Cara Mencegah Serangan DDoS di WordPress

Diterbitkan: 2020-08-18

Dengan pandemi yang melanda banyak negara dan ledakan bisnis online, serangan digital menjadi lebih sering dan mengancam. Beberapa yang paling umum dan berbahaya adalah serangan DDoS . Dalam panduan ini, kami akan menunjukkan cara mencegah serangan DDoS di situs WordPress Anda .

Apa itu Serangan DDoS?

Sebelum masuk ke cara mencegah serangan DDoS (Distributed Denial of Service), mari kita pahami dulu apa itu serangan. Sederhananya , serangan DDoS adalah jenis serangan penolakan layanan (DoS) yang melibatkan banyak perangkat online terhubung yang digunakan peretas untuk membanjiri server situs web dengan lalu lintas palsu .

Dalam serangan DDoS, mesin dan server yang terhubung ini meluncurkan serangan secara terpisah tetapi pada saat yang sama, memungkinkan mereka untuk tidak diketahui selama beberapa waktu sebelum diblokir. Dengan taktik ini, mereka dapat dengan mudah mengintensifkan dampak serangan ini, memperlambat dan akhirnya membuat server yang mereka tuju mogok.

Satu hal yang menarik tentang serangan DDoS adalah mereka tidak mencoba untuk menembus dan mengakses server Anda secara langsung . Sebaliknya, mereka bertujuan untuk membuat situs web dan server macet untuk waktu tertentu sehingga pengguna tidak dapat mengaksesnya. Namun, serangan DDoS dapat digunakan sebagai penutup untuk melanggar keamanan server.

Jadi apa yang terjadi jika Anda menjadi korban serangan DDoS? Jika peretas berhasil membuat server Anda mogok, Anda mungkin berada dalam masalah. Mungkin dikenakan biaya ribuan dolar untuk memulihkan sistem Anda, belum lagi biaya lain seperti bandwidth. Lebih penting lagi, serangan itu akan berdampak pada lalu lintas, reputasi, dan hasil penjualan Anda.

Apakah serangan DDoS biasa terjadi?

Ya begitulah. Faktanya, serangan DDoS menjadi semakin umum. Menurut penelitian terbaru, saat ini ada 16 serangan DDoS setiap 60 detik ! Dan pada tahun 2019 saja, ada lebih dari 8,4 juta serangan DDoS di seluruh dunia.

Untuk menghindari semua masalah ini, sangat penting untuk mencegah serangan DDoS di situs WordPress Anda . Dalam panduan ini, kami akan menunjukkan kepada Anda apa yang harus dilakukan untuk menghindarinya dan menjaga keamanan situs web Anda.

Cara Mencegah Serangan DDoS di WordPress

Ini adalah beberapa ide untuk mencegah serangan DDoS di WordPress dan menghindari peretas yang memengaruhi situs Anda.

  1. Blokir akses ke wp-login.php
  2. Aktifkan WAF
  3. Awasi lalu lintas situs web
  4. Batasi akses ke area wp-admin
  5. Aktifkan pemblokiran negara
  6. Nonaktifkan API Serangan DDoS
    1. XML RPC API
    2. REST API
  7. Perbarui WordPress secara teratur

1. Blokir akses ke wp-login.php

File wp-login.php adalah salah satu jalur paling umum yang digunakan peretas untuk serangan DDoS di WordPress. Misalnya, di QuadLayers, kami memblokir akses ke file wp-login.php lebih dari 250 kali per hari!

Jika Anda menggunakan layanan seperti Cloudflare, Anda dapat memeriksa berapa kali seseorang mencoba mengakses file wp-login.php Anda. Dan Anda akan terkejut melihat betapa tingginya angka itu. Memblokir akses ke file-file itu adalah salah satu cara terbaik untuk mencegah serangan DDoS di WordPress.

Sebagian besar layanan keamanan menawarkan opsi berbeda untuk memblokir akses ke wp-login.php . Kami menggunakan Cloudflare jadi kami akan menunjukkan cara memblokir serangan ke file wp-login.php dengan layanan ini. Paket gratis Cloudflare memungkinkan Anda untuk mengatur hingga 5 aturan sehingga Anda dapat melakukan ini tanpa mengeluarkan uang.

