Serangan DDoS WordPress – Cara Melindungi Situs Web Anda

Prevalensi serangan DDoS WordPress telah menyebabkan hilangnya pendapatan yang signifikan bagi banyak bisnis kecil yang bergantung pada lalu lintas online untuk menghasilkan pendapatan.

Serangan DDoS menimbulkan ancaman parah bagi situs web terlepas dari ukurannya. Oleh karena itu, penting untuk menerapkan semua tindakan keamanan yang sesuai untuk melindungi situs web Anda.

Dalam postingan ini, kami akan mengeksplorasi bagaimana serangan DDoS WordPress dapat membahayakan situs Anda . Kemudian kami akan memberi Anda tip praktis tentang cara mencegahnya terjadi.

Isi:

• Apa Itu Serangan DDoS?
• Bagaimana Serangan DDoS Dapat Mempengaruhi Situs Web WordPress
• Tips Untuk Melindungi Situs WordPress Anda dari Serangan DDoS
  • 1. Aktifkan Otentikasi Dua Faktor (2FA)
  • 2. Gunakan Firewall Aplikasi Web (WAF)
  • 3. Gunakan CDN Cloudflare
  • 4. Nonaktifkan REST API di WordPress
  • 5. Selalu Perbarui Perangkat Lunak dan Plugin WordPress Anda
  • 6. Pantau Lalu Lintas Situs Web Anda
• Pertanyaan yang Sering Diajukan
• Kesimpulan

Apa Itu Serangan DDoS?

Serangan Distributed Denial of Service (DDoS) adalah jenis serangan dunia maya yang berupaya membanjiri situs web atau server dengan lalu lintas berbahaya untuk mengganggu operasi regulernya. Serangan ini dapat terjadi di situs web mana pun, termasuk situs yang diberdayakan WordPress.

Bagaimana Serangan DDoS Dapat Mempengaruhi Situs Web WordPress

Konsekuensi serangan DDoS di situs web WordPress sangat signifikan, terutama untuk situs web bisnis kecil. Ini karena mereka mungkin kekurangan infrastruktur untuk melawan serangan semacam itu. Jika serangan DDoS berhasil menargetkan situs web, itu mungkin menjadi tidak tersedia bagi pengguna, yang menyebabkan waktu henti situs web.

Pada tahun 2016, internet terkena salah satu serangan denial of service yang paling signifikan. DYN, penyedia layanan DNS, menjadi sasaran serangan itu. Itu memengaruhi banyak situs populer seperti Netflix, Reddit, PayPal, Visa, dan lainnya. Akibatnya, banyak pengguna internet di Eropa dan Amerika Utara yang terkena dampaknya.

Serangan DDoS berdampak banyak pada pemilik website dan pengguna internet. Beberapa kerusakan yang dapat ditimbulkan oleh serangan DDoS pada situs web Anda adalah sebagai berikut.

Waktu Henti Situs Web

Salah satu konsekuensi paling signifikan dari serangan DDoS adalah situs web yang ditargetkan mungkin menjadi tidak tersedia bagi pengguna. Ini bisa membuat frustasi bagi pengguna, yang mungkin memerlukan bantuan untuk mengakses situs web atau menggunakan layanannya.

Kehilangan Lalu Lintas dan Pendapatan

Jika situs web WordPress tidak tersedia karena serangan DDoS, hal itu dapat mengakibatkan hilangnya lalu lintas dan pendapatan. Misalnya, selama serangan DYN pada Oktober 2016, Sony melaporkan kerugian total sebesar $2,7 juta. Ini sangat besar, mengingat serangan itu hanya berlangsung selama dua jam.

Kerusakan Reputasi

Selain itu, pengguna dapat kehilangan kepercayaan pada merek Anda jika situs web Anda menjadi korban serangan DDoS. Ini dapat memengaruhi reputasi situs web Anda karena mesin telusur juga dapat memasukkan situs web Anda ke dalam daftar hitam.

Biaya Mitigasi

Bertahan dari serangan DDoS bisa mahal karena memerlukan sumber daya khusus dan keahlian teknis.

