6 Langkah Rencana Perlindungan DDoS WordPress untuk Mencegah Serangan
Diterbitkan: 2020-02-20Mustafiz / stok.adobe.com
Biasanya, peningkatan lalu lintas web adalah hasil yang diinginkan untuk merek Anda. Namun, Anda mungkin tidak mengantisipasi situs Anda tiba-tiba dibanjiri ribuan permintaan secara bersamaan , sehingga menyebabkan error. Sayangnya, hal inilah yang terjadi selama serangan Penolakan Layanan Terdistribusi atau 'DDoS' di situs WordPress .
Untungnya, seperti kebanyakan ancaman keamanan siber, ada beberapa langkah yang dapat Anda ambil untuk meminimalkan kemungkinan serangan DDoS di situs WordPress Anda. Menerapkan rencana perlindungan dapat membantu menghentikan dan mencegah penjahat internet melumpuhkan bisnis online Anda.
Dalam postingan ini, kami akan menjelaskan apa itu serangan DDoS dan cara kerjanya. Kemudian kami akan memberi Anda enam langkah rencana perlindungan DDoS WordPress yang dapat Anda gunakan untuk membantu mencegah serangan di situs Anda. Mari kita mulai!
Dalam Artikel Ini
- Apa itu Serangan DDoS?
- Pentingnya Membuat Rencana Perlindungan DDoS WordPress
- Cara Mencegah Serangan DDoS di Situs WordPress Anda (6 Tips Utama)
- Membungkus
Apa itu Serangan DDoS?
Serangan DDoS mengacu pada masalah keamanan di mana situs dibanjiri permintaan palsu dalam jangka waktu singkat, biasanya melalui penggunaan bot. Hit datang dari berbagai sumber, dan tujuannya adalah untuk membanjiri situs web target dan menyebabkannya mogok .
Ribuan permintaan dapat dilakukan dalam sekejap. Misalnya saja serangan DDoS tahun 2019 terhadap Imperva, yang mana jaringannya terkena serangan sebesar 580 juta paket per detik (PPS) .
Lonjakan kemacetan lalu lintas palsu yang tidak terduga dan tiba-tiba ini melumpuhkan situs, menjadikannya tidak dapat diakses dan rentan . Serangan ini dapat ditargetkan pada situs web individual atau seluruh jaringan.
Jenis serangan DDoS yang paling umum terbagi dalam tiga kategori:
- Berbasis volume: Mengandalkan replikasi lonjakan lalu lintas besar-besaran.
- Protokol: Memanfaatkan sumber daya server untuk merusak situs atau jaringan target.
- Aplikasi: Serangan yang lebih canggih yang menargetkan aplikasi web.
Ada berbagai metode dan motivasi untuk melakukan penyerangan semacam ini. Peretas dapat melakukan serangan DDoS untuk meningkatkan kerentanan situs WordPress Anda. Ini bisa menjadi pengalih perhatian efektif yang mempermudah penyusupan ke situs Anda tanpa terdeteksi.
Namun paling sering, tujuannya terutama untuk merusak situs yang ditargetkan . Misalnya, seseorang mungkin melakukan serangan DDoS terhadap pesaing . Meskipun tindakan ini berbahaya dan ekstrem, hal ini sering terjadi, terutama jika Anda mempertimbangkan dampak negatif downtime terhadap bisnis.
Pentingnya Membuat Rencana Perlindungan DDoS WordPress
Dampak serangan DDoS dapat berdampak buruk pada bisnis Anda. Banyak kerusakan yang diakibatkan oleh downtime yang berkepanjangan dan tidak terduga .
Jika situs Anda tidak tersedia untuk jangka waktu yang lama, kemungkinan besar Anda akan kehilangan sejumlah bisnis. Pelanggan tidak akan dapat membuka situs Anda dan mungkin melihat kesalahan 502 bad gateway . Ini berarti Anda kehilangan penjualan e-niaga atau konversi prospek lainnya.
Ketidaktersediaan yang berkepanjangan juga dapat berdampak buruk pada peringkat Search Engine Optimization (SEO) Anda . Dengan penurunan visibilitas, Anda harus bekerja lebih keras untuk menarik prospek sambil membangun kembali kredibilitas situs Anda.
