Wordpress Brute Force - Serangan brute force dikenal cukup ampuh bagi website yang tidak dikelola dengan keamanan yang baik, khususnya para pengelola website yang menggunakan password yang gampang ditebak karena alasan tertentu agar passwordnya mudah diingat padahal ada faktor keamanan website yang harus diperhatikan.
Banyak website saat ini mencari korban penyusupan konten judi online, dari website sekolah, kampus, komersil, pemerintah hingga militer pun sudah jadi korban penyusupan konten judi online. Meski begitu korban brute force rata-rata pengelola website yang kurang sadar akan keamanan data.
Salah satu cara untuk mengatasi serangan brute force dengan membatasi limit login pada wordpress memanfaatkan plugin Limit Login Attempts Reloaded.
Apa itu Plugin Limit Login Attempts Reloaded?
Limit Login Attempts Reloaded atau LLAR bekerja melindungi login dari serangan brute force, yang artinya serangan dengan mencoba menebak password berulang-ulang dengan wordlist yang biasanya akan disediakan penyerang. Plugin ini melindungi website dan menjaga performanya dengan membatasi jumlah login yang diperbolehkan. Plugin ini sudah digunakan oleh 2,5 juta pengguna aktif.
Cara Kerjanya Sederhana
Plugin ini akan otomatis memblokir IP atau username tertentu jika login yang gagal melebihi batas yang sudah ditetapkan. Dengan begitu potensi penyerang dapat masuk ke halaman admin semakin kecil.
Terdapat Versi Gratis dan Berbayar
Mulai dari 50 ribu sampai 5 juta untuk versi berbayar nya bisa langsung mampir ke halaman website limit login attempts reloaded. Versi gratis sudah lebih dari cukup jika kita hanya ingin menggunakan fitur limit login sedangkan untuk fitur optimasi performa ada di paket berbayar. Ada harga ada kualitas, seperti plugin ini yang bisa disingkat plugin LLAR.
Perbandingan Versi Gratis dan Berbayar
Versi gratis dan premium dari plugin keamanan ini menawarkan berbagai fitur untuk melindungi situs Anda dari upaya login yang mencurigakan atau berbahaya. Berikut penjelasannya dalam bahasa yang lebih sederhana:
Fitur Versi Gratis
- Batasan Login: Membatasi jumlah percobaan login yang gagal dari setiap alamat IP, mencegah terlalu banyak percobaan yang dapat menyebabkan peretasan.
- Pengaturan Waktu Kunci: Anda dapat mengatur berapa lama pengguna atau IP harus menunggu setelah dikunci karena terlalu banyak percobaan login yang gagal.
- Peringatan Percobaan Tersisa: Menampilkan informasi mengenai berapa kali lagi pengguna bisa mencoba login sebelum terkunci.
- Notifikasi Email Kunci: Memberitahu Anda lewat email jika ada pengguna yang terkunci karena terlalu banyak percobaan login yang gagal.
- Log Percobaan Ditolak: Menyimpan catatan semua percobaan login yang ditolak dan siapa yang terkunci.
- Safelist/Denylist IP & Username: Mengatur siapa yang boleh dan tidak boleh login berdasarkan username atau IP.
- Perlindungan Tambahan: Kompatibel dengan beberapa plugin populer seperti Sucuri, Wordfence, WooCommerce, dan Ultimate Member. Juga mendukung perlindungan dari serangan XMLRPC (serangan umum di WordPress).
- Kepatuhan GDPR: Sesuai aturan perlindungan data GDPR, sehingga lebih aman dalam penggunaan data pengguna.
- Dukungan untuk Multi-site: Berfungsi pada beberapa situs yang berada dalam satu jaringan, jika Anda menggunakan WordPress Multisite.
Fitur Versi Berbayar
- Pengoptimal Performa: Mengurangi beban server dengan mengelola login yang gagal, sehingga mempercepat kinerja situs.
- Mendeteksi IP Mencurigakan: Mendeteksi IP yang berulang kali mencoba login secara mencurigakan dan melacak aktivitas berbahaya untuk menghindari serangan brute force (serangan yang menggunakan banyak percobaan).
- Throttling yang Ditingkatkan: Semakin lama waktu kunci untuk setiap percobaan login gagal dari IP atau username yang mencurigakan.
- Memblokir Berdasarkan Negara: Memungkinkan Anda untuk memblokir login dari negara tertentu, sesuai pengaturan Anda.
- Daftar Otomatis IP yang Diblokir: Secara otomatis menambahkan IP yang berulang kali gagal login ke daftar blokir.
- Proteksi Daftar Blokir Global: Memanfaatkan data dari ribuan situs untuk memblokir IP yang diketahui berbahaya.
- Sinkronisasi Kunci Antar Domain: Anda bisa berbagi data IP yang terkunci antara beberapa situs di jaringan Anda, memperluas perlindungan.
- Log Login Sukses: Menyimpan catatan login sukses lengkap dengan info IP, kota, negara bagian, dan lokasi geografis.
- Backup Data IP: Memungkinkan Anda mengunduh data IP langsung dari cloud, termasuk log login sukses dan gagal.
- Unlock Admin: Jika admin terkunci, bisa dengan mudah dibuka kembali melalui cloud.
Penutup
Serangan brute force menjadi ancaman serius bagi website, terutama jika pengelola menggunakan password yang mudah ditebak demi kemudahan mengingat, tanpa mempertimbangkan faktor keamanan. Hal ini membuat situs rentan terhadap penyusupan, termasuk serangan untuk menyisipkan konten judi online, yang kini banyak mengincar berbagai jenis website, dari sekolah hingga pemerintah.
Untuk melindungi situs dari serangan seperti ini, salah satu langkah efektif adalah dengan membatasi jumlah percobaan login menggunakan plugin seperti Limit Login Attempts Reloaded di WordPress. Plugin ini membantu meminimalkan risiko brute force dengan membatasi percobaan login, sehingga keamanan data lebih terjaga.