WordPress adalah salah satu yang paling banyak pembangun situs web populer di dunia karena ia menawarkan fitur-fitur canggih dan basis kode yang aman. Namun, itu tidak melindungi WordPress atau perangkat lunak lain dari serangan DDoS berbahaya, yang umum di internet.
Serangan DDoS dapat memperlambat situs web dan pada akhirnya membuatnya tidak dapat diakses oleh pengguna. Serangan-serangan ini dapat ditargetkan ke situs web kecil dan besar.
Sekarang, Anda mungkin bertanya-tanya bagaimana sebuah situs web bisnis kecil menggunakan WordPress dapat mencegah serangan DDoS dengan sumber daya terbatas?
Dalam panduan ini, kami akan menunjukkan kepada Anda cara menghentikan dan mencegah serangan DDoS di WordPress secara efektif. Tujuan kami adalah membantu Anda mempelajari cara mengelola keamanan situs web Anda terhadap serangan DDoS seperti pro total.
Serangan DDoS, kependekan dari serangan Denial of Service Terdistribusi, adalah jenis serangan dunia maya yang menggunakan komputer dan perangkat yang disusupi untuk mengirim atau meminta data dari Server hosting WordPress. Tujuan dari permintaan ini adalah untuk memperlambat dan akhirnya menghancurkan server yang ditargetkan.
Serangan DDoS adalah bentuk evolusi dari serangan DoS (Denial of Service). Tidak seperti serangan DoS, mereka mengambil keuntungan dari beberapa mesin atau server yang disalahgunakan yang tersebar di berbagai wilayah.
Mesin yang dikompromikan ini membentuk jaringan, yang kadang-kadang disebut botnet. Setiap mesin yang terpengaruh bertindak sebagai bot dan meluncurkan serangan pada sistem atau server yang ditargetkan.
Ini memungkinkan mereka untuk tidak diperhatikan untuk sementara waktu dan menyebabkan kerusakan maksimum sebelum mereka diblokir.
Bahkan perusahaan internet terbesar pun rentan terhadap serangan DDoS.
Pada tahun 2018, GitHub, platform hosting kode populer, menyaksikan serangan DDoS besar yang mengirimkan lalu lintas 1,3 terabyte per detik ke server mereka.
Anda juga dapat mengingat serangan terkenal 2016 pada DYN (penyedia layanan DNS). Serangan ini mendapat liputan berita di seluruh dunia karena memengaruhi banyak situs web populer seperti Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit, dan ribuan situs web lainnya.
Mengapa Serangan DDoS Terjadi?
Ada beberapa motivasi di balik serangan DDoS. Di bawah ini adalah beberapa yang umum:
Orang-orang yang paham secara teknis yang baru saja bosan dan menganggapnya sebagai petualangan uang
Apa perbedaan antara Serangan Brute Force dan Serangan DDoS?
Serangan Brute Force biasanya mencoba membobol sistem dengan menebak kata sandi atau mencoba kombinasi acak untuk mendapatkan akses tidak sah ke suatu sistem.
Serangan DDoS murni digunakan untuk hanya menghancurkan sistem target yang membuatnya tidak dapat diakses atau memperlambatnya.
Untuk detail, lihat panduan kami tentang cara blokir serangan brute force di WordPress dengan petunjuk langkah demi langkah.
Kerusakan apa yang dapat disebabkan oleh serangan DDoS?
Serangan DDoS dapat membuat situs web tidak dapat diakses atau mengurangi kinerja. Ini dapat menyebabkan pengalaman pengguna yang buruk, kehilangan bisnis, dan biaya mitigasi serangan bisa mencapai ribuan dolar.
Berikut adalah rincian biaya-biaya ini:
Kehilangan bisnis karena tidak dapat diaksesnya situs web Biaya dukungan pelanggan untuk menjawab gangguan terkait permintaan layanan Biaya mitigasi serangan dengan menyewa layanan atau dukungan keamanan Biaya terbesar adalah pengalaman pengguna yang buruk dan reputasi merek
Serangan DDoS dapat disamarkan secara cerdik dan sulit untuk dihadapi. Namun, dengan beberapa praktik terbaik keamanan dasar, Anda dapat mencegah dan dengan mudah menghentikan serangan DDoS dari memengaruhi situs web WordPress Anda.
Berikut adalah langkah-langkah yang perlu Anda ambil untuk mencegah dan menghentikan serangan DDoS di situs WordPress Anda.
Hal terbaik tentang WordPress adalah sangat fleksibel. WordPress memungkinkan pihak ketiga plugin dan alat untuk mengintegrasikan ke situs web Anda dan menambahkan fitur baru.