Selain itu, serangan DDoS dapat menyebabkan masalah hosting . Hal ini terutama berlaku jika Anda menggunakan paket bersama, karena jenis pelanggaran keamanan ini tidak hanya dapat memengaruhi situs Anda, tetapi juga situs lain di server Anda.
Selain itu, seperti yang kami sebutkan sebelumnya, insiden DDoS dapat meningkatkan kerentanan situs Anda terhadap jenis serangan lainnya . Saat perhatian Anda teralihkan saat mencoba membuat situs Anda kembali online, fokus Anda dialihkan dari sistem keamanan Anda. Hal ini mungkin memudahkan peretas untuk menyusup tanpa Anda sadari.
Pemulihan dari serangan memerlukan banyak uang dan waktu . Meskipun Anda tidak bisa serta merta mencegah seseorang melakukan serangan DDoS di situs WordPress Anda, Anda dapat mengambil langkah-langkah untuk meminimalkan kerusakan yang terjadi jika Anda menjadi korbannya.
[bctt tweet=” Menetapkan rencana perlindungan DDoS WordPress yang kuat membantu melindungi aset bisnis penting Anda. #WordPress” nama pengguna=”thewpbuffs”]Cara Mencegah Serangan DDoS di Situs WordPress Anda (6 Tips Utama)
Ada berbagai metode yang dapat Anda gunakan untuk melindungi situs WordPress Anda , seperti menggunakan plugin keamanan dan menonaktifkan fitur tertentu. Dengan rencana perlindungan yang tepat, Anda dapat meningkatkan kemampuan Anda untuk bangkit kembali dari serangan DDoS. Di bagian ini, kita akan melihat enam tip untuk mencegahnya.
- Nonaktifkan XMLR RPC dan REST API di WordPress
- Instal Firewall Aplikasi Web (WAF) di Situs Anda
- Pilih Penyedia Hosting yang Aman
- Gunakan Jaringan Pengiriman Konten (CDN)
- Unduh Plugin Perlindungan DDoS WordPress
- Jadikan Pemeliharaan dan Pemantauan WordPress sebagai Prioritas
1. Nonaktifkan XML RPC dan REST API di WordPress
Sejak rilis WordPress versi 3.5, Anda memiliki opsi untuk mengaktifkan XML-RPC secara default. Fitur ini berguna untuk pingback dan trackback.
Namun, ini bukan suatu keharusan bagi sebagian besar situs. Ini benar-benar hanya diperlukan jika Anda mengandalkan aplikasi seluler untuk mengelola situs WordPress Anda.
XML-RPC mudah untuk dikompromikan, yang berarti ia memperlihatkan kerentanan yang dapat dieksploitasi oleh peretas selama serangan DDoS. Oleh karena itu, kami menyarankan untuk menonaktifkannya.
Anda dapat melakukannya dengan mengedit file .htaccess Anda. Buka melalui pengelola file akun hosting Anda, atau menggunakan File Transfer Protocol (FTP) dan klien FTP seperti FileZilla. Kemudian pastekan cuplikan kode berikut:
# Blokir permintaan WordPress xmlrpc.php perintah tolak, izinkan menyangkal dari semua
Demikian pula, sebaiknya nonaktifkan REST API di WordPress. Ini adalah saluran lain yang memberikan aplikasi pihak ketiga (dan, pada gilirannya, penjahat dunia maya) akses ke situs WordPress Anda.
Cara termudah untuk menonaktifkan API WordPress di situs Anda adalah dengan menggunakan WP Hide & Security Enhancer.
Plugin ini gratis untuk digunakan dan tidak diperlukan konfigurasi . Setelah Anda menginstal dan mengaktifkannya, Anda dapat menonaktifkan REST API dengan masuk ke WP Hide > JSON API :
Anda juga dapat menggunakan plugin ini untuk menonaktifkan fungsionalitas XML-RPC . Opsi itu terletak di tab XML-RPC .