Di dasbor, buka Firewall > Aturan Firewall > Buat aturan Firewall . Beri nama aturan, dan isi bagian yang kosong dengan informasi berikut:

Cara Mencegah Serangan DDoS di WordPress - Wp-admin.php

  • Bidang : Jalur URI
  • Operator : berisi
  • Nilai : /wp-login.php

Atau, Anda dapat menyalin dan menempelkan kode berikut di bagian Pratinjau Ekspresi:

 (http.request.uri.path berisi "/wp-login.php")

Klik tombol Simpan dan Anda sudah siap.

 2. Aktifkan WAF
 WAF adalah kependekan dari Web Application Firewall dan berfungsi sebagai lapisan perlindungan lain untuk situs web Anda. Ini menjaga situs Anda dari lalu lintas berbahaya dengan menggunakan algoritme cerdas untuk mengidentifikasi dan memblokir permintaan yang tampaknya berbahaya. Dengan cara ini, memungkinkan Anda untuk hanya menerima lalu lintas yang baik.
		


 Ada banyak solusi WAF untuk dipilih. Sebelum memutuskan mana yang akan Anda gunakan, periksa apakah perlindungannya cocok untuk situs Anda serta harga dan kemudahan penggunaan. Setelah menggunakan beberapa ini selama bertahun-tahun, kami sangat merekomendasikan Sucuri. Ini memiliki plugin gratis dan beberapa paket pro yang dimulai dari 199 USD per tahun untuk satu situs. Cloudflare juga merupakan pilihan yang sangat baik. Ini menawarkan plugin gratis dan paket pro dengan mitigasi serangan DDoS seharga 20 USD per bulan.
 Selain itu, kami menyarankan Anda mengikuti beberapa kiat keamanan untuk meningkatkan perlindungan keseluruhan situs Anda terhadap semua jenis perangkat lunak perusak.
		


 3. Awasi Lalu Lintas Situs Web
 Lonjakan lalu lintas yang besar tidak selalu berarti kabar baik. Meski tidak selalu, serangan DDoS biasanya berupa traffic dalam jumlah besar. Serangan volumetrik ini berbasis jaringan dan terkadang disalahartikan sebagai pengunjung baru. Jika Anda melihat banyak pengunjung baru datang ke situs web Anda, periksa apakah itu pengguna baru atau seseorang yang mencoba menurunkan situs Anda.
 Solusi terbaik untuk ini adalah menginstal alat pemantauan dan meminta mereka memeriksa log Anda dan memperingatkan Anda jika jumlah permintaan/pengunjung tiba-tiba meningkat. Dengan cara ini, Anda akan mencegah serangan DDoS di situs WordPress Anda.
		


 Untuk membedakan antara pengunjung baru dan serangan DDoS, Anda mungkin perlu memperhatikan:
  •  Sumber lalu lintas: Apakah lalu lintas Anda berasal dari wilayah yang Anda targetkan? Jika Anda menargetkan pelanggan lokal, misalnya, tetapi menerima lalu lintas besar dari luar negeri, maka ada sesuatu yang aneh terjadi.
  •  Waktu lalu lintas: Jika Anda menyaksikan lonjakan kunjungan pada pukul 3:00 pagi waktu setempat, maka itu mungkin serangannya juga.
  •  Karakteristik bisnis Anda: Perhatikan juga jenis bisnis Anda. Jika Anda menjual pakaian renang dan pakaian pantai, misalnya, lonjakan pengunjung selama musim panas adalah normal.
 Harap perhatikan bahwa bot Google dan perayap mesin telusur lainnya terkadang membuat permintaan yang mencurigakan ke situs web Anda. Perhatikan perbedaan di antara mereka untuk memastikan Anda akan memblokir serangan DDoS, bukan bot.
		


