Cara Melindungi WordPress dari serangan DDoS

Oleh Diposting pada
Cara Melindungi WordPress dari serangan DDoS

Cara Melindungi WordPress dari serangan DDoS sangat berguna bagi Anda yang sedang mengalami kesulitan karena adanya serangan DDos tiba-tiba ke web atau blog kesayangan Anda

Semua kerja keras yang Anda lakukan di situs WordPress Anda dapat hilang dalam hitungan detik jika Anda tidak mengambil langkah apa pun untuk melindunginya dari serangan DDoS.

Semua situs web yang dapat diakses publik rentan terhadap serangan DDoS, dan situs web berbasis WordPress tidak terkecuali. Untungnya, WordPress adalah platform yang sangat fleksibel dan karenanya mendukung langkah-langkah perlindungan serangan yang efektif. Ini hanya masalah pencegahan: menangkis serangan atau mengurangi efeknya; Anda harus bertindak sebelum itu terjadi.

Daftar Isi

Apa itu Serangan DDoS?

Singkatan dari Distributed Denial of Service, serangan DDoS adalah tindakan agresif terkoordinasi yang dilakukan oleh jaringan komputer atau perangkat yang disusupi (botnet) yang secara besar-besaran mengirim atau meminta data dari server (target). Membanjirnya permintaan membebani kapasitas server, memperlambatnya atau menyebabkannya macet karena kekurangan sumber daya.

Potensi kerusakan dari serangan DDoS

Jika website Anda menjadi target serangan DDoS, banyak hal buruk yang bisa terjadi padanya.

Sebagai contoh: Pengalaman pengunjung Anda dapat terpengaruh secara negatif. Paling-paling, respons situs bisa menjadi lamban dan mungkin dalam kasus terburuk, seluruh situs akan mati dan tidak dapat diakses.

Jika situs Anda adalah toko online, Anda mungkin kehilangan penjualan, dan jika Anda hanya menyajikan konten, pengunjung Anda mungkin pergi ke tempat lain untuk mendapatkan apa yang mereka inginkan.

Reputasi situs web Anda dapat sangat menurun , baik dalam hal reputasi merek yang dirasakan (yaitu bisnis Anda tidak dianggap serius) dan dalam hal otoritas, relevansi, dan kepercayaan, yang merupakan landasan dari setiap strategi SEO.

Anda akan dikenakan biaya untuk memperbaiki kerusakan tersebut. Biaya akan tergantung pada durasi serangan dan sulit untuk dihitung karena Anda harus mempertimbangkan banyak efek samping, seperti upaya dukungan pelanggan untuk menanggapi keluhan pengguna tentang gangguan layanan atau menyewa layanan keamanan untuk membersihkan situs Anda.

Siapa saja korban serangan DDoS?

Situs web apa pun, tidak peduli ukuran atau volumenya, dapat menjadi sasaran serangan DDoS.

Situs dengan kerentanan terbuka adalah target termudah, tetapi serangan dapat dengan sengaja diatur terhadap situs tertentu. Serangan dapat dilakukan karena alasan ideologis (praktik yang disebut hacktivism ); misalnya, untuk mendiskreditkan situs web yang mempromosikan gagasan politik atau agama tertentu. Atau memeras pemilik situs web dan meminta tebusan. Atau bisa juga sekadar hobi sekelompok orang yang paham teknologi yang ingin memamerkan keahlian mereka.

Serangan juga dapat dikontrak: perusahaan membayar sekelompok peretas untuk secara khusus menyerang pesaingnya. Apa pun alasannya, intinya adalah: setiap pemilik situs web harus mengambil tindakan pencegahan untuk mencegah serangan DDoS merusak situs web mereka. Ini tidak sulit atau mahal, jadi tidak ada alasan untuk tidak melakukannya.

Cara Melindungi WordPress dari serangan DDoS?

Dua langkah keamanan yang perlu Anda ambil untuk melindungi situs WordPress Anda dari serangan DDoS:

  1. Dapatkan solusi cadangan WordPress yang bagus.
  2. Mulailah dengan solusi keamanan anti-DDoS berbasis cloud yang hemat biaya.

Solusi pencadangan adalah sesuatu yang harus Anda miliki karena berbagai alasan, bukan hanya perlindungan DDoS. Ada banyak solusi pencadangan gratis dan berbayar di katalog plugin WordPress, jadi kami tidak akan membahasnya secara mendalam sekarang. Setelah serangan, jika situs web Anda rusak, memulihkannya dari cadangan yang aman adalah cara cepat untuk mengembalikannya ke normal.

Dalam hal solusi keamanan anti-DDoS, Anda harus bertanya pada diri sendiri berapa banyak ketenangan pikiran yang Anda inginkan dan berapa banyak uang yang ingin Anda bayarkan untuk itu. Jika Anda tidak ingin membayar apa pun, Anda harus mengurus beberapa hal sendiri.

Salah satu hal hebat tentang WordPress adalah ia memiliki arsitektur terbuka yang memungkinkan aplikasi pihak ketiga untuk berintegrasi dan berinteraksi dengannya. Ini dicapai dengan berbagai API (Application Programming Interface) yang tersedia untuk pemrogram. Masalahnya adalah bahwa API ini dapat dieksploitasi oleh serangan DDoS untuk mengirim banyak permintaan. Jadi hal pertama yang harus dilakukan: nonaktifkan API yang dapat dieksploitasi yang disebut XML-RPC.

Anda hanya memerlukