Panduan Lengkap untuk Perlindungan Brute Force WordPress (+4 Plugin Terbaik)

Diterbitkan: 2022-08-09

Serangan brute force terjadi ketika peretas mencoba mengakses file situs Anda dengan terus-menerus mencoba kata sandi baru. Jika berhasil, mereka dapat mencuri data pribadi Anda, menambahkan malware, atau bahkan menghapus situs web Anda sepenuhnya.

Untungnya, Anda dapat dengan mudah mencegah serangan brute force ini. Dengan hanya memperbarui informasi login Anda atau mengaktifkan otentikasi dua faktor, Anda dapat mempersulit peretas untuk memasuki situs web Anda. Metode lain yang efektif adalah menginstal plugin perlindungan brute force seperti Jetpack.

Dalam posting ini, kami akan menjelaskan apa itu serangan brute force dan bagaimana Anda dapat mencegahnya. Kemudian, kami akan merekomendasikan plugin terbaik untuk perlindungan brute force.

Pengantar serangan brute force

Serangan brute force terjadi ketika peretas menggunakan coba-coba untuk mengakses situs web Anda. Ini biasanya melibatkan menebak informasi login Anda menggunakan perangkat lunak otomatis. Pada dasarnya, peretas akan mencoba banyak kata sandi dan kombinasi nama pengguna yang berbeda sampai mereka menemukan milik Anda.

Bentuk peretasan lain biasanya mengeksploitasi kerentanan di situs WordPress Anda. Misalnya, peretas dapat mengakses data Anda melalui perangkat lunak, plugin, atau tema yang kedaluwarsa. Bahkan versi PHP lama dapat membuat situs Anda rentan.

Di sisi lain, serangan brute force mengandalkan kredensial login yang lemah. Jika Anda memiliki sandi yang dapat ditebak seperti “123456”, peretas dapat menggunakan perangkat lunak otomatis untuk memasuki situs Anda.

Serangan brute force lebih umum dari yang Anda kira. Bahkan, mereka menjadi lebih dari ancaman dari sebelumnya. Menjelang akhir tahun 2021, tingkat serangan brute force meningkat 160 persen.

Jika situs web Anda mengalami serangan brute force, peretas dapat:

  • Curi data pribadi Anda
  • Tambahkan perangkat lunak perusak ke situs Anda
  • Turunkan kredibilitas dan/atau peringkat pencarian Anda
  • Hapus konten Anda sepenuhnya

Tak perlu dikatakan, Anda pasti ingin melindungi situs web Anda dari bahaya ini. Meskipun pengaturan WordPress default tidak menawarkan perlindungan ekstra terhadap serangan brute force, Anda dapat mengambil beberapa langkah untuk mencegahnya terjadi.

Cara memblokir serangan brute force di WordPress

Sekarang setelah Anda mengetahui tentang serangan brute force, mari kita bahas cara melindungi situs WordPress Anda dari serangan tersebut.

Langkah 1: Perbarui nama pengguna Anda

Karena serangan brute force melibatkan menebak informasi login, Anda dapat mengamankan situs WordPress Anda dengan memperbarui kredensial Anda. Pertama, Anda harus mempertimbangkan untuk memilih nama pengguna yang unik.

Di versi WordPress yang lebih lama, nama pengguna default adalah "admin." Sekarang, pemegang akun baru dapat memilih nama pengguna mereka saat pertama kali masuk. Namun Anda mungkin perlu memperbarui nama pengguna jika Anda memiliki akun lama.

Untuk melihat apa nama pengguna Anda saat ini, buka dasbor WordPress Anda. Kemudian, navigasikan ke Pengguna → Profil . Anda akan menemukan nama pengguna Anda di bawah bagian Nama .

melihat nama pengguna Anda di WordPress

Jika Anda sudah memiliki nama pengguna yang unik, lewati ke langkah berikutnya. Jika Anda melihat admin sebagai nama pengguna Anda, Anda mungkin ingin mengubahnya. Sayangnya, Anda tidak dapat langsung mengedit profil Anda di dasbor.