 4. Batasi akses ke area wp-admin
 Anda harus menjadi satu-satunya yang bisa mendapatkan akses ke area wp-admin karena ini adalah tempat Anda mengontrol semua aktivitas terpenting di WordPress. Namun, saat membatasi akses ke area wp-admin , pastikan untuk tidak menyertakan file tertentu seperti /wp-admin/admin-ajax.php dan /wp-admin/theme-editor.php yang digunakan oleh plugin dan tema yang perlu mengakses area wp-admin dari luar. Selain itu, Anda dapat mengecualikan IP Anda dan kapan perujuk berasal dari situs web Anda.
 Jika Anda menggunakan layanan keamanan, ini seharusnya tidak sulit untuk dikonfigurasi. Dalam kasus kami, ini adalah bagaimana kami melakukannya menggunakan Cloudflare:
		


 Di dasbor, buka Firewall > Aturan Firewall > Buat aturan Firewall . Setelah memberi nama aturan, isi bagian yang kosong dengan informasi berikut: 
Bagaimana mencegah serangan DDoS di WordPress - WP-admin area
  •  Bidang: Jalur URI
  •  Operator: berisi
  •  Nilai: /wp-admin/
 [DAN]
  •  Bidang: Jalur URI
  •  Operator: tidak mengandung
  •  Nilai: /wp-admin/admin-ajax.php
 [DAN]
  •  Bidang: Jalur URI
  •  Operator: tidak mengandung
  •  Nilai: /wp-admin/theme-editor.php
 [DAN]
  •  Bidang: Perujuk
  •  Operator: tidak mengandung
  •  Nilai: quadlayers.com
 [DAN]
  •  Bidang: Alamat IP
  •  Operator: tidak mengandung
  •  Nilai: 182.189.59.210
 Jika tidak, Anda cukup mengklik Edit ekspresi dan tempel kode berikut:
 (http.request.uri.path berisi "/wp-admin/" dan bukan http.request.uri.path berisi "/wp-admin/admin-ajax.php" dan bukan http.request.uri.path berisi "/ wp-admin/theme-editor.php" dan bukan http.referer mengandung "quadlayers.com" dan ip.src ne 182.189.59.210)
 5. Aktifkan Pemblokiran Negara
 Mirip dengan firewall situs web, pemblokiran negara adalah jenis pemblokiran geografis yang berfungsi untuk meminimalkan risiko situs web Anda diserang. Meskipun pemilik situs tidak dapat mengesampingkan kemungkinan serangan DDoS oleh pemblokiran negara saja, itu adalah praktik umum untuk meningkatkan perlindungan terhadap serangan sambil mematuhi kebijakan organisasi. Karena sejumlah besar serangan siber datang dari beberapa negara belakangan ini, Anda dapat mempertimbangkan untuk memblokir mereka agar tidak berinteraksi dengan situs web Anda.
 Sebagai salah satu plugin keamanan yang memungkinkan pemblokiran negara dengan mudah, Sucuri adalah pilihan yang sangat baik untuk ini.
 6. Nonaktifkan API Serangan DDoS
 Prinsip metode ini adalah menonaktifkan beberapa API agar peretas tidak dapat menggunakannya untuk melancarkan serangan ke situs WordPress Anda. Biasanya, API ini adalah pintu gerbang untuk plugin dan layanan pihak ketiga untuk diintegrasikan ke dalam situs web. Namun, peretas sering mengeksploitasinya untuk meluncurkan serangan DDoS atau brute force.
 Ada dua API yang harus Anda pertimbangkan untuk dinonaktifkan:
 6.1) API XML RPC
 API ini membantu aplikasi pihak ketiga untuk berinteraksi dengan situs Anda, terutama untuk menggunakan aplikasi WordPress di ponsel Anda. Berita buruknya adalah ini adalah salah satu target serangan DDoS yang paling umum . Jadi, jika sebagian besar pengguna Anda tidak menggunakan WordPress versi seluler, Anda dapat mempertimbangkan untuk menonaktifkan API ini untuk mencegah serangan DDoS.
 Untuk menonaktifkan XML RPC API dan memblokir semua permintaannya, cukup tambahkan kode berikut ke file .htaccess situs web Anda.
 # Blokir semua permintaan xmlrpc.php WordPress
<File xmlrpc.php>
perintah tolak, izinkan
tolak dari semua
</File>
 6.2) REST API
 API lain yang dapat dinonaktifkan untuk mencegah serangan DDoS di WordPress adalah REST API. API ini memungkinkan plugin dan alat pihak ketiga untuk mengakses data WordPress serta memodifikasi dan menghapus konten. Cara termudah untuk menonaktifkan API ini adalah dengan mengunduh plugin gratis Nonaktifkan WP Rest API.
