Hai, Sobat Jagoan! Serangan brute force adalah salah satu ancaman paling umum terhadap situs WordPress. Brute force merupakan suatu aksi yang mencoba menebak username dan password secara otomatis hingga berhasil masuk. Jika berhasil, pelaku bisa mengambil alih akun dan mengontrol seluruh situs.
Nah, banyaknya request permintaan login dalam waktu singkat bisa memperlambat situs bahkan bisa menjadikannya tidak bisa diakses. Ini bisa jadi ancaman yang serius, Sob. Oleh karena itu, sekarang mari memulai langkah-langkah mencegah serangan brute force pada WordPress melalui Cloudlfare.
Langkah-Langkah Mencegah WordPress Brute Force Melalui Cloudflare
STEP 1: Login ke pengaturan domain kamu di Cloudflare > pilih menu Rules > Page Rules lalu klik Create Page Rule.
URL yang perlu diamankan umumnya adalah:
- wp-login.php
- wp-admin
- php
Rule yang ditambahkan pada pengaturan adalah Browser Integrity check: On
Pastikan URL yang kamu masukkan sudah sesuai dengan URL WordPress. Jika sudah klik Save and Deploy Page Rule.
Tambahan
Apabila ada satu domain yang memiliki banyak instalasi pada subfolder, kamu bisa mengamankan dengan satu rule. Caranya dengan menggunakan karakter wildcard pada URL.
Contoh:
example.com/*login.php
Untuk mengamankan semua wp-login pada domain example.com/
example.com/*admin/
Untuk mengamankan file yang berkaitan dengan wp-admin.
example.com/*mlprc.php
Untuk mengamankan bagian xmlpc.php.
Tetapi, cara blokir melalui Page Rules ini kurang spesifik untuk memblokir brute force, Sob karena setting ini hanya memeriksa HTTP headers dan perilaku request yang berlaku untuk semua halaman domain. Jika terdeteksi mencurigakan (misalnya bot jahat, header tidak standar, request dari tools otomatis), Cloudflare akan langsung blok.
Setelah ini, kami akan menjelaskan langkah mencegah brute force dengan cara yang lebih efisien. Simak jangan sampai kelewatan, ya!
Layanan Cloudflare berkembang dengan menawarkan opsi lebih modern dan efisien untuk memblokir brute force. Caranya bisa kamu ikuti langkah-langkah berikut:
STEP 1: Login ke pengaturan domain kamu di Cloudflare > pada menu Security pilih WAF klik tab Custom Rules > Create rule untuk membuat rule baru.
STEP 2: Di sini masukkan kondisi yang diinginkan yaitu memblokir brute force pada URL path yang umumnya diamankan seperti yang sudah dibahas sebelumnya.
STEP 3: Pada bagian Take action pilih opsi proteksi yang diinginkan. Artikel ini merekomendasikan pilih Managed Challenge dimana Cloudflare nanti akan memberi challenge captcha pada request mencurigakan.
Jika setting sudah selesai, klik Deploy untuk mengaktifkan rule.
STEP 4: Tambahkan kombinasi setting Rate Limiting Rules untuk membatasi jumlah request ke URL path dalam batasan waktu tertentu. Masuk menu Security > WAF > pilih tab Rate Limiting Rules lalu Create rule untuk menambahkan rule.
Rule yang ditambahkan sama dengan sebelumnya.
STEP 5: Lalu, pada bagian IP Based, When rate exceeds, dan Action akan disetting seperti ini.
Artinya apabila ada satu IP yang terdeteksi spam yang diberi batasan request sebanyak 5 dalam kurun waktu 10 detik maka akan langsung diblok. Klik Deploy untuk menjalankan rule.
Demikian cara mencegah brute force WordPress menggunakan Cloudflare, selamat mencoba, Sob.
Rekomendasi artikel untuk mengamankan WordPress melalui Cloudflare ada di sini:
Kalau ada yang masih bikin bingung, jangan ragu hubungi Tim Support Jagoan Hosting melalui Live Chat atau Open Ticket, Sob! Simak terus tips-tips dari Jagoan Hosting di laman Pusat Tutorial Hosting dan Domain Jagoan Hosting Indonesia. Good luck!