Data hilang

Sebuah studi oleh Kaspersky pada tahun 2015 menemukan 26% situs web yang menderita serangan DDoS juga mengalami kehilangan data. Serangan DDoS sering berfungsi sebagai penutup untuk serangan dunia maya lainnya, seperti serangan brute force.

Tips Melindungi Situs WordPress Anda Dari Serangan DDoS

Serangan DDoS telah menjadi ancaman serius bagi pemilik website. Dan bahkan situs web yang didanai paling baik pun tidak kebal terhadap serangan semacam itu. Secara teknis, tidak ada situs web yang kebal dari serangan DDoS. Namun, Anda dapat menerapkan langkah-langkah untuk menghentikan dan mencegah serangan DDoS.

Berikut adalah beberapa tip perlindungan DDoS WordPress yang dapat Anda terapkan untuk melindungi situs web Anda.

1. Aktifkan Otentikasi Dua Faktor (2FA)

Autentikasi dua faktor (2FA) adalah langkah keamanan yang mengharuskan pengguna menyediakan lapisan autentikasi tambahan sebelum mengakses halaman sensitif seperti halaman admin WP.

Ini dapat membantu melindungi dari akses situs web yang tidak sah, serangan brute force, dan serangan DDoS.

Misalnya, Anda mungkin meminta pengguna untuk memberikan kode sekali pakai yang dikirimkan ke ponsel atau email mereka sebelum masuk ke situs web Anda.

Anda dapat mengatur autentikasi dua faktor (2FA) di WordPress menggunakan plugin MiniOrange Google Authenticator.

Untuk menginstal MiniOrange Authenticator, masuk ke dasbor WordPress Anda dan bukaPlugins >> Add New .Pada kotak pencarian, ketik "MiniOrange Google Authenticator". Plugin akan muncul di hasil pencarian, seperti yang ditunjukkan di bawah ini.

Selanjutnya, klik tombolInstal Sekarang di sebelah nama plugin untuk menginstal plugin di situs web Anda.Setelah Anda menginstal plugin, tombol akan berubah menjadi 'Aktifkan'. Klik di atasnya untuk mengaktifkan plugin.

Mengonfigurasi MiniOrange Google Authenticator

Setelah mengaktifkan plugin, Anda harus menghubungkannya ke aplikasi Google Authenticator di perangkat seluler. Ini diperlukan untuk menyelesaikan aktivasi 2FA di situs Anda.

Untuk memulai, klikAyo mulai .

Selanjutnya, pilih opsiPengguna yang harus menyiapkan 2FA terlebih dahulu setelah login .Dengan cara ini, semua pengguna akan dipaksa untuk menyiapkan 2FA sebelum masuk. KlikLanjutkan Penyiapan untuk melanjutkan.

Anda dapat mengaktifkan 2FA untuk semua pengguna atau hanya beberapa peran tertentu (misalnya, admin dan editor). Ini berguna jika Anda ingin mengecualikan pengguna seperti penulis. Untuk tutorial ini, kami akan mengaktifkan 2FA untuk admin saja.

Pilih opsiHanya untuk peran khusus , lalu centang kotak Administrator. Setelah itu, klikContinue Setup untuk melanjutkan.

Selanjutnya, pilih apakah akan segera menerapkan 2FA atau memberikan masa tenggang kepada pengguna. KlikSemua selesai untuk melanjutkan.

Sekarang, Anda harus memilih metode autentikasi yang ingin Anda konfigurasikan. Pilih opsiGoogle / Microsoft / Authy Authenticator dan klik tombol Simpan dan Lanjutkan.

Selanjutnya, pilihConfigure 2FA for yourself untuk melanjutkan ke langkah selanjutnya dari proses konfigurasi.

Menghubungkan MiniOrnage dengan Google Mobile Authenticator

Google Authenticator adalah aplikasi autentikasi pilihan untuk proses ini. Ini karena ini adalah yang paling populer dan tersedia di perangkat Android dan iOS.

Langkah pertama adalah mengunduh aplikasi Google Authentication dari Play Store atau Apple store.