Salah satu cara paling sederhana untuk mengubah nama pengguna WordPress Anda adalah dengan membuat pengguna baru. Kemudian, Anda dapat menetapkan nama pengguna yang unik dan memberikannya hak administratif yang sama. Satu-satunya kelemahan dari metode ini adalah Anda harus menggunakan alamat email baru.

Pertama, buka Pengguna → Tambah Baru . Di halaman ini, buat nama pengguna baru dan masukkan alamat email Anda. Pastikan untuk mengatur peran pengguna sebagai Administrator .

membuat pengguna baru di WordPress

Jika Anda ingin menggunakan alamat email yang sama, Anda cukup menambahkan tanda plus dengan huruf tambahan setelah nama pengguna. Misalnya, jika alamat email biasa Anda adalah “[email protected]”, Anda dapat menggunakan “[email protected].” WordPress akan menganggap ini sebagai alamat email baru, tetapi akan menggunakan kotak masuk yang sama.

Selanjutnya, Anda harus keluar dari WordPress dan menggunakan nama pengguna baru untuk masuk kembali. Kemudian, buka halaman Semua Pengguna dan klik hapus di bawah peran pengguna admin .

Selama proses penghapusan, Anda harus memindahkan kontennya ke nama pengguna baru. Untuk melakukannya, pilih Attribute all content to [new username] . Ini adalah langkah penting — jika tidak, konten Anda akan dihapus.

menghubungkan konten ke pengguna baru

Terakhir, klik Konfirmasi Penghapusan . Jika Anda ingin mulai menggunakan alamat email yang sama yang ditetapkan untuk nama pengguna admin , Anda dapat memperbaruinya sekarang.

Jika Anda ingin mengubah nama pengguna yang ada, Anda harus melakukannya melalui database WordPress. Perhatikan bahwa membuat perubahan pada database bisa berbahaya, jadi sebaiknya lakukan ini jika Anda sudah memiliki pengalaman di bidang ini. Untuk mengubah nama pengguna Anda, lakukan langkah-langkah berikut:

  1. Klik pada alat phpMyAdmin di cpanel penyedia hosting Anda. Lokasi yang tepat dapat bervariasi berdasarkan host Anda.
  2. Klik database situs WordPress Anda di panel sebelah kiri. Ini akan membuka tabel database Anda.
  3. Klik pada tabel wp_users . Awalan “wp_” disetel secara default, tetapi host Anda mungkin telah mengubahnya menjadi sesuatu yang lain. Misalnya, tabel dapat disebut "janb_users."
  4. Temukan nama pengguna yang ingin Anda ubah di sisi kanan — dalam hal ini, “Admin” — dan klik Edit.
  5. Di bidang user_login , ketik nama pengguna baru apa pun yang ingin Anda atur.
  6. Klik tombol Pergi .

Sekarang, Anda dapat masuk dengan nama pengguna baru!

Langkah 2: Gunakan kata sandi yang kuat

Cara lain untuk melindungi situs Anda dari serangan brute force adalah dengan menggunakan kata sandi yang kuat. Karena peretas menggunakan botnet (jaringan robot) untuk menebak kata sandi secara acak, ada baiknya memiliki kata sandi dengan rangkaian angka dan huruf yang unik.

Berikut adalah ciri-ciri kata sandi yang kuat:

  • Ini memiliki antara sepuluh dan 50 karakter
  • Ini menggunakan huruf besar dan huruf kecil
  • Ini menggunakan angka dan karakter khusus
  • Ini unik dari kata sandi yang digunakan untuk akun atau situs web lain

Untuk memperbarui kata sandi WordPress Anda, navigasikan ke Users → Profile . Kemudian, gulir ke bawah ke Manajemen Akun .

