Cara Mencegah dan Menghentikan Serangan DDoS di WordPress

1 6 minutes read

WordPress adalah salah satu pembuat situs web paling populer di dunia karena menawarkan fitur canggih dan basis kode yang aman. Namun, itu tidak melindungi WordPress atau perangkat lunak lainnya dari serangan DDoS berbahaya, yang umum terjadi di Internet.

Serangan DDoS dapat memperlambat situs web dan akhirnya membuatnya tidak dapat diakses oleh pengguna. Serangan ini dapat menargetkan situs web besar dan kecil.

Sekarang, Anda mungkin bertanya-tanya bagaimana situs web bisnis kecil yang menggunakan WordPress dapat mencegah serangan DDoS semacam itu dengan sumber daya yang terbatas.

Dalam panduan ini, kami akan menunjukkan cara efektif mencegah dan menghentikan serangan DDoS di WordPress. Tujuan kami adalah membantu Anda mempelajari cara mengelola keamanan situs web Anda dari serangan DDoS seperti seorang profesional penuh.

Apa itu serangan DDoS?

Serangan DDoS, yang merupakan singkatan dari Distributed Denial of Service, adalah jenis serangan cyber yang menggunakan komputer dan perangkat yang disusupi untuk mengirim atau meminta data dari host WordPress. Tujuan dari permintaan ini adalah untuk memperlambat dan akhirnya membuat server tujuan crash.

Serangan DDoS adalah bentuk evolusi dari serangan DoS (denial of service). Tidak seperti serangan DoS, mereka memanfaatkan beberapa mesin atau server yang disusupi yang tersebar di berbagai wilayah.

Mesin yang disusupi ini membentuk jaringan, kadang-kadang disebut botnet. Setiap mesin yang terpengaruh bertindak sebagai bot dan meluncurkan serangan terhadap sistem atau server targetnya.

Ini memungkinkan mereka untuk tidak diperhatikan untuk sementara waktu dan memberikan kerusakan maksimum sebelum mereka diblokir.

Diagram serangan DDoS

Bahkan perusahaan Internet terbesar pun rentan terhadap serangan DDoS.

Pada tahun 2018, GitHub, platform hosting kode populer, mengalami serangan DDoS besar-besaran yang mengirimkan lalu lintas 1,3 terabyte per detik ke server Anda.

Anda mungkin juga mengingat serangan tahun 2016 yang terkenal pada DYN (penyedia layanan DNS). Serangan ini memiliki liputan berita di seluruh dunia karena memengaruhi banyak situs web populer seperti AmazonNetflix, PayPal, Visa, AirBnB, New York Times, Reddit, dan ribuan situs lainnya.

Mengapa serangan DDoS terjadi?

Ada beberapa motivasi di balik serangan DDoS. Berikut adalah beberapa yang populer:

  • Orang yang paham teknologi yang bosan dan suka berpetualang
  • Orang dan kelompok mencoba menciptakan opini politik
  • Grup yang menargetkan situs web dan layanan di negara atau wilayah tertentu
  • Serangan yang menargetkan bisnis atau penyedia layanan tertentu untuk membahayakan mereka
  • Untuk memeras dan mengumpulkan uang tebusan

Apa perbedaan antara serangan brute force dan serangan DDoS?

serangan membabi buta

Serangan brute force sering mencoba menembus sistem dengan menebak kata sandi atau mencoba kombinasi acak untuk mendapatkan akses tidak sah ke sistem.

Serangan DDoS digunakan hanya untuk memblokir sistem target, membuatnya tidak dapat diakses, atau memperlambatnya.

Untuk informasi lebih lanjut, lihat panduan kami tentang cara memblokir serangan brute force di WordPress dengan petunjuk langkah demi langkah.

Kerusakan apa yang dapat menyebabkan serangan DDoS?

Serangan DDoS dapat membuat situs web tidak dapat diakses atau mengurangi kinerja. Ini dapat menyebabkan pengalaman pengguna yang buruk, kehilangan bisnis, dan biaya mitigasi serangan yang dapat mencapai ribuan dolar.

Berikut adalah rincian biaya tersebut:

  • Kehilangan bisnis karena tidak dapat diaksesnya situs web.
  • Biaya layanan pelanggan untuk menanggapi pertanyaan terkait gangguan layanan
  • Biaya mitigasi serangan dengan menyewa layanan keamanan atau dukungan
  • Biaya terbesar adalah pengalaman pengguna yang buruk dan reputasi merek.

Cara Mencegah dan Menghentikan Serangan DDoS di WordPress

Serangan DDoS dapat disamarkan dengan cerdik dan sulit ditangani. Namun, dengan beberapa praktik terbaik keamanan dasar, Anda dapat dengan mudah mencegah dan menghentikan serangan DDoS agar tidak memengaruhi situs WordPress Anda.

