|

Mencegah brute force pada WordPress

Salah satu website klien saya yang menggunakan shared hosting cPanel sedang dibanjiri usaha login dari alamat IP Ukraina dan Russia. Efeknya sih masih belum terbobol, tapi akses situsnya jadi sangat lambat dan muncul Connection Timed Out atau Internal Server Error. Untungnya ini hostingnya di saya sendiri jadi tidak dimatikan atau ditendang keluar.

Bisa dikatakan yang saya ajarkan adalah pertolongan pertama mengatasi brute force password pada WordPress. Yang dilindungi tentunya adalah wp-admin dan wp-login. Saya akan memanfaatkan .htaccess agar diproses oleh web server supaya lebih cepat dibandingkan pakai solusi PHP.

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^192.168.1.12
RewriteRule ^(.*)$ – [R=403,L]

Saya ingatkan dulu, ini adalah cara manual untuk memblokir akses (respon 403 Forbidden) ke halaman yang ditentukan (wp-login dan wp-admin) apabila bukan dari alamat IP yang diijinkan. Terus bagaimana kita login? Dengan sangat terpaksa kita akan mengedit isi file htaccess setiap kali ingin masuk ke administrasinya. Ini karena sistem ISP di Indonesia menggunakan IP public dinamis yang akan berubah – ubah setiap sesinya, kecuali anda punya IP statis. Jadi memang sangat repot sekali.

Tapi untuk solusi alternatifnya bisa pakai:

  • WordFence atau iThemes Security. Plugin keamanan WordPress keduanya, tapi pilih salah satu saja.
  • Dalam cPanel bisa kita beri password untuk mengakses konten tertentu.
  • Atau pakai CloudFlare dan atur firewallnya.

8 Comments

  1. vps sya msh bnyk rto nya saya cek dg ip yg 1 server misal ip vps saya 192.168.10.1 dg 192.168.10.2 punya sya rto tpi yg 192.168.10.2 lancar.. brti vps sya bermasalah di apanya ya mas ?

    1. Jangan pakai ping saja mbak kalau mau diagnosa masalah konektivitas VPS.

      Di Windows ada perintah tracert silahkan dicoba dulu. Nanti kelihatan di tahap apa ada masalahnya, di jaringan ISP anda atau memang dari VPSnya.

  2. salam pak chandra

    dulu saya pindah dari server hosting juga kebanjiran log dan pernah 2 kali kecolongan login karena user dan pass terlalu singkat

    sesudah pindah vps masih kebanjiran log apakah ada solusi lain seperti hide ip origin server supaya aman , selain pakai cloudflare apakah ada cara lainnya dari yang free service sampai harga masih terjangkau

    regards
    jo_d

    1. Mas butuh SSL gratisnya dari CloudFlare? Kalau tidak maka saya rekomendasi Login Protect dari Incapsula, fungsinya setiap kali ada yang berusaha login wajib konfirmasi lewat email dulu. Jadi walau si hacker tahu apa username dan passwordnya ya tetap aman karena akan diblokir sekana belum verifikasi sesinya.

  3. Saya udah coba kasih password di cPanel, apakah ini akan efektif mas? Sebelumnya saya sempat tambah “Satisfy any”. Tapi nggak hilang bruteforce-nya. Bagaimana?

    1. Install plugin WordPress untuk menyembunyikan/mengganti link login mbak.

      Kemudian pakai CloudFlare kalau belum.

      Ini pakai server sendiri atau shared host ya?

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *