Mencegah brute force pada WordPress
Salah satu website klien saya yang menggunakan shared hosting cPanel sedang dibanjiri usaha login dari alamat IP Ukraina dan Russia. Efeknya sih masih belum terbobol, tapi akses situsnya jadi sangat lambat dan muncul Connection Timed Out atau Internal Server Error. Untungnya ini hostingnya di saya sendiri jadi tidak dimatikan atau ditendang keluar.
Bisa dikatakan yang saya ajarkan adalah pertolongan pertama mengatasi brute force password pada WordPress. Yang dilindungi tentunya adalah wp-admin dan wp-login. Saya akan memanfaatkan .htaccess agar diproses oleh web server supaya lebih cepat dibandingkan pakai solusi PHP.
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^192.168.1.12
RewriteRule ^(.*)$ – [R=403,L]
Saya ingatkan dulu, ini adalah cara manual untuk memblokir akses (respon 403 Forbidden) ke halaman yang ditentukan (wp-login dan wp-admin) apabila bukan dari alamat IP yang diijinkan. Terus bagaimana kita login? Dengan sangat terpaksa kita akan mengedit isi file htaccess setiap kali ingin masuk ke administrasinya. Ini karena sistem ISP di Indonesia menggunakan IP public dinamis yang akan berubah – ubah setiap sesinya, kecuali anda punya IP statis. Jadi memang sangat repot sekali.
Tapi untuk solusi alternatifnya bisa pakai:
- WordFence atau iThemes Security. Plugin keamanan WordPress keduanya, tapi pilih salah satu saja.
- Dalam cPanel bisa kita beri password untuk mengakses konten tertentu.
- Atau pakai CloudFlare dan atur firewallnya.
cara cek kecepatan vps dengan apa mas ?
Kecepatan dari segi apa mbak?
vps sya msh bnyk rto nya saya cek dg ip yg 1 server misal ip vps saya 192.168.10.1 dg 192.168.10.2 punya sya rto tpi yg 192.168.10.2 lancar.. brti vps sya bermasalah di apanya ya mas ?
Jangan pakai
ping
saja mbak kalau mau diagnosa masalah konektivitas VPS.Di Windows ada perintah
tracert
silahkan dicoba dulu. Nanti kelihatan di tahap apa ada masalahnya, di jaringan ISP anda atau memang dari VPSnya.salam pak chandra
dulu saya pindah dari server hosting juga kebanjiran log dan pernah 2 kali kecolongan login karena user dan pass terlalu singkat
sesudah pindah vps masih kebanjiran log apakah ada solusi lain seperti hide ip origin server supaya aman , selain pakai cloudflare apakah ada cara lainnya dari yang free service sampai harga masih terjangkau
regards
jo_d
Mas butuh SSL gratisnya dari CloudFlare? Kalau tidak maka saya rekomendasi Login Protect dari Incapsula, fungsinya setiap kali ada yang berusaha login wajib konfirmasi lewat email dulu. Jadi walau si hacker tahu apa username dan passwordnya ya tetap aman karena akan diblokir sekana belum verifikasi sesinya.
Saya udah coba kasih password di cPanel, apakah ini akan efektif mas? Sebelumnya saya sempat tambah “Satisfy any”. Tapi nggak hilang bruteforce-nya. Bagaimana?
Install plugin WordPress untuk menyembunyikan/mengganti link login mbak.
Kemudian pakai CloudFlare kalau belum.
Ini pakai server sendiri atau shared host ya?