Setelah menginstal aplikasi, Anda akan melihat halaman menu dengan dua opsi:Pindai kode QR dan Masukkan kunci penyiapan.

Pilih opsi kode QR dan pindai kode batang QR yang ditampilkan di situs web Anda seperti di bawah ini.

Setelah menyelesaikan pemindaian, masukkan kode enam digit yang dihasilkan dari aplikasi autentikasi ke bidang yang ditentukan.

Konfirmasikan input dengan memilih opsiSimpan dan Lanjutkan .

Itu dia! Anda telah berhasil mengaktifkan 2FA di situs web Anda dengan MiniOrange Google 2FA.

Tidak dapat Memindai kode QR di MiniOrange?

Jika Anda tidak dapat memindai kode QR yang diberikan, inilah yang perlu Anda lakukan:

Pertama, klik Tidak dapat memindai kode batang?Ini akan menghasilkan kunci untuk menyiapkan 2FA di aplikasi autentikasi Google.

Buka aplikasi Google Authenticator di ponsel Anda dan pilih opsiEnter a setup key .Selanjutnya, tempel kunci 16 karakter yang dihasilkan oleh MiniOrange 2FA.

Masukkan nama aplikasi dan jenis akun, lalu klik tambahkan. Ini kemudian akan menghasilkan kode 6 digit yang dapat Anda gunakan untuk menyelesaikan proses di WordPress. Setelah selesai, klikSimpan dan Lanjutkan untuk melanjutkan.

Selanjutnya, Anda akan melihat pesan yang menunjukkan status konfigurasi Anda.

Untuk mengujinya, logout dari situs WordPress Anda dan coba login. Pada halaman login, Anda harus memasukkan kata sandi sekali pakai 6 digit yang dihasilkan dari aplikasi Otentikasi di ponsel Anda setiap kali Anda mencoba login .

2. Gunakan Firewall Aplikasi Web (WAF)

Firewall Aplikasi Web (WAF) adalah langkah keamanan yang dapat melindungi situs web dari berbagai ancaman, termasuk serangan DDoS.

WAF menganalisis lalu lintas masuk dan memblokir permintaan berbahaya sebelum mencapai server situs web. Ini dapat membantu mencegah serangan DDoS WordPress membanjiri infrastruktur situs web dan menyebabkannya macet.

Cara termudah menambahkan WAF ke situs web Anda adalah dengan plugin firewall. Untungnya, beberapa keamanan WordPress dan plugin anti-DDoS, seperti Wordfence Security, hadir dengan perlindungan firewall.

Di bawah ini, kami akan menginstal dan mengaktifkan Wordfence di situs WordPress.

Menginstal dan Mengaktifkan Wordfence

Untuk menginstal Wordfence, login ke dashboard admin WordPress Anda dan kemudian arahkan ke Plugins >> Add New. Temukan bilah pencarian di sudut kanan atas dan ketik 'Wordfence' untuk mencari plugin.

Klik tombolInstal Sekarang di sebelah plugin Wordfence Security untuk menginstalnya di situs Anda.Aktifkan plugin setelah instalasi selesai.

Setelah mengaktifkan WordFence, Anda harus mendapatkan kunci lisensi agar bisa berfungsi. Klik tombolDapatkan Lisensi WordFence Anda di halaman berikutnya untuk memulai kelanjutan.

Selanjutnya, pilih paket gratis untuk menguji fiturnya dan klik'Saya baik-baik saja menunggu 30 hari ' untuk melanjutkan.

Anda dapat meningkatkan ke paket berbayar nanti jika Anda memiliki anggaran. Namun, paket gratis memberi Anda semua fitur penting yang Anda perlukan untuk melindungi situs web Anda.

Selanjutnya, masukkan alamat email Anda, terima syarat dan ketentuan, dan klik Daftar .

Anda harus menerima email aktivasi dari Wordfence. Buka email Anda dan klik tautan Aktivasi.

Setelah itu, itu akan mengarahkan Anda ke dasbor WordPress Anda. Di sini, Anda harus mengeklik tombolInstal Lisensi untuk mengaktifkan situs Anda.Dengan itu, Anda sekarang memiliki Wordfence yang bekerja secara aktif di situs web Anda.