Selanjutnya, klik Setel Kata Sandi Baru . Setelah Anda melakukan ini, WordPress secara otomatis akan menghasilkan kata sandi yang kuat untuk Anda. Ini akan menjadi kredensial kompleks yang sulit ditebak.

menghasilkan kata sandi baru di WordPress

Anda dapat menggunakan kata sandi ini atau membuat kata sandi Anda sendiri. Saat Anda mengetik, WordPress akan menunjukkan seberapa kuat atau lemah kata sandi baru Anda.

pemberitahuan kata sandi lemah

Untuk memastikan kata sandi baru Anda aman dan acak, Anda dapat menggunakan pembuat kata sandi. Alat ini dapat secara otomatis membuat kata sandi dengan huruf besar dan kecil, serta angka dan simbol.

Setelah menempelkan kata sandi baru Anda ke dalam kotak teks, gulir ke bagian bawah halaman. Klik Perbarui Profil untuk menyimpan perubahan Anda. Untuk perlindungan maksimal terhadap serangan brute force, pertimbangkan untuk mengubah kata sandi WordPress Anda setiap empat bulan.

Langkah 3: Tambahkan otentikasi dua faktor

Saat Anda masuk ke situs WordPress Anda hanya dengan kata sandi, ini disebut otentikasi satu langkah. Anda juga dapat menerapkan otentikasi dua langkah, atau dua faktor.

Dengan autentikasi dua langkah, Anda akan memberikan dua bentuk verifikasi untuk masuk ke situs Anda. Anda masih akan memasukkan kata sandi, tetapi Anda juga harus mengonfirmasi identitas Anda di ponsel atau perangkat lain.

Jetpack memudahkan untuk menambahkan autentikasi aman ke situs web Anda. Pertama, instal dan aktifkan Jetpack di WordPress. Kemudian, di dasbor Jetpack, klik Kelola pengaturan keamanan .

Gulir ke bagian bawah halaman dan temukan bagian login WordPress.com . Di sini, aktifkan Wajibkan akun untuk menggunakan Otentikasi Dua Langkah WordPress.com .

mengaktifkan otentikasi dua faktor di WordPress

Kemudian, temukan halaman Otentikasi Dua Langkah di tab Keamanan . Anda dapat memilih untuk mengatur autentikasi dua faktor dengan aplikasi atau SMS.

menyiapkan otentikasi dua faktor

Jika Anda memilih opsi pertama, Anda harus mengunduh aplikasi seperti Google Authenticator (iPhone | Android). WordPress akan memberikan kode QR, yang dapat Anda pindai dengan aplikasi dan kemudian masukkan kode yang dihasilkan.

Kode QR untuk otentikasi dua faktor

Saat Anda mengeklik Siapkan menggunakan SMS , Anda harus memasukkan nomor telepon Anda. Setelah Anda memverifikasi kode yang dikirim ke telepon Anda, Anda dapat mulai menggunakan otentikasi dua faktor.

menyiapkan otentikasi dua faktor melalui teks

Sekarang Anda dapat memverifikasi identitas Anda setiap kali Anda masuk ke WordPress! Pengaturan ini dapat menawarkan peningkatan perlindungan terhadap serangan brute force.

Langkah 4: Instal plugin perlindungan serangan brute force

Setelah mengambil beberapa langkah dasar untuk melindungi halaman login Anda, Anda juga bisa mendapatkan keuntungan dari menginstal plugin perlindungan brute force. Alat yang tepat dapat secara otomatis memblokir serangan brute force sebelum memengaruhi situs Anda.

Saat Anda mencoba memilih plugin terbaik untuk perlindungan brute force, Anda harus mengingat beberapa faktor. Untuk melindungi situs web Anda, Anda pasti ingin menemukan plugin yang bekerja di belakang layar untuk mencegah dan menghentikan serangan brute force.

Berikut adalah beberapa fitur dasar yang harus Anda cari dalam plugin perlindungan brute force:

  • Upaya login terbatas
  • Otentikasi dua faktor
  • Sebuah firewall
  • daftar blokir alamat IP

Selain itu, banyak plugin perlindungan brute force memberikan keamanan umum untuk situs web Anda. Misalnya, Jetpack Security tidak hanya mencegah serangan brute force tetapi juga melakukan pemindaian malware, membuat pencadangan otomatis, dan menyaring spam.