Untuk melakukan itu, WordPress menyediakan beberapa API untuk programmer. API ini adalah metode di mana plugin dan layanan WordPress pihak ketiga dapat berinteraksi dengan WordPress.
Namun, beberapa API ini juga dapat dieksploitasi selama serangan DDoS dengan mengirimkan banyak permintaan. Anda dapat menonaktifkannya dengan aman untuk mengurangi permintaan itu.
Nonaktifkan XML RPC di WordPress
XML-RPC memungkinkan aplikasi pihak ketiga untuk berinteraksi dengan situs web WordPress Anda. Misalnya, Anda memerlukan XML-RPC untuk menggunakan Aplikasi WordPress di perangkat seluler Anda.
Jika Anda menyukai sebagian besar pengguna yang tidak menggunakan aplikasi seluler, maka Anda dapat menonaktifkan XML-RPC dengan hanya menambahkan kode berikut ke situs web Anda. File .htaccess.
# Blokir permintaan xmlrpc.php WordPress
pesanan ditolak, izinkan
tolak dari semua
Untuk metode alternatif, lihat panduan kami tentang cara mudah nonaktifkan XML-RPC di WordPress.
Nonaktifkan REST API di WordPress
API WordPress JSON REST memungkinkan plugin dan alat kemampuan untuk mengakses data WordPress, memperbarui konten, dan / atau bahkan menghapusnya. Inilah cara Anda dapat menonaktifkan REST API di WordPress.
Hal pertama yang perlu Anda lakukan adalah menginstal dan mengaktifkan Nonaktifkan WP Rest API plugin. Untuk detail lebih lanjut, lihat panduan langkah demi langkah kami di cara menginstal plugin WordPress.
Plugin berfungsi di luar kotak, dan itu akan mudah nonaktifkan API REST untuk semua pengguna yang tidak masuk.
Menonaktifkan vektor serangan seperti REST API dan XML-RPC menyediakan perlindungan terbatas terhadap serangan DDoS. Situs web Anda masih rentan terhadap permintaan HTTP normal.
Meskipun Anda dapat mengurangi serangan DOS kecil dengan mencoba menangkap IP mesin buruk dan memblokirnya secara manual, pendekatan ini tidak terlalu efektif ketika berhadapan dengan serangan DDoS besar.
Cara termudah untuk memblokir permintaan yang mencurigakan adalah dengan mengaktifkan a firewall aplikasi situs web.
Firewall aplikasi situs web bertindak sebagai proksi antara situs web Anda dan semua lalu lintas masuk. Ini menggunakan algoritma pintar untuk menangkap semua permintaan mencurigakan dan memblokirnya sebelum mereka mencapai server situs web Anda.
Kami merekomendasikan penggunaan Sucuri karena itu adalah Plugin keamanan WordPress terbaik dan firewall situs web. Ini berjalan pada tingkat DNS yang berarti mereka dapat menangkap serangan DDoS sebelum dapat membuat permintaan ke situs web Anda.
Harga untuk Sucuri mulai dari $ 20 per bulan (dibayar setiap tahun).
Kami menggunakan Sucuri di WPBeginner. Lihat studi kasus kami tentang cara mereka membantu memblokir ratusan ribu serangan di situs web kami.
Bergantian, Anda juga bisa menggunakan Cloudflare. Namun, layanan Cloudflare gratis hanya memberikan perlindungan DDoS terbatas. Anda harus mendaftar setidaknya untuk rencana bisnis mereka untuk perlindungan DDoS layer 7 yang biayanya sekitar $ 200 per bulan.
Lihat artikel kami di Sucuri vs Cloudflare untuk perbandingan berdampingan rinci.
catatan: Firewall Aplikasi Situs Web (WAF) yang berjalan pada tingkat aplikasi kurang efektif selama serangan DDoS. Mereka memblokir lalu lintas setelah mencapai server web Anda, sehingga masih memengaruhi kinerja situs web Anda secara keseluruhan.
Serangan brute force dan DDoS secara intensif menggunakan sumber daya server, yang berarti gejalanya terlihat sangat mirip. Situs web Anda akan menjadi lebih lambat dan mungkin macet.
Anda dapat dengan mudah mengetahui apakah itu serangan brute force atau serangan DDoS hanya dengan melihat laporan login plugin Sucuri.
Cukup, instal dan aktifkan yang gratis Sucuri plugin dan kemudian pergi ke Sucuri Keamanan »Login Terakhir halaman.
Jika Anda melihat sejumlah besar permintaan login acak, maka ini berarti wp-admin Anda sedang dalam serangan brute force. Untuk menguranginya, Anda dapat melihat panduan kami tentang cara melakukannya blokir serangan brute force di WordPress.
