Melindungi WordPress Dari Brute Force Dengan Cloudflare

Salah satu keamanan yang wajib Anda perhatikan ketika mengurus website apapun CMS yang digunakan adalah serangan brute force. WordPress adalah salah satu sasaran empuk brute force. Berikut ini tips melindungi WordPress dari brute force dengan bantuan Cloudflare.

Brute force sebenarnya adalah teknik “tradisional” yang hingga saat ini masih digunakan oleh oknum usil untuk melakukan akses ilegal ke halaman login secara terus menerus. Tujuan utamanya tentu berusaha mendapatkan akses masuk ke dashboard pengelolaan website.

WordPress sebagai salah satu CMS terpopuler adalah sasaran empuk brute force. Efek percobaan bertubi-tubi ini bisa saja dilakukan secara manual atau menggunakan tools dan bantuan bot.

Proses brute force pada WordPress akan menyasar halaman berikut ini:

  • /wp-login.php
  • /wp-admin

Ketika situs WordPress Anda mengalami percobaan mengakses halaman login secara paksa serta terjadi secara bertubi-tubi, salah satu dampak buruknya adalah server hosting akan terbebani dan situs akan terpengaruh alias lemot.

Untungnya sudah tersedia berbagai cara untuk menangkal brute force pada situs berbasis WordPress. Dan yang paling populer tentu saja dengan menggunakan bantuan plugin security.

Tapi…

Melindungi WordPress dari brute force dengan bantuan plugin keamanan atau firewall sebenarnya memiliki kelemahan. Dan semua ini terkait dengan performa server hosting.

Katakanlah WordPress Anda sudah terlindungi dari brute force dengan plugin firewall. Plugin sudah berjalan dengan fantastis melindungi dari proses brute force, namun tetap saja plugin akan menggunakan sumber daya dari server hosting yang digunakan.

Kecenderungannya, CPU server yang Anda gunakan akan bekerja keras. Bayangkan jika percobaan brute force dilakukan dengan menggunakan bot yang berasal dari ratusan alamat IP yang berbeda, tentu sumber daya server yang digunakan akan termakan habis oleh plugin yang berusaha menangkal percobaan brute force tersebut.

Resikonya? Situs WordPress Anda akan mengalami lemot dan yang lebih buruk lagi adalah down. Tidak efektif kan jadinya?

Untungnya ada solusi yang lebih efektif. Kita akan menggunakan bantuan dari “sahabat” terbaik kita di dunia website yaitu Cloudflare.

Selain dikenal sebagai penyedia CDN gratis, mereka memberikan kemurahan hati yang lain yaitu fitur Firewall dan Page Rules yang sangat powerful serta gratis. Ingat, sekali lagi fitur gratis! Namun tetap dengan batasan tertentu.

Untuk melanjutkan, saya harap Anda sudah menggunakan layanan Cloudflare di WordPress Anda.

Page Rules

Langkah pertama kita akan membuat beberapa page rules untuk menangkal percobaan brute force. Karena brute force menyasar halaman login, buatlah page rules dengan pengaturan berikut ini.

Amankan halaman wp-login.php dengan page rules berikut.

Melindungi WordPress Dari Brute Force
Amankan wp-login.php

Rules ke dua untuk mengamankan halaman wp-admin, buat pengaturan seperti berikut ini.

Melindungi WordPress Dari Brute Force
Amankan wp-admin

Rules ke 3 adalah menambahkan ekstra blokir untuk mengamankan file xmlrpc.php yang kerap menjadi jalan untuk hacker melakukan percobaan penyusupan yang lain.

Khusus untuk file xmlrpc.php ada dua pilihan yang bisa Anda lakukan:

  1. Jika Anda menggunakan plugin Jetpack atau aplikasi WordPress versi mobile, atur security level ke high.
  2. Jika Anda tidak menggunakan yang disebutkan di no 1, maka atur ke I’m Under Attack.
Melindungi WordPress Dari Brute Force
Amankan file xmlrpc.php

Jadi Anda akan memiliki 3 Page Rules seperti berikut ini.

Melindungi WordPress Dari Brute Force
3 Page Rules untuk mengatasi brute force

Hasilnya, inilah yang akan terjadi ketika seseorang atau bot melakukan percobaan untuk mengakses 3 halaman yang sudah dimasukkan page rules.