2. Instal WAF di Situs Anda
Kemungkinannya adalah jika Anda sudah lama menggunakan WordPress, Anda mungkin tahu apa itu WAF. Sederhananya, ini adalah jenis perangkat lunak keamanan yang menambahkan lapisan perlindungan antara situs Anda dan lalu lintas berbahaya. Ini dapat membantu mencegah serangan DDoS dengan membatasi akses pengguna dan menyaring bot .
Meskipun ada banyak WAF berbeda yang dapat dipilih untuk membantu melindungi situs WordPress Anda , kami menyarankan penggunaan Sucuri.
WAF dan Intrusion Prevent System (IPS) Sucuri membantu melindungi situs dari serangan brute force, malware, dan banyak lagi. Hal ini juga dapat mendeteksi lalu lintas berbahaya dan memblokir berbagai jenis serangan DDoS .
Suruci menawarkan beragam paket untuk dipilih. Ia juga memiliki 'Bantuan Segera' untuk situs yang sedang diserang.
3. Pilih Penyedia Hosting yang Aman
Pentingnya hosting berkualitas untuk situs WordPress Anda tidak bisa dilebih-lebihkan. Server Anda memengaruhi kecepatan dan kinerja situs Anda. Namun, hal ini juga memainkan peran integral dalam keamanan dan memengaruhi kemampuan Anda untuk mencegah dan memulihkan serangan DDoS.
[bctt tweet=” Penyedia hosting pilihan Anda dapat membuat Anda rentan terhadap serangan DDoS. #WordPress” nama pengguna=”thewpbuffs”]
Salah satu kekhawatiran besar yang sering dimiliki orang ketika memilih web host adalah biaya. Namun, dalam hal melindungi situs Anda, berinvestasi pada hosting berkualitas sangatlah berharga. Hal ini terutama berlaku jika Anda mempertimbangkan bahwa memilih paket yang murah dapat mengorbankan aset bisnis penting Anda.
Mengingat dampak buruk serangan DDoS terhadap kinerja dan waktu aktif situs Anda, penting untuk memilih penyedia hosting dan paket yang dilengkapi untuk mendeteksi dan menangani banjir lalu lintas yang sangat besar . Beberapa penyedia seperti Kinsta* dan WP Engine* hadir dengan fitur bawaan seperti firewall perangkat keras dan integrasi CDN.
Mudah-mudahan Anda sudah menggunakan penyedia hosting premium dan andal . Jika tidak, kami sarankan untuk beralih ke penyedia hosting WordPress yang dikelola sepenuhnya dan menjadikan keamanan sebagai prioritas. Ini termasuk mencari paket yang menyertakan fitur seperti layanan CDN gratis, pemantauan dan dukungan 24/7, dan pemindaian malware.
4. Gunakan CDN
CDN menyediakan server jaringan tambahan yang membantu mendukung situs WordPress Anda dengan menangani sebagian besar beban server . Meskipun sering dirujuk dalam kaitannya dengan pengoptimalan kinerja, alat ini juga dapat berguna untuk keamanan.
Pada dasarnya, CDN dapat membantu mencegah serangan DDoS dengan mempersulit server Anda untuk kewalahan. Mereka juga dapat membantu mendeteksi pola lalu lintas yang tidak biasa dan, dalam beberapa kasus, bertindak sebagai proksi terbalik.
Ada banyak penyedia layanan CDN yang berbeda di luar sana. Namun, kami menyarankan untuk menggunakan salah satu raksasa pasar, seperti Cloudfare.
Cloudfare mengambil pendekatan keamanan berlapis yang dapat membantu perlindungan dan mitigasi DDoS . Meskipun memiliki beragam paket premium untuk dipilih, Anda dapat menggunakan Global CDN secara gratis. Manfaat lainnya adalah Anda dapat dengan mudah mengintegrasikannya dengan situs web Anda melalui plugin WordPress yang sesuai.
5. Unduh Plugin Perlindungan DDoS WordPress
Plugin keamanan dapat menghemat banyak waktu dan energi dengan menyederhanakan banyak tugas yang rumit. Beberapa juga memiliki fitur yang penting untuk mencegah serangan DDoS di situs WordPress Anda.