Jetpack juga merupakan salah satu plugin perlindungan brute force termudah untuk dikonfigurasi. Setelah menginstal dan mengaktifkan Jetpack, Anda dapat mengaktifkan perlindungan Brute force di dasbor.

mengaktifkan perlindungan serangan brute force di WordPress

Dengan satu klik ini, Anda dapat mengaktifkan Jetpack untuk mencegah serangan brute force!

Empat plugin WordPress terbaik untuk perlindungan serangan brute force

Memasang plugin bisa menjadi cara paling efektif untuk mencegah serangan brute force. Namun, Anda mungkin tidak tahu opsi mana yang tepat untuk situs web Anda. Meskipun ada banyak plugin perlindungan brute force, empat menonjol sebagai yang terbaik!

1. Jetpack

Gambar beranda Jetpack

Saat mengunduh Jetpack, Anda dapat mengakses perlindungan serangan brute force dan banyak fitur keamanan lainnya. Jetpack juga menawarkan alat kinerja dan pertumbuhan, sehingga Anda dapat memilih paket yang sempurna untuk kebutuhan Anda.

Jika perlindungan serangan brute force adalah semua yang Anda butuhkan, kabar baiknya adalah bahwa itu benar-benar gratis!

Fitur utama perlindungan serangan brute force Jetpack :

  • Aktivasi sekali klik
  • IP yang diizinkan
  • Kemampuan untuk melihat jumlah serangan yang diblokir
  • Otentikasi dua faktor

Kelebihan :

  • Jika Anda tidak sengaja terkunci dari halaman login Anda karena tindakan perlindungan Jetpack, Anda dapat mengirim link login khusus ke alamat email Anda.
  • Jetpack membandingkan setiap alamat IP baru dengan database global alamat berbahayanya.
  • Dengan Jetpack, Anda juga dapat mengakses langkah-langkah keamanan yang diperluas, seperti pemantauan waktu henti, pencadangan situs, dan pemindaian malware.

Kontra :

  • Jetpack mengharuskan Anda untuk terhubung ke akun WordPress.com.
  • Jika server Anda salah dikonfigurasi, mungkin tidak mengembalikan alamat IP, yang dapat menonaktifkan fitur perlindungan brute force.

Kemudahan penggunaan :

Dengan Jetpack, Anda dapat menerapkan pencegahan serangan brute force dalam satu langkah. Setelah instalasi, cukup kunjungi dasbor Jetpack utama untuk mengaktifkan fitur tersebut. Kemudian, Anda cukup mengizinkan Jetpack melakukan pekerjaan tanpa perawatan apa pun.

Harga :

Setiap pengguna WordPress dapat mulai menggunakan perlindungan brute force secara gratis dengan Jetpack.

2. Sucuri

Gambar pahlawan beranda Sucuri

Sucuri adalah alat yang berspesialisasi dalam pemantauan, perlindungan, dan kinerja situs web. Dengan menerapkan Web Application Firewall (WAF), Sucuri dapat memblokir serangan brute force di situs web Anda.

Fitur utama :

  • Firewall Aplikasi Web (WAF)
  • Batasi upaya masuk
  • Alat otomatis untuk memblokir bot
  • Daftar yang diizinkan
  • Otentikasi dua faktor, CAPTCHA, dan kode sandi

Kelebihan :

  • Sucuri menyertakan pemblokiran geografis sehingga Anda dapat memblokir semua pengunjung dari rentang IP tertentu. Fitur ini dapat mencegah serangan brute force dari negara tertentu.
  • Firewall Sucuri membersihkan lalu lintas bahkan sebelum mencapai situs web WordPress Anda.

Kontra :

  • Versi gratis Sucuri tidak menyediakan pencegahan kekerasan. Untuk mengakses WAF, Anda harus membeli langganan.
  • Meskipun Sucuri adalah pilihan yang efektif untuk pencegahan serangan brute force, itu mahal. Ada plugin gratis lainnya dengan fitur serupa.