Berikut adalah langkah-langkah yang perlu Anda ambil untuk mencegah dan menghentikan serangan DDoS di situs WordPress Anda.

Hilangkan DDoS / Serangan Vertikal Brute Force Attack

Hal terbaik tentang WordPress adalah sangat fleksibel. WordPress memungkinkan plugin dan alat pihak ketiga untuk diintegrasikan ke situs web Anda dan menambahkan fitur baru.

Untuk melakukan ini, WordPress menyediakan beberapa API untuk pengembang. API ini adalah metode di mana plugin dan layanan WordPress pihak ketiga dapat berinteraksi dengan WordPress.

Namun, beberapa API ini juga dapat dieksploitasi dalam serangan DDoS dengan mengirimkan banyak permintaan. Anda dapat menonaktifkannya dengan aman untuk mengurangi permintaan tersebut.

Nonaktifkan XML RPC di WordPress

XML-RPC memungkinkan aplikasi pihak ketiga untuk berinteraksi dengan situs WordPress Anda. Misalnya, Anda memerlukan XML-RPC untuk menggunakan aplikasi seluler WordPress Anda.

Jika Anda seperti sebagian besar pengguna yang tidak menggunakan aplikasi seluler, Anda dapat menonaktifkan XML-RPC dengan menambahkan kode berikut ke file .htaccess situs Anda.

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all

Untuk metode alternatif, lihat panduan kami tentang cara menonaktifkan XML-RPC dengan mudah di WordPress.

Nonaktifkan REST API di WordPress

WordPress REST API memberikan plugin dan alat kemampuan untuk mengakses data WordPress, memperbarui konten, dan/atau bahkan menghapusnya. Ini adalah bagaimana Anda dapat menonaktifkan REST API di WordPress.

Hal pertama yang harus Anda lakukan adalah menginstal dan mengaktifkan plugin Disable WP Rest API. Untuk detail lebih lanjut, lihat panduan langkah demi langkah kami tentang cara menginstal plugin WordPress.

Plugin berfungsi dengan baik dan akan menonaktifkan REST API untuk semua pengguna yang tidak masuk.

Aktifkan WAF (Firewall Aplikasi Situs Web)

Firewall Aplikasi Web (WAF)

Menonaktifkan vektor serangan seperti REST API dan XML-RPC memberikan perlindungan terbatas terhadap serangan DDoS. Situs Anda masih rentan terhadap permintaan HTTP normal.

Meskipun Anda dapat mengurangi serangan DOS kecil dengan mencoba mendeteksi alamat IP mesin yang salah dan memblokirnya secara manual, pendekatan ini tidak terlalu efektif untuk menangani serangan DDoS.

Cara termudah untuk memblokir permintaan yang mencurigakan adalah dengan mengaktifkan firewall aplikasi situs web.

Firewall Aplikasi Situs Web bertindak sebagai proxy antara situs web Anda dan semua lalu lintas masuk. Ini menggunakan algoritme cerdas untuk mendeteksi semua permintaan yang mencurigakan dan memblokirnya sebelum mencapai server situs web Anda.

Firewall Aplikasi Web

Kami merekomendasikan untuk menggunakan Sucuri karena ini adalah plugin keamanan WordPress dan firewall situs web terbaik. Ini berjalan pada tingkat DNS, yang berarti mereka dapat mendeteksi serangan DDoS sebelum Anda dapat mengklaim situs Anda.

Harga Sucuri mulai dari $20 per bulan (dibayar setiap tahun).

Kami menggunakan Sucuri di WPBeginner. Lihat studi kasus kami tentang bagaimana mereka membantu memblokir ratusan ribu serangan di situs web kami.

Atau, Anda juga dapat menggunakan Cloudflare. Namun, layanan gratis Cloudflare hanya menawarkan perlindungan DDoS terbatas. Anda harus berlangganan setidaknya paket bisnis Anda untuk perlindungan DDoS lapisan 7, dengan biaya sekitar $200 per bulan.

Lihat artikel kami di Sucuri vs Cloudflare untuk perbandingan mendetail.

Catatan: Firewall aplikasi web (WAF) yang berjalan pada level aplikasi kurang efektif dalam serangan DDoS. Mereka memblokir lalu lintas setelah mencapai server web Anda, sehingga masih memengaruhi kinerja keseluruhan situs Anda.

Cari tahu apakah itu Brute Force atau DDoS Attack

Baik serangan brute force dan DDoS menggunakan banyak sumber daya server, yang berarti gejalanya sangat mirip. Situs web Anda akan melambat dan mungkin macet.

Anda dapat dengan mudah mengetahui apakah itu serangan brute force atau serangan DDoS hanya dengan melihat laporan log plugin Sucuri.