Untuk memverifikasi apakah WAF diaktifkan dan berfungsi, temukanWordfence dari dasbor WordPress Anda dan klik tautan Kelola Firewall.

Anda akan melihat bagian di layar berikutnya yang menampilkan status WAF. Jika status WAF aktif dan angka persentase ditampilkan, ini menegaskan bahwa WAF aktif dan berfungsi.

Memasang plugin Wordfence di situs web Anda akan memberi Anda manfaat berikut:

• pencegahan injeksi SQL
• Pembatasan serangan brutal
• Perlindungan skrip lintas situs

3. Gunakan CDN Cloudflare

Cloudflare adalah penyedia CDN populer yang meningkatkan kinerja situs web Anda dan melindungi Anda dari serangan dunia maya seperti serangan DDoS.

Cloudflare dapat membebaskan serangan DDoS skala besar dan memfilter sumber lalu lintas untuk mendeteksi apakah permintaan tertentu berasal dari penyerang.

Di bawah ini, kami akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengaktifkan layanan Cloudfare di situs web Anda.

Mendapatkan akun Cloudflare

Sebagai prasyarat, pastikan Anda terlebih dahulu memiliki akses ke dasbor admin registrar domain Anda. Anda memerlukannya untuk mengizinkan akses Cloudflare ke pengaturan DNS Anda.

Langkah pertama adalah membuat akun Cloudflare. Untuk melakukannya, kunjungi halaman pendaftaran Cloudflare. Selanjutnya, masukkan email Anda, pilih kata sandi, dan klikBuat Akun .

Menambahkan Situs Web Anda ke Cloudflare

Akun Cloudflare Anda sudah siap. Namun, Anda harus menyelesaikan penyiapan dengan menambahkan situs Anda. Setelah masuk ke akun Anda, klik tombolTambahkan Situs untuk menambahkan situs web Anda.

Masukkan nama domain Anda (misalnya, example.com) dan klikTambahkan situs untuk melanjutkan.

Selanjutnya, pilih paket Cloudflare yang sesuai. Ini tergantung pada fitur yang Anda inginkan. Namun, paket gratis sudah cukup untuk memberi Anda perlindungan dasar yang Anda butuhkan. Pilih paket gratis dan klikLanjutkan untuk melanjutkan.

Pada halaman berikutnya, Anda akan melihat daftar record yang ada. Anda dapat meninjaunya untuk memastikan kebenarannya.

Catatan : Tidak disarankan untuk melakukan perubahan pada catatan DNS Anda pada tahap ini.

Jika Anda telah meninjau catatan dan puas, klik Lanjutkan untuk melanjutkan.

Tahap selanjutnya adalah mengarahkan nameserver domain Anda ke Cloudflare. Ini penting untuk menyelesaikan proses aktivasi dan memungkinkan Cloudflare melindungi situs Anda.

Anda harus mengganti server nama yang ada di pendaftar domain Anda.

Selanjutnya, salin server nama baru yang disediakan oleh Cloudflare untuk menggantikan yang Anda hapus di host domain Anda.

Langkah-langkah untuk mengubah nameserver berbeda dari satu perusahaan hosting yang lain. Silakan hubungi penyedia hosting web Anda jika Anda sama sekali tidak yakin bagaimana menemukan pengaturan server nama. Namun, kami akan menunjukkan cara melakukannya di Namecheap.

Memperbarui Namecheap Nameservers

Pertama, masuk ke akun Anda dan klikDaftar Domain .

Di laman domain, cari domain yang ingin Anda edit dan klikKelola .

Selanjutnya, klik dropdownNameservers dan pilih Custom DNS.

Di kotak input, masukkan dua server nama yang disediakan oleh Cloudflare dan klik tanda centang untuk menyimpan perubahan Anda.

Anda sekarang dapat kembali ke Cloudflare untuk memverifikasi perubahan nameserver dengan mengklikDone, check nameservers .

Catatan tambahan: Mengubah server nama Anda mungkin memerlukan waktu hingga 48 jam untuk diterapkan.

