Beberapa sumber situs besar terpercaya telah mengkonfirmasi bahwa ada serangan brute force massal yang ditujukan untuk situs WordPress dan Joomla. HostGator, InMotion, Liquidweb dan web hosting lainnya sudah mengkonfirmasi bahwa beberap pelanggan mereka terkena serangan tersebut. Botnet hacker mengandung lebih dari 90 ribu IP address yang berbeda dan mereka mengincar pemula di WordPress yang membuat kesalahan yang umum. Seperti terdengar menakutkan, tapi kami akan memberikan beberapa tips untuk mengurangi peluang hack situs WordPress dengan serangan brute force.
1. Jangan Gunakan username bawaan: admin
Seringkali pemula menggunakanusername yang sangat umum seperti admin, administrator, test, root dan lain-lain. Jika username WordPress Anda menggunakan admin, disarankan mengubahnya sekarang.
2. Menggunakan Password yang Sulit Ditebak
Anda perlu menggunakan password yang sulit ditebak oleh orang lain karena serangan brute force mencoba untuk mengira-ngira password yang umum digunakan oleh banyak orang. Password yang kuat terdiri dari huruf besar-kecil, angka dan simbol. Jangan pakai password yang sama di lebih dari 1 situs. Tidak ada kata terlambat untuk mengubah password tersebut dan untuk memudahkan mengingatnya, Anda bisa memakai tool seperti 1Password atau LassPass.
3. Backup Situs secara Teratur
Keamanan terbaik yang anda bisa miliki adalah membackup situs secara teratur. Kami menggunakan layanan backup berbayar seperti VaultPress dengan bayaran bulanan. Jika Anda tidak ingin membayar bulanan, maka kami sangat merekomendasikan untuk menggunakan BackupBuddy. Akan lebih baik lagi jika web hosting Anda menyediakan layanan backup otomatis secara gratis di cPanel-nya.
4. Gunakan Two Factor Authentication
Mulai gunakan two-factor authentication. Dengan cara ini jika ada seseorang yang memasukkan password Anda dengan benar maka ia tetap tidak dapat masuk ke situs Anda karena mereka akan diminta untuk memasukkan kode keamanan. Kami rekomendasikan bahwa Anda melakukanya sekarang juga.
5. Lindungi Password WP-Admin dan Batasi Maksimal Usaha Login
Kami merekomendasikan untuk membatasi usaha login yang bisa dilakukan jika berkali-kali salah memasukkan password. Bagaimanapun, jika hanya dengan cara no 5 ini saja tidak bisa melindungi semua serangan karena botnet yang dipakai untuk serangan brute force memiliki 90 ribu IP address yang berbeda. Hal lain yang bisa Anda lakukan adalah melindungi direktori WP-admin Anda dengan memberikan password. Anda juga bisa membatasi file wp-login.php ke IP address tertentu.
6. Gunakan Sucuri
Jika Anda belum pernah memakai Sucuri, maka kami sangat merekomendasikan Anda untuk mulai memakai Sucuri. Mereka selalu berada selangkah lebih maju soal keamanan WordPress.
Kami tidak yakin dengan tujuan akhir serangan brute force massal ini, tapi kami tidak suka jika ada pengguna baru di WordPress yang terkena serangan tersebut. Selamat mencoba! 😉