Kemudahan penggunaan :

Dibandingkan dengan plugin lain, Sucuri memiliki proses pengaturan yang lebih rumit. Untuk mulai menggunakan Sucuri, Anda harus membeli paket dan menyiapkan firewall. Ini melibatkan pengintegrasian akun cPanel Anda dan mengubah catatan DNS Anda secara manual.

Harga :

Dengan Sucuri, perlindungan brute force membutuhkan paket premium. Fitur ini hadir dengan semua opsi berlangganannya, mulai dari $199,99 per tahun.

3. Keamanan Wordfence

Beranda plugin Wordfence

Wordfence Security adalah plugin yang menyediakan firewall dan pemindai keamanan sekaligus. Alat ini menawarkan banyak bentuk keamanan login, termasuk otentikasi dua faktor, alamat IP yang diizinkan, dan kunci reCAPTCHA.

Fitur utama :

  • Batasi upaya masuk
  • Catat upaya login yang berhasil dan gagal
  • Daftar blokir IP yang terus diperbarui
  • Alat pemblokiran manual
  • Otentikasi dua faktor dan reCAPTCHA

Kelebihan :

  • Karena dilengkapi dengan Firewall Aplikasi Web, Wordfence dapat mengidentifikasi dan memblokir lalu lintas berbahaya di situs Anda.
  • Jika ada kata sandi administratif yang disusupi, Anda dapat memblokir login apa pun dari pengguna tersebut.
  • Wordfence melakukan pemindaian keamanan terjadwal setiap tiga hari saat Anda menggunakan versi gratis.

Kontra :

  • Untuk versi gratis Wordfence, data yang dihasilkan tertunda selama 30 hari. Untuk menerima intelijen ancaman waktu nyata, Anda harus meningkatkan ke paket berbayar.
  • Plugin gratis juga tidak memungkinkan Anda menjadwalkan pemindaian secara manual.

Kemudahan penggunaan :

Wordfence menyediakan proses pengaturan yang sangat sederhana untuk pengguna pertama kali. Setelah menginstal dan mengaktifkan plugin gratis, itu akan meminta Anda untuk memasukkan alamat email di mana Wordfence dapat mengirim peringatan. Kemudian, Anda dapat menambahkan perlindungan brute force dengan menerapkan firewall dan fitur keamanan login.

Harga :

Bahkan versi gratis Wordfence Security hadir dengan perlindungan brute force bawaan untuk situs tak terbatas. Jika Anda memerlukan dukungan lanjutan, Anda dapat membeli paket premium. Ini mulai dari $99 per tahun.

4. Keamanan iThemes

gambar pahlawan keamanan iThemes

iThemes Security memastikan bahwa Anda dapat mulai melindungi situs web Anda dari serangan brute force dalam waktu kurang dari sepuluh menit. Dengan plugin ini, Anda dapat dengan cepat menyesuaikan halaman login Anda dengan otentikasi dua faktor dan persyaratan kata sandi. Plus, iThemes akan secara otomatis menambahkan situs Anda ke Jaringan Perlindungan Brute Force.

Fitur utama :

  • Upaya login maksimum untuk host dan pengguna
  • Perlindungan brute force lokal dan jaringan
  • Grafik serangan brute force baru-baru ini
  • Kemampuan untuk mengatur persyaratan kata sandi untuk semua pengguna
  • Otentikasi dua faktor

Kelebihan :

  • Salah satu manfaat utama iThemes Security adalah Jaringan Perlindungan Brute Force-nya. Ini merekam aktivitas mencurigakan di satu juta situs web yang berbeda, mengidentifikasi IP berbahaya.
  • Anda dapat mengatur jumlah maksimum upaya login untuk situs web Anda, yang dapat mencegah tebakan login otomatis.

Kontra :

  • Jika Anda ingin menambahkan fitur keamanan ekstra ke halaman login Anda, seperti bidang reCAPTCHA, Anda harus membeli plugin premium.
  • Plugin gratis tidak menyertakan laporan keamanan waktu nyata.