Seperti yang kami sebutkan di atas, WAF bisa sangat berguna untuk melindungi situs Anda. Memasang plugin keamanan yang dilengkapi dengan plugin bawaan adalah cara cepat untuk menambahkan perlindungan pada instalasi WordPress Anda.
Selain itu, fungsionalitas seperti batas upaya login, URL buruk dan deteksi alamat IP berbahaya, serta pemblokiran bot semuanya membantu mitigasi serangan. Oleh karena itu, kami menyarankan untuk mengunduh plugin perlindungan DDoS WordPress seperti Wordfence.
Wordfence dapat melakukan semua fungsi yang disebutkan di atas dan banyak lagi. Plugin keamanan WordPress ini juga menyertakan alat untuk memantau lalu lintas dan kunjungan langsung, serta lonjakan aktivitas .
Anda dapat mengunduh dan menggunakan banyak fitur plugin secara gratis. Namun, ia juga menawarkan versi premium yang membuka akses ke rangkaian lengkap fitur keamanan, termasuk Umpan Pertahanan Ancaman secara real-time.
6. Jadikan Pemeliharaan dan Pemantauan WordPress sebagai Prioritas
Saat mengelola situs web Anda, terkadang bentuk perlindungan terbaik adalah pencegahan . Dalam upaya Anda meminimalkan kemungkinan serangan DDoS di situs WordPress Anda, penting untuk menjadikan pemeliharaan dan pemantauan rutin sebagai prioritas.
Melakukan pemeliharaan rutin pada situs Anda akan membantu menjaganya tetap dalam kondisi prima dan pada akhirnya mengurangi jumlah kerentanan yang dapat dieksploitasi oleh penyusup. Pemantauan rutin dapat membantu Anda mengenali aktivitas mencurigakan sebelum menimbulkan kerusakan signifikan.
Ada banyak tugas yang terlibat dalam pemeliharaan dan pemantauan yang tepat, termasuk:
- Pembaruan pada WordPress, plugin, dan tema
- Pemantauan waktu aktif
- Pencadangan otomatis
- Optimalisasi kecepatan
- Pemindaian dan penghapusan malware
Menguasai tugas-tugas ini bisa menjadi proses yang memakan waktu, namun ini merupakan proses yang perlu. Kami menyarankan untuk membuatnya lebih mudah dengan mendaftar ke WordPress Care Plan, seperti yang kami tawarkan di WP Buffs.
Pemeliharaan profesional memberi Anda ketenangan pikiran karena mengetahui situs Anda dirawat dengan baik. Selain itu, Anda meluangkan waktu dalam jadwal Anda sendiri untuk fokus pada urusan bisnis mendesak lainnya.
Membungkus
Mengingat banyaknya ancaman keamanan yang ada saat ini, memantau semua ancaman tersebut bisa jadi terasa berat. Namun, dengan meningkatnya frekuensi dan tingkat keparahan serangan DDoS, memastikan situs WordPress Anda terlindungi dengan baik menjadi semakin penting.
Dalam postingan ini, kami membahas enam tips yang dapat Anda gunakan untuk membantu menghentikan dan mencegah serangan DDoS di situs WordPress Anda:
- Nonaktifkan XMLR RPC dan REST API di WordPress.
- Instal WAF di situs Anda.
- Pilih penyedia hosting yang aman.
- Gunakan CDN.
- Unduh plugin perlindungan DDoS WordPress.
- Jadikan pemeliharaan dan pemantauan WordPress sebagai prioritas.
Jika Anda ingin menjadikan perawatan dan pemeliharaan situs WordPress sebagai prioritas tetapi tidak yakin apakah Anda punya waktu untuk itu, pertimbangkan untuk melakukan outsourcing pekerjaan kepada kami di WP Buffs . Rencana perawatan situs kami yang komprehensif dapat membantu Anda dalam segala hal mulai dari memasang plugin yang sesuai hingga melakukan pemeriksaan keamanan situs secara menyeluruh .
Ingin memberikan tanggapan Anda atau bergabung dalam percakapan? Tambahkan komentar Anda di Twitter.
Kredit Gambar: Scott Weber.