Perlindungan DDoS Cloudflare

Cloudflare akan secara otomatis mengaktifkan perlindungan DDoS di situs Anda setelah menambahkan situs web Anda ke Cloudflare.

Meskipun demikian, disarankan untuk menerapkan tindakan tambahan untuk melindungi situs Anda. Bergantung pada risiko yang dihadapi situs web Anda, ada beberapa pengaturan tambahan yang dapat Anda terapkan untuk lebih melindungi situs Anda.

Izinkan kami menunjukkan kepada Anda dua pengaturan penting untuk diterapkan guna melindungi situs web Anda dari DDoS.

Buat DDos Override khusus

Anda dapat menyesuaikan perilaku perlindungan DDoS default Cloudflare dengan menerapkan penggantian DDoS khusus.

Untuk menggunakan opsi ini, masuk ke akun Cloudflare Anda. Kemudian, pilih situs web Anda untuk pindah ke zonanya.

Selanjutnya, navigasikan keKeamanan >> DDoS di menu sebelah kiri.Klik Terapkanpenimpaan DDoSuntuk melanjutkan.

Di laman berikutnya, tambahkan nama untuk penggantian Anda. Setelah itu, ubah tindakan aturan menjadiTantangan Terkelola dan atur sensitivitas ke RendahatauSedangtergantung pada risiko yang Anda hadapi. Setelah itu, gulir ke bawah dan klikSimpan .

Menerapkan strategi ini akan membantu menyaring lalu lintas berbahaya dari sumber DDoS. Ini menggunakan serangkaian tantangan terkelola yang disajikan kepada pengguna oleh Cloudflare.

Aktifkan Mode Pertarungan Bot

Pendekatan lain yang dapat Anda ambil untuk melindungi situs Anda dari DDoS adalah dengan mengaktifkan Bot Fight Mode. Mode pertarungan bot membantu mendeteksi dan memblokir lalu lintas bot yang diketahui agar tidak mengakses situs Anda.

Untuk mengaktifkan Mode Pertarungan Bot, arahkan keKeamanan >> Bot dan alihkan opsi mode pertarungan bot ke posisi aktif.

Cloudflare memberi Anda semua alat yang Anda butuhkan untuk melindungi situs web Anda dari DDoS. Kiat di atas akan melindungi situs Anda dari sebagian besar serangan DDoS jika Anda mengikutinya dengan benar.

4. Nonaktifkan REST API di WordPress

WordPress REST API adalah fitur WordPress yang memungkinkan pengembang mengakses dan memanipulasi data WordPress menggunakan permintaan HTTP. Terkadang, REST API dapat digunakan sebagai vektor serangan DDoS.

Anda dapat menonaktifkan WP REST API menggunakan beberapa metode di WordPress. Namun, metode termudah adalah dengan menggunakan cuplikan kode dari plugin WPCode.

Anda harus menginstal dan mengaktifkan plugin di situs WordPress Anda.

Setelah mengaktifkan plugin, bukaCuplikan Kode >> + Tambahkan Cuplikan.

Di halaman berikutnya, ketik 'rest api' ke dalam kotak pencarian. Nonaktifkan Rest API sekarang akan muncul di hasil pencarian.

Selanjutnya, klikGunakan Cuplikan untuk melanjutkan ke langkah berikutnya.

Terakhir, alihkan tombol 'tidak aktif' ke 'aktif' untuk mengaktifkan kode. Setelah selesai, klikPerbarui untuk menyimpan perubahan Anda.

REST API sekarang dinonaktifkan di situs web Anda. Karena API adalah titik rentan di situs WordPress Anda yang dapat dieksploitasi oleh penyerang, menonaktifkan REST API akan melindungi Anda dari serangan DDoS yang mengeksploitasi titik lemah API ini.

5. Selalu Perbarui Perangkat Lunak dan Plugin WordPress Anda

Memperbarui tema dan plugin WordPress adalah cara lain untuk melindungi situs web Anda dari serangan DDoS dan meningkatkan keamanan situs web. Pembaruan perangkat lunak dan plugin membantu memastikan bahwa situs web menggunakan versi perangkat lunak yang paling aman.