Cukup instal dan aktifkan plugin Sucuri gratis, lalu buka Keamanan Sucuri »Login Terbaru Halaman.

Gagal masuk

Jika Anda melihat banyak permintaan login acak, ini berarti wp-admin Anda berada di bawah serangan brute force. Untuk menguranginya, Anda dapat melihat panduan kami tentang cara memblokir serangan brute force di WordPress.

Apa yang harus dilakukan dalam serangan DDoS

Serangan DDoS dapat terjadi bahkan jika Anda memiliki firewall aplikasi web dan perlindungan lainnya. Perusahaan seperti CloudFlare dan Sucuri secara teratur menangani serangan ini dan sebagian besar waktu Anda tidak akan pernah mempelajarinya karena mereka dapat dengan mudah menguranginya.

Namun, dalam beberapa kasus, ketika serangan ini besar, itu masih dapat memengaruhi Anda. Dalam hal ini, lebih baik bersiap untuk mengurangi masalah yang mungkin timbul selama dan setelah serangan DDoS.

Berikut adalah beberapa hal yang dapat Anda lakukan untuk mengurangi dampak serangan DDoS.

1. Beri tahu anggota tim Anda

Jika Anda memiliki tim, Anda harus memberi tahu rekan kerja Anda tentang hal itu. Ini akan membantu mereka mempersiapkan permintaan layanan pelanggan, mencari potensi masalah, dan membantu selama atau setelah serangan.

2. Menginformasikan pelanggan ketidaknyamanan.

Serangan DDoS dapat memengaruhi pengalaman pengguna di situs web Anda. Jika Anda menjalankan toko WooCommerce, pelanggan Anda mungkin tidak dapat melakukan pemesanan atau masuk ke akun mereka.

Anda dapat memberi tahu melalui akun media sosial Anda bahwa situs web Anda mengalami masalah teknis dan semuanya akan segera kembali normal.

Jika serangannya besar, Anda juga dapat menggunakan layanan pemasaran email mereka untuk berkomunikasi dengan pelanggan dan meminta mereka untuk mengikuti pembaruan media sosial mereka.

Jika Anda memiliki klien VIP, Anda mungkin ingin menggunakan layanan telepon perusahaan Anda untuk melakukan panggilan telepon pribadi dan memberi tahu mereka bagaimana Anda bekerja untuk memulihkan layanan.

Berkomunikasi selama masa-masa sulit ini membuat perbedaan besar dalam menjaga reputasi merek Anda tetap kuat.

3. Hubungi hosting dan dukungan keamanan

Hubungi penyedia hosting WordPress Anda. Serangan yang mungkin Anda saksikan dapat menjadi bagian dari serangan yang lebih besar terhadap sistem Anda. Dalam hal ini, mereka harus dapat memberi Anda pembaruan terbaru tentang situasi tersebut.

Hubungi layanan Firewall Anda dan beri tahu mereka bahwa situs Anda diserang DDoS. Mereka dapat mengurangi situasi lebih cepat dan dapat memberi Anda lebih banyak informasi.

Di penyedia firewall seperti Sucuri, Anda juga dapat mengatur pengaturan ke mode paranoid, yang akan memblokir banyak permintaan dan membuat situs Anda dapat diakses oleh pengguna normal.

Jaga agar situs WordPress Anda tetap aman

WordPress cukup aman di luar kotak. Namun, sebagai pembuat situs web paling populer di dunia, sering diserang oleh peretas.

Untungnya, ada banyak praktik terbaik keamanan yang dapat Anda terapkan di situs web Anda untuk membuatnya lebih aman.

Kami telah menyusun panduan keamanan WordPress langkah demi langkah lengkap untuk pemula. Ini akan memandu Anda melalui pengaturan keamanan WordPress terbaik untuk melindungi situs web dan data Anda dari ancaman umum.

Kami harap artikel ini membantu Anda mempelajari cara memblokir dan mencegah serangan DDoS di WordPress. Anda juga dapat melihat panduan kami untuk kesalahan WordPress yang paling umum dan cara memperbaikinya.

Jika Anda menyukai artikel ini, berlangganan saluran kami YouTube untuk menonton video tutorial WordPress. Anda juga dapat menemukan kami di Twitter dan Facebook.

Tags
1 6 minutes read

Pos terkait

Reino Unido cria robo e pedem ajuda a estrela da Netflix!

Apple Didenda $2 juta di Brasil karena tidak menyertakan pengisi daya di dalam kotak iPhone 12

7 Penutup lensa kamera terbaik untuk iPhone 11, 11 Pro dan …

9 Uninstaller Terbaik untuk Mac untuk Menghapus Aplikasi yang Tidak Diinginkan Sepenuhnya pada tahun 2020

© Copyright 2022, All Rights Reserved  |  Tin tức và Phân tích Của tất cả các Thiết bị di động
Back to top button