 Setelah mengunduhnya, aktifkan dan Anda siap. Alat ini akan segera bekerja dan menonaktifkan REST API untuk semua pengguna yang tidak masuk tanpa konfigurasi lebih lanjut.
 7. Perbarui WordPress Secara Teratur
 Pembaruan rutin WordPress tidak hanya mencegah serangan DDoS, tetapi juga menjaga situs web Anda dari berbagai jenis serangan dan peretasan lainnya. Itu sebabnya Anda harus memperbarui secara teratur:
  1.  Instalasi, tema, dan plugin WordPress
  2.  Versi PHP di server
  3.  Apache, MySQL, dan OS
  4.  Skrip dan perangkat lunak lainnya
 Apa yang harus dilakukan jika Anda berada di bawah Serangan DDoS di WordPress?
 Meskipun Anda dapat mempersiapkan terlebih dahulu dan mencoba untuk mencegah serangan DDoS di WordPress, apa yang harus Anda lakukan jika sedang diserang? Ini adalah tanggapan langsung yang harus Anda lakukan selama serangan DDoS:
 1. Beri tahu tim Anda
 Bekerja sama ketika krisis menyerang akan memberi Anda kekuatan maksimal. Saat berada di bawah serangan DDoS, pastikan untuk memberi tahu anggota tim Anda sehingga mereka mengetahui apa yang terjadi dan dapat membantu Anda dengan tindakan pencegahan.
 2. Beri tahu pelanggan Anda
 Ini sangat penting jika situs web yang diserang adalah toko WooCommerce karena pelanggan tidak akan dapat masuk ke akun mereka atau membeli produk selama waktu tersebut. Tidak memberikan pengumuman dan penjelasan pada saat kritis seperti itu dapat merusak reputasi Anda. Jadi kami sarankan Anda memberi tahu mereka melalui email atau media sosial bahwa situs Anda mengalami kesalahan teknis dan akan segera online kembali.
 3. Hubungi penyedia hosting dan keamanan Anda
 Setelah memberi tahu rekan kerja dan pelanggan, hubungi penyedia hosting WordPress Anda juga. Karena penyerang dapat menargetkan sistem mereka, lebih baik mereka mengetahuinya dan mereka bahkan dapat membantu Anda mengatasi situasi tersebut. Selain itu, menghubungi penyedia keamanan Anda pada saat ini sangat penting. Karena menangani serangan adalah dalam profesi mereka, mereka dapat membantu Anda merumuskan tindakan pencegahan yang lebih baik dan lebih cepat.
 4. Terapkan tanggapan
 Jika Anda memiliki tindakan pencegahan yang siap digunakan, inilah saatnya mereka datang untuk menyelamatkan. Biasanya, tindakan balasan akan bekerja di luar kotak segera setelah serangan terjadi. Lebih baik jika Anda mempersiapkan ini sebelumnya. Namun, jika Anda belum menyiapkan solusi keamanan khusus, tanyakan kepada penyedia keamanan Anda karena sebagian besar dari mereka menawarkan tanggapan darurat.
 5. Evaluasi kinerja penanggulangan
 Jangan lupa untuk mengevaluasi kinerja penanggulangan saat mereka sedang berlangsung juga! Apakah mereka efektif? Atau apakah penyerang menang? Dengan begitu, Anda dapat menyesuaikan respons Anda jika ada serangan lain yang menghampiri Anda. Semoga tidak terjadi, tapi mencegah lebih baik daripada mengobati.
 Kesimpulan
 Secara keseluruhan, serangan DDoS sangat sering terjadi saat ini. Semakin banyak situs WordPress Anda tumbuh, semakin menarik bagi peretas. Namun, Anda dapat mencegah dan mempersiapkan serangan tersebut dengan menerapkan tindakan pencegahan. Langkah-langkah yang disebutkan di atas tidak hanya akan membantu Anda mencegah serangan DDoS di WordPress tetapi juga membantu menjaga situs web Anda aman dari serangan secara umum.
 Tapi bagaimana jika Anda sudah diserang? Jangan panik. Ikuti rekomendasi yang disebutkan di atas untuk mencoba mengurangi masalah dan membuat situs Anda aktif dan berjalan sesegera mungkin. Ingin lebih meningkatkan keamanan situs Anda? Lihat tips keamanan kami!
 Apakah Anda punya taktik lain yang berguna untuk mencegah serangan DDoS? Silakan bagikan dengan kami di bagian komentar di bawah!