Kemudahan penggunaan :

Setelah instalasi, plugin iThemes akan membawa Anda melalui proses pengaturan langkah demi langkah. Di sini, Anda dapat mengaktifkan perlindungan brute force lokal dan jaringan. Anda juga dapat memilih untuk menambahkan otentikasi dua faktor untuk keamanan ekstra.

Harga :

iThemes Security adalah plugin WordPress gratis. Jika Anda ingin menggunakan dasbor keamanan waktu nyata, Anda dapat membeli versi premium, mulai dari $80 per tahun.

Perbandingan plugin teratas yang memblokir serangan brute force

paket jet Sucuri Keamanan Wordfence Keamanan iThemes
Batasi upaya masuk Ya Ya Ya Ya
Otentikasi dua faktor Ya Ya Ya Ya
Laporan waktu nyata Ya Ya Ya, dengan ekstensi premium Ya, dengan ekstensi premium
pemblokiran IP Ya Ya Ya Ya
reCAPTCHA Ya Ya Ya Ya, dengan ekstensi premium
Perlindungan kekerasan jaringan Ya Tidak Tidak Ya
Kemudahan penggunaan Aktivasi satu langkah Memerlukan perubahan data DNS secara manual Tab sederhana untuk mengelola firewall, pemindaian, dan keamanan login Setup wizard untuk mengonfigurasi keamanan login dan grup pengguna
Harga Gratis $199,99-$499,99 per tahun Gratis-$950 per tahun Gratis-$199 per tahun

Pertanyaan yang sering diajukan (FAQ)

Sekarang setelah Anda mengetahui semua tentang serangan brute force dan cara mencegahnya, mari jawab beberapa pertanyaan!

Berapa biaya perlindungan brute force di WordPress?

Perlindungan brute force bisa gratis jika Anda mengunduh plugin perlindungan brute force seperti Jetpack. Penyedia lain seperti Sucuri memerlukan langganan berbayar.

Bagaimana saya bisa mengatur perlindungan serangan brute force di WordPress?

Menyiapkan perlindungan brute force akan bervariasi berdasarkan penyedia yang Anda pilih. Beberapa opsi mengharuskan Anda untuk mengonfigurasi firewall, yang bisa jadi rumit. Atau, Jetpack adalah plugin yang mempermudah proses ini. Setelah aktivasi, Anda dapat mengaktifkan perlindungan brute force hanya dengan satu pengaturan.

Apa lagi yang bisa saya lakukan untuk mengamankan situs WordPress saya?

Ada banyak langkah keamanan umum yang dapat Anda ambil untuk melindungi situs web Anda. Pertama, pertimbangkan untuk melakukan pembaruan yang konsisten untuk perangkat lunak inti, tema, dan plugin. Anda juga dapat menjaga keamanan data Anda dengan mencadangkan situs web Anda.

Tindakan keamanan sederhana lainnya adalah memblokir spam. Sebaiknya hapus juga plugin yang tidak digunakan dan pantau aktivitas situs Anda. Terakhir, pastikan Anda memindai malware secara teratur dan segera mengambil tindakan jika ada yang ditemukan.

Amankan situs web Anda dari serangan brute force

Tanpa perlindungan yang tepat, situs web Anda dapat menjadi mangsa serangan brute force. Untungnya, plugin perlindungan brute force adalah tambahan sederhana untuk situs Anda. Dengan langkah-langkah keamanan yang tepat, Anda dapat menghentikan peretas mencuri data Anda.

Untuk meninjau, berikut cara menerapkan perlindungan serangan brute force di WordPress:

  1. Perbarui nama pengguna Anda.
  2. Gunakan kata sandi yang kuat.
  3. Tambahkan otentikasi dua faktor.
  4. Instal plugin perlindungan serangan brute force seperti Jetpack.

Setelah mengikuti langkah-langkah ini, Anda dapat menjaga kerahasiaan dan keamanan informasi Anda! Kemudian, hanya masalah memperbarui perangkat lunak Anda, mencadangkan file Anda, dan memantau situs web Anda dari spam dan aktivitas mencurigakan.