Cara Membatasi Gagal Login di WordPress Self Hosting

Posted on
Catatan Belajar
Cara Membatasi Gagal Login di Wordpress Self Hosting 2
Gambar oleh Werner Moser dari Pixabay

Salah satu cara yang digunakan para hacker atau cracker ketika mencoba masuk ke blog/website yang menggunakan CMS WordPress adalah dengan mencoba-coba kombinasi user dan password.

Cara Membatasi Gagal Login di Wordpress Self Hosting 3

Ketika pertama kali instalasi, wordpress tidak membatasi jumlah kesalahan ketika kita mengalami gagal login. Celah inilah yang digunakan untuk mencoba masuk ke dalam blog atau website kamu, dengan melakukan percobaan login secara terus menerus.

Ah kan blog baru, masa sudah ada yang ngehack? Awalnya saya pun berpikir seperti itu, tetapi ternyata beberapa kali membuat blog dengan CMS WordPress, seringkali serangan itu datang ketika blog/website masih terbilang baru, bahkan ketika belum ada postingannya sekalipun.

Baca juga :
Cara Mengurangi Brute Force Attack di WordPress
Cara Backup WordPress ke Cloud Storage
10 Web Hosting Gratis

Serangan ini dikenal dengan nama brute force attack, di mana si penyerang hanya mencoba kombinasi user dan password untuk login. Sang penyerang biasanya menggunakan bot atau script untuk menjalankan aksinya.

Tidak adanya pembatasan gagal login di instalasi standard wordpress membuat bot atau script mereka dapat berjalan 24 jam tiada henti.

Bagaimana Cara Membatasi Gagal Login?

Salah satu cara untuk mengurangi serangan ini adalah dengan menambahkan pengamanan yaitu membatasi gagal login. Cara termudah adalah dengan menggunakan plugin.

Ada banyak plugin yang dapat dipilih di wordpress.org, untuk kali ini saya mencoba plugin loginizer versi gratisnya.

Setelah menginstall dan mengaktifasi plugin loginizer, kita harus masuk ke dalam pengaturan di menu dashboard wordpress Loginizer Security >> Brute Force, akan tampil pengaturan untuk mengurangi Brute Force Attack

Cara Membatasi Gagal Login di Wordpress Self Hosting 4
Setting Brute Force Attack Loginizer

Kamu dapat mengubah pengaturan sesuai dengan kebutuhan blog/website kamu, seperti :

  • Max Retries, isi dengan angka maksimum gagal login sebelum di lockout (tidak dapat mencoba login lagi sebelum masa lockout time selesai). Ketika di isi 3, maka ketika 3 kali gagal login, user harus menunggu selama lockout time sebelum bisa mencoba login lagi.
  • Lockout Time, waktu tunggu sebelum user dapat mencoba login kembali. Kita dapat isi sesuai kebutuhan, bisa 10 menit, 30 menit, atau berapa pun waktunya.
  • Max Lockouts, jumlah maksimum lockouts sebelum waktu extend lockouts diberlakukan. Ketika percobaan login yang gagal sudah mencapai Max Lockouts, maka berlaku masa Extend Lockouts.
  • Extend Lockouts, isi dengan jumlah waktu (jam) tambahan periode lockouts.
  • Reset Retries, isi dengan jumlah waktu (jam) untuk mereset jumlah gagal login.
  • Email Notification, loginizer dapat mengirimkan email kepada admin blog/website ketika ada gagal login. Kita dapat isi setelah masa lockout keberapa admin akan dikirim email.

Blacklist IP

Setiap percobaan login yang gagal akan tercatat di dalam log yang dapat dilihat di menu yang sama. Dengan data ini kita dapat membuat daftar blacklist untuk IP-IP yang tidak kita kenal dan sering melakukan percobaan untuk login.

Kita dapat membuat blacklist untuk satu IP atau untuk beberapa range IP sekaligus.

Itulah catatan belajar wordpress kali ini. Semoga tidak lupa lagi.

Tags:

Tinggalkan Balasan

*