Di WordPress, sebagian besar pembaruan biasanya menyertakan perbaikan untuk kerentanan yang dapat dieksploitasi oleh penyerang DDoS.

Untuk memperbarui plugin WordPress Anda, masuk ke WordPress Anda dan arahkan keDasbor >> Pembaruan.

Di halaman pembaruan, Anda akan melihat semua plugin yang perlu diperbarui di situs Anda. Centang kotak Pilih Semua untuk menandai semua plugin.Kemudian gulir ke bawah dan klikPerbarui Plugin .

Juga, periksa dan perbarui tema WordPress Anda.

Saat melakukannya, pastikan Anda menggunakan WordPress versi terbaru.

6. Pantau Lalu Lintas Situs Web Anda dan Perhatikan Lonjakan yang Tidak Biasa

Sebagai pemilik situs web, Anda harus segera mengambil tindakan untuk mencegah serangan dan memulihkan operasi normal jika mencurigai adanya serangan.

Ini mungkin termasuk mencari bantuan pakar keamanan atau menerapkan langkah-langkah keamanan tambahan. Misalnya, Anda dapat menggunakan plugin keamanan seperti Wordfence untuk memantau lalu lintas Anda dari aktivitas yang tidak biasa.

Jika Anda telah menerapkan tip kedua dalam tutorial ini, Anda harus menginstal plugin Wordfence Security di situs web Anda.

Untuk mengakses fitur manajemen lalu lintas, klik menu sampingWordfence .Selanjutnya, klikKelola Firewall untuk melanjutkan.

Setelah itu, gulir ke bawah ke tombol untuk menemukan bagian 'Pembatasan Tarif'.

Selanjutnya, aktifkan fitur pemblokiran tingkat lanjut Pembatasan Tingkat untuk mengaktifkannya.

Pada halaman konfigurasi pembatasan kecepatan, Anda dapat mengaktifkan berbagai metode kontrol lalu lintas untuk membantu mengamankan situs WordPress Anda dari lalu lintas yang tidak diinginkan dan mengurangi beban pada sumber daya server.

Misalnya, Anda dapat menetapkan batas permintaan, mengatur jumlah permintaan yang dapat dibuat oleh pengguna tertentu.

Fitur pembatasan kecepatan Wordfence memungkinkan Anda untuk mengontrol perayap dan tampilan halaman manusia. Anda juga dapat menggunakannya untuk membatasi lonjakan lalu lintas yang tidak biasa di situs WordPress. Meskipun Wordfence dapat disesuaikan lebih lanjut untuk meningkatkan keamanan WordPress , Anda harus menghindari pemblokiran lalu lintas yang sah.

Serangan DDoS WordPress (FAQ)

Di bawah ini, kami telah menjawab beberapa pertanyaan teratas yang diajukan pengguna tentang melindungi situs WordPress mereka dari serangan DDoS.

Apakah WordPress memiliki perlindungan DDoS?

WordPress tidak memiliki perlindungan DDoS secara default. Namun, Anda dapat menerapkan beberapa langkah untuk melindungi situs WordPress Anda dari serangan DDoS. Ini dapat mencakup: menggunakan layanan pihak ketiga seperti Cloudflare atau memasang plugin keamanan seperti Wordfence.

Bagaimana penyerang DDoS menyerang situs web?

Penyerang menyebarkan serangan DDoS di WordPress dengan membanjiri situs target dengan beberapa permintaan. Ini bertujuan untuk mempersulit pengguna yang sah untuk mengakses situs.

Kesimpulan – WordPress DDoS

Singkatnya, melindungi situs web WordPress Anda dari penyerang DDoS sangat penting, karena serangan di situs web Anda dapat berdampak negatif pada bisnis Anda.

Untungnya, kami telah menyediakan beberapa langkah dalam postingan ini yang dapat Anda ikuti untuk mengamankan situs WordPress Anda dari serangan DDoS.

Jika Anda bingung tentang langkah apa pun, beri tahu kami di bagian komentar di bawah, atau hubungi pakar kami untuk panduan lebih lanjut.