Melindungi WordPress Dari Brute Force
Hasil page rules Cloudflare

Hal di atas hanya terjadi ketika terjadi akses ke halaman wp-login.php, wp-admin dan xmlrpc.php (tidak terjadi di halaman depan atau front end yang diakses oleh pengunjung).

Firewall

Alternatif lain untuk melindungi WordPress dari brute force adalah dengan menggunakan fitur firewall Cloudflare. Anda boleh menggunakan cara ini dan bisa menggunakan fitur page rules seperti yang sebelumnya.

Jika Anda sudah menghabiskan kuota page rules Anda untuk fokus ke caching dan CDN, penggunaan firewall ini akan sangat membantu.

Kita akan mengamankan halaman wp-admin, wp-login.php dan xmlrpc.php dengan 1 rule firewall berikut ini.

  • Rule name: silahkan beri nama terserah Anda.
  • Klik “edit expression” dan kemudian masukkan string berikut ini.
((http.request.uri.path contains "/xmlrpc.php") or (http.request.uri.path contains "/wp-login.php") or (http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains " /wp-admin/theme-editor.php"))
  • Then… -> Choose an action: Challenge (Captcha) atau JS Challenge.

Seperti berikut ini pengaturan firewall Cloudflare untuk melindungi WordPress dari brute force.

Melindungi WordPress Dari Brute Force
Konfigurasi firewall Cloudflare untuk blokir brute force

Karena saya memilih metode filter dengan Challenge (Captcha), maka ketika halaman login diakses akan muncul permintaan captcha seperti berikut ini.

Melindungi WordPress Dari Brute Force
Filter captcha untuk mengantisipasi brute force

Atau jika memilih JS Challenge, maka akan muncul seperti berikut ini.

Melindungi WordPress Dari Brute Force
Firewall dengan JS Challenge untuk

Ingat, filter di atas hanya muncul ketika akses ke halaman login saja dan tidak akan tampil di halaman utama (front end) sehingga tidak menganggu pengunjung.

Mana yang harus Anda pilih? Keduanya sama-sama efektif untuk melindungi serangan brute force. Silahkan pilih saja mana yang menurut Anda paling menyusahkan.

Cara Setting All In One WP Security [Terbaru 2021] » WPNesia
Salah satu upaya meningkatkan keamanan WordPress adalah menggunakan plugin All In One WP Security. Bagaimana cara setting All In One WP Security yang ideal?
www.wpnesia.id

Kesimpulan

Brute force adalah metode kuno untuk menyerang website namun tetap saja akan menyusahkan jika tidak diantisipasi dengan tepat dan efektif. Melindungi WordPress dari brute force dengan menggunakan bantuan Cloudflare adalah pilihan yang efektif karena meringankan penggunaan sumber daya server hosting yang kita gunakan.

8 pemikiran pada “Melindungi WordPress Dari Brute Force Dengan Cloudflare”

  1. siap 😁 makasih gan jawabannya …. soal e pusing 🤣 kadang kumat jadi lemot ….

    berarti wpnesia server gcp jakarta + dns only cloudflare + cukup cache gitu saja ya … tanpa cdn + penunda script adsense

    soal aku perhatikan wpnesia loadingnya wus2 he he …. 😁👍

    Balas
      • wpnesia panduannya mantab, admin respon komentar juga joss 😍

        hasil baca2 wpnesia …
        permintaan web di bawah 20 request, hijau skor 100 di webpagetest org, pingdom, gtmatrix, pagespeed 🤩🤩 pokok e super mantab 👍

        makasih min 🙏

        monggo yg mau cek hasil nya
        👉 jalaksuren dot net 😁

        Balas
  2. boleh tahu wpnesia pakai cdn apa ya gan 😁 … punya aku pakai clodflare gratisan di akses kadang lemot kadang lancar … apa masih ada masalah dengan telkomnya ya … di aku pakai DO standar nvme + cf

    Balas
    • Tidak pakai CDN karena lokasi server sudah di Indonesia. Sayangnya, DO dan Cloudflare keduanya sedang bermasalah dengan beberapa provider di Indonesia terutama Telkom. Saya juga ada DO Nvme premium yang kondisinya beberapa kali bermasalah jika diakses menggunakan mobile data Telkomsel (kadang lancar, kadang kumat). Saran saya lepas saja CF daripada merugikan (bikin lemot). Mending cari lokasi hosting sesuai target pengunjung.

      Balas
  3. Request artikel baru dong untuk membuat kolom komentar seperti blog idnpure * com kak. Pleasseeeeee

    Balas

Tinggalkan komentar