
  3. Nat 8 April 2015 15:30
    • Ridha Harwan 18 April 2015 21:45
      • iwan 17 Januari 2016 23:51
        • Ridha Harwan 27 Januari 2016 07:44
  4. Muhammad Iqbal K 12 Februari 2015 20:16
    • Ridha Harwan 15 Februari 2015 16:52
  5. Achmad Fazri 31 Januari 2015 07:20
    • Ridha Harwan 1 Februari 2015 13:56
  6. fidah shah 28 Januari 2015 06:48
    • Ridha Harwan 29 Januari 2015 07:20
  7. Mbak Erna 27 Januari 2015 12:45
    • Ridha Harwan 28 Januari 2015 05:57
  8. dani maulana -- SiKarungGoni -- 27 Januari 2015 12:33
    • Ridha Harwan 28 Januari 2015 05:57
  9. santika 26 Januari 2015 23:43
    • Ridha Harwan 27 Januari 2015 06:57
  10. bengkel blogger 26 Januari 2015 17:01
    • Ridha Harwan 27 Januari 2015 06:43
    • Ridha Harwan 27 Januari 2015 06:43
  11. Info Menarik 26 Januari 2015 09:55
    • Ridha Harwan 27 Januari 2015 06:39
  12. Inkekura 26 Januari 2015 03:37
    • Ridha Harwan 26 Januari 2015 08:14
  13. cinta 25 Januari 2015 22:29
    • Ridha Harwan 26 Januari 2015 08:10
  14. DESA CILEMBU 25 Januari 2015 21:50
    • Ridha Harwan 26 Januari 2015 08:08
  15. Arie 25 Januari 2015 11:10
    • Ridha Harwan 26 Januari 2015 08:06
  16. Sucipto Kuncoro 25 Januari 2015 11:04
    • Ridha Harwan 26 Januari 2015 08:05
  17. yanto cungkup 25 Januari 2015 09:29
    • Ridha Harwan 26 Januari 2015 08:04
  18. buret 25 Januari 2015 02:45
    • Ridha Harwan 25 Januari 2015 06:31
      • buret 25 Januari 2015 12:10
        • Ridha Harwan 26 Januari 2015 08:08
  19. muzi 24 Januari 2015 22:57
    • Ridha Harwan 25 Januari 2015 06:28
      • yanto cungkup 25 Januari 2015 09:31
  20. Ramadani Idaham 24 Januari 2015 22:33
    • Ridha Harwan 25 Januari 2015 06:27

Leave a Reply