Arsip

Gunakan Kunci Ganda Pada Situs WordPress Anda

wordpress-lock

Dear pelanggan indoglobal.com,

Kami informasikan bahwa penyebab paling utama masalah keamanan situs web saat ini adalah penggunaan password yang lemah. Salah satu target utama yang menjadi incaran pembobol adalah situs web berbasis WordPress.

Kami mencoba melakukan eksperimen dengan cara menginstal WordPress dengan menggunakan username ‘admin’ dan password ‘admin’. Hasilnya, situs web bobol tidak lebih dari 3 jam.

Untuk itu kami menyarankan hal-hal tersebut ini:

  • Tidak menggunakan ‘admin’ sebagai username. Gunakan misalnya ‘admin321423′ atau ‘namasaya’. Mayoritas pembobol akan pertama kali mencoba ‘admin’ sebagai username.
  • Menggunakan password yang kuat. Gunakan kombinasi huruf besar, huruf kecil, angka dan tanda baca dalam membuat password anda.

Selain itu kami juga menyarankan untuk menggunakan kunci ganda. Suntinglah file .htaccess dan tambahkan baris-baris di bawah ini:

<Files "wp-login.php">
Require valid-user
</Files>

Dengan cara ini, jika anda mencoba untuk login, maka anda akan ditanya password tambahan melalui HTTP authentication. Gunakan alamat email apa saja pada akun anda untuk login, dengan password email tersebut.

Untuk informasi lebih lanjut mengenai HTTP authentication, silakan lihat topik dokumentasi kami Otentikasi HTTP.

Keamanan Tambahan Bagi CMS Anda Dengan HTTP Authentication

Sebagai provider hosting, server-server kami menerima serangan secara periodik. Salah satu jenis serangan yang paling populer adalah ‘brute force attack’.

Pada ‘brute force attack’, penyerang melakukan percobaan login secara berkali-kali dengan username dan password yang umum digunakan, dengan tujuan untuk mengetahui username dan password yang kita gunakan.

Salah satu target serangan yang populer adalah URL login, misalnya wp-login.php pada CMS WordPress atau /administrator/index.php pada Joomla. Berdasarkan perhitungan kami, setiap detik ada saja yang mengakses URL-URL tersebut.

Continue reading

‘Brute Force Attack’ terhadap WordPress

Dear pelanggan indoglobal.com,

Dalam beberapa hari terakhir ini beberapa pelanggan kami mengalami serangan ‘brute force attack’. Target dari serangan ini adalah instalasi WordPress, terutama script wp-login.php. Volume serangan sangat banyak, yaitu puluhan request per detik, dan bahkan pernah mencapai ratusan per detik. Serangan dilakukan dari banyak IP (botnet), sehingga sulit bagi kami untuk memblokirnya di level jaringan.

Karena serangan ini sangat mempengaruhi kinerja layanan kami, bagi pelanggan yang mengalami serangan ini, kami akan menonaktifkan script wp-login.php untuk sementara. Selama script dinonaktifkan, pengguna tidak akan dapat melakukan login ke halaman admin WordPress, tetapi paling tidak situs web tetap dapat diakses secara normal. Script wp-login.php akan kami aktifkan kembali setelah volume serangan berkurang.

Menghadapi Serangan Masal Terhadap Situs WordPress

Kami informasikan bahwa saat ini sedang terjadi serangan besar-besaran terhadap situs yang menggunakan WordPress. Bentuk serangan ini adalah percobaan menggunakan berbagai macam kombinasi username dan password untuk menembus bagian admin dari situs WordPress.

Untuk mencegah terjadinya hal-hal yang tidak diinginkan, kami imbau kepada pelanggan yang menggunakan CMS WordPress untuk melakukan hal-hal di bawah ini:

  • Melakukan pembaruan WordPress ke versi terbaru, beserta plugin dan juga themesnya.
  • Mengganti password menjadi lebih sulit untuk ditebak. Gunakan kombinasi huruf besar, huruf kecil, angka dan karakter tanda baca untuk hasil terbaik.

Untuk tingkat keamanan  yang lebih baik, kami sarankan untuk memproteksi direktori /wp-admin/ dengan menggunakan HTTP authentication. Selain mengurangi risiko peretasan, ini juga akan mengurangi beban dari serangan masal yang bertubi-tubi.

Untuk pengguna sistem baru, buatlah file .htaccess di dalam direktori wp-admin yang berisi “Require valid-user” (tanpa tanda kutip). Setelah itu, untuk login ke bagian admin WordPress, anda akan ditanyakan password tambahan, gunakan alamat email dan passwordnya untuk login. Gunakan alamat email apa saja yang terdaftar pada domain anda. Informasi lebih lanjut di manual: Otentikasi HTTP.

Untuk pengguna sistem lama, silakan baca Access Control Configuration untuk informasi lebih lanjut.