Blokir Brute Force WordPress Dengan Firewall Cloudflare

Posted on

Brute force WordPress atau upaya bertubi-tubi memaksa masuk secara ilegal ke wp-admin adalah hal yang kerap terjadi. Upaya paksa ini bisa ditangkal dengan beberapa plugin keamanan yang memiliki fitur firewall.

Ketika serangan brute force WordPress berlangsung, plugin firewall tersebut akan berusaha untuk menangkal serangan yang menyebabkan server hosting terbebani kinerjanya.

Untuk meringankan beban yang harus ditanggung oleh plugin firewall dan server hosting, kita bisa menggunakan bantuan firewall milik Cloudflare sebaga garda terdepan untuk menahan serangan brute force tersebut.

Firewall Cloudflare akan menjadi “tembok api” pertama yang akan menangkal serangan ini. Dan untuk menggunakannya tentu saja website WordPress Anda harus menggunakan Cloudflare terlebih dahulu.

Baca juga: Cara Setting Cloudflare di WordPressDanusyakti.com

Mengatasi Brute Force WordPress Dengan Firewall Cloudflare

Silahkan Anda masuk ke dashboard Cloudflare dan kemudian ke menu Firewall. Kita manfaatkan “kemurahan” Cloudflare dimana versi gratis kita bisa memanfaatkan 5 rules dengan cuma-cuma.

√ Amankan wp-login

Langkah pertama Anda harus mengamankan halaman wp-login.php yang selalu menjadi sasaran utama brute force WordPress.

Blokir Brute Force WordPress Dengan Firewall Cloudflare
Blokir wp-login.php melalui Firewall Cloudflare
  1. Beri nama rules, disini saya memberi nama wp-login
  2. Field = URI, Operator = equals, Value = /wp-login.php
  3. Then = pilih Challenge (Captcha)

Setelah itu Deploy.

Amankan xmlrpc.php

Jalur lain yang harus diamankan adalah file xmlrpc.php karena ini bisa menjadi pintu masuk lain untuk mengacak-acak WordPress.

Blokir Brute Force WordPress Dengan Firewall Cloudflare
Blokir xmlrpc.php firewall Cloudflare

Dua rules firewall diatas perlu Anda terapkan untuk menangkal brute force pada WordPress. Ketika serangan terjadi, bot atau aplikasi untuk brute force harus melalui captcha terlebih dahulu untuk mengakses dua halaman tersebut. Dan captcha sejauh ini masih sangat efektif untuk menangkal bot atau aplikasi yang digunakan untuk brute force ini.

Jika ada yang mencoba mengakses halaman yang sudah dimasukkan di firewall hasilnya akan seperti gambar berikut ini.

Blokir Brute Force WordPress Dengan Firewall Cloudflare
Hasil penggunaan firewall Cloudflare

√ BONUS

Fitur diatas bisa Anda aplikasikan dalam 1 rule firewall yang lebih praktis. Anda bisa menggunakan rule berikut ini untuk blokir brute force WordPress.

Blokir Brute Force WordPress Dengan Firewall Cloudflare
1 rule blokir brute force WordPress dengan firewall Cloudflare

Masukkan kode berikut di kotak Use expression builder.

((http.request.uri.path contains "/xmlrpc.php") or (http.request.uri.path contains "/wp-login.php") or (http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains " /wp-admin/theme-editor.php"))

Rule diatas akan mengamankan xmlrpc.php, wp-login.php dan wp-admin dengan memberikan tantangan captcha kecuali akses menuju admin-ajak.php dan theme-editor.php.

Anda juga bisa mengamankan halaman wp-admin untuk IP tertentu. Seandainya Anda hanya memperbolehkan akses ke halaman wp-admin untuk IP 123.123.123.123 maka penggunaannya sebagai berikut.

Blokir Brute Force WordPress Dengan Firewall Cloudflare
Lindungi wp-admin dengan Firewall Cloudflare

Dari rules diatas maka akan berlaku bagi siapapun yang akses ke halaman wp-admin selain dari IP 123.123.123.123 maka akan diblokir.

Baca juga: Blokir Komentar Spam Di WordPress Tanpa Plugin

Kesimpulan

Dengan menerapkan rules sederhana diatas, website WordPress Anda diharapkan bisa melakukan blokir brute force WordPress dengan bantuan firewall milik Cloudflare. Lebih baik berusaha mencegah sebelum terjadi hal yang berbahaya bagi website Anda.