Serangan DDoS dapat terjadi bahkan jika Anda memiliki firewall aplikasi web dan perlindungan lainnya. Perusahaan seperti CloudFlare dan Sucuri berurusan dengan serangan ini secara teratur, dan sebagian besar waktu Anda tidak akan pernah mendengarnya karena mereka dapat dengan mudah mengurangi itu.
Namun dalam beberapa kasus, ketika serangan ini besar, itu masih bisa berdampak pada Anda. Dalam hal itu, yang terbaik adalah bersiap untuk mengurangi masalah yang mungkin timbul selama dan setelah serangan DDoS.
Berikut adalah beberapa hal yang dapat Anda lakukan untuk meminimalkan dampak serangan DDoS.
1. Beri tahu anggota tim Anda
Jika Anda memiliki tim, maka Anda perlu memberi tahu rekan kerja tentang masalah ini. Ini akan membantu mereka mempersiapkan pertanyaan dukungan pelanggan, mencari kemungkinan masalah, dan membantu selama atau setelah serangan.
2. Beri tahu pelanggan tentang ketidaknyamanan ini
Serangan DDoS dapat memengaruhi pengalaman pengguna di situs web Anda. Jika Anda menjalankan WooCommerce toko, maka pelanggan Anda mungkin tidak dapat melakukan pemesanan atau masuk ke akun mereka.
Anda dapat mengumumkan melalui akun media sosial Anda bahwa situs web Anda mengalami kesulitan teknis dan semuanya akan segera kembali normal.
Jika serangannya besar, maka Anda juga bisa menggunakan layanan pemasaran email untuk berkomunikasi dengan pelanggan dan meminta mereka untuk mengikuti pembaruan media sosial Anda.
Jika Anda memiliki pelanggan VIP, maka Anda mungkin ingin menggunakan layanan telepon bisnis untuk membuat panggilan telepon terpisah dan memberi tahu mereka bagaimana Anda bekerja untuk memulihkan layanan.
Komunikasi selama masa-masa sulit ini membuat perbedaan besar dalam menjaga reputasi merek Anda kuat.
3. Hubungi Hosting dan Dukungan Keamanan
Hubungi penyedia hosting WordPress Anda. Serangan yang Anda saksikan bisa menjadi bagian dari serangan yang lebih besar menargetkan sistem mereka. Dalam hal ini, mereka akan dapat memberi Anda pembaruan terkini tentang situasinya.
Hubungi layanan Firewall Anda dan beri tahu mereka bahwa situs web Anda berada di bawah serangan DDoS. Mereka mungkin dapat mengurangi situasi lebih cepat dan dapat memberi Anda lebih banyak informasi.
Di penyedia firewall seperti Sucuri, Anda juga dapat mengatur pengaturan agar berada dalam mode Paranoid yang membantu memblokir banyak permintaan dan membuat situs web Anda dapat diakses oleh pengguna normal.
WordPress cukup aman di luar kotak. Namun, sebagai pembuat situs web paling populer di dunia, ia sering ditargetkan oleh peretas.
Untungnya, ada banyak praktik keamanan terbaik yang dapat Anda terapkan di situs web Anda untuk membuatnya lebih aman.
Kami telah menyusun komplit langkah demi langkah panduan keamanan WordPress untuk pemula. Ini akan memandu Anda melalui pengaturan keamanan WordPress terbaik untuk melindungi situs web Anda, dan datanya terhadap ancaman umum.
Kami harap artikel ini membantu Anda mempelajari cara memblokir dan mencegah serangan DDoS di WordPress. Anda mungkin juga ingin melihat panduan kami paling banyak kesalahan umum WordPress dan cara memperbaikinya.
Jika Anda menyukai artikel ini, silakan berlangganan artikel kami Saluran Youtube untuk tutorial video WordPress. Anda juga dapat menemukan kami di Kericau dan Facebook.
.
Tanda tangan email berfungsi sebagai cara ampuh bagi individu dan bisnis untuk meninggalkan kesan abadi…
Apakah kesalahan 'ERR_SSL_VERSION_OR_CIPHER_MISMATCH' menghentikan Anda mengakses situs web WordPress? Kesalahan ini hanya terlihat saat mengunjungi…
Jika Anda adalah individu yang banyak akal dan berpikiran maju yang bekerja di bidang pemasaran,…
Siap menguasai Google Analytics 4 dengan sedikit bantuan dari MonsterInsights? GA4 adalah alat analitik yang…
Apakah Anda mencari cara untuk menerjemahkan plugin WordPress ke dalam bahasa Anda? Dengan menerjemahkan plugin…
Mencari solusi untuk hack redirect WordPress? ???????? Peretasan pengalihan WordPress sayangnya merupakan kejadian umum dan…