Brute force WordPress atau upaya bertubi-tubi memaksa masuk secara ilegal ke wp-admin adalah hal yang kerap terjadi. Upaya paksa ini bisa ditangkal dengan beberapa plugin keamanan yang memiliki fitur firewall.
Ketika serangan brute force WordPress berlangsung, plugin firewall tersebut akan berusaha untuk menangkal serangan yang menyebabkan server hosting terbebani kinerjanya.
Untuk meringankan beban yang harus ditanggung oleh plugin firewall dan server hosting, kita bisa menggunakan bantuan firewall milik Cloudflare sebaga garda terdepan untuk menahan serangan brute force tersebut.
Firewall Cloudflare akan menjadi “tembok api” pertama yang akan menangkal serangan ini. Dan untuk menggunakannya tentu saja website WordPress Anda harus menggunakan Cloudflare terlebih dahulu.
Mengatasi Brute Force WordPress Dengan Firewall Cloudflare
Silahkan Anda masuk ke dashboard Cloudflare dan kemudian ke menu Firewall. Kita manfaatkan “kemurahan” Cloudflare dimana versi gratis kita bisa memanfaatkan 5 rules dengan cuma-cuma.
√ Amankan wp-login
Langkah pertama Anda harus mengamankan halaman wp-login.php yang selalu menjadi sasaran utama brute force WordPress.
- Beri nama rules, disini saya memberi nama wp-login
- Field = URI, Operator = equals, Value = /wp-login.php
- Then = pilih Challenge (Captcha)
Setelah itu Deploy.
√ Amankan xmlrpc.php
Jalur lain yang harus diamankan adalah file xmlrpc.php karena ini bisa menjadi pintu masuk lain untuk mengacak-acak WordPress.
Dua rules firewall diatas perlu Anda terapkan untuk menangkal brute force pada WordPress. Ketika serangan terjadi, bot atau aplikasi untuk brute force harus melalui captcha terlebih dahulu untuk mengakses dua halaman tersebut. Dan captcha sejauh ini masih sangat efektif untuk menangkal bot atau aplikasi yang digunakan untuk brute force ini.
Jika ada yang mencoba mengakses halaman yang sudah dimasukkan di firewall hasilnya akan seperti gambar berikut ini.
√ BONUS
Fitur diatas bisa Anda aplikasikan dalam 1 rule firewall yang lebih praktis. Anda bisa menggunakan rule berikut ini untuk blokir brute force WordPress.
Masukkan kode berikut di kotak Use expression builder.
((http.request.uri.path contains "/xmlrpc.php") or (http.request.uri.path contains "/wp-login.php") or (http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains " /wp-admin/theme-editor.php"))
Rule diatas akan mengamankan xmlrpc.php, wp-login.php dan wp-admin dengan memberikan tantangan captcha kecuali akses menuju admin-ajak.php dan theme-editor.php.
Anda juga bisa mengamankan halaman wp-admin untuk IP tertentu. Seandainya Anda hanya memperbolehkan akses ke halaman wp-admin untuk IP 123.123.123.123 maka penggunaannya sebagai berikut.
Dari rules diatas maka akan berlaku bagi siapapun yang akses ke halaman wp-admin selain dari IP 123.123.123.123 maka akan diblokir.
Kesimpulan
Dengan menerapkan rules sederhana diatas, website WordPress Anda diharapkan bisa melakukan blokir brute force WordPress dengan bantuan firewall milik Cloudflare. Lebih baik berusaha mencegah sebelum terjadi hal yang berbahaya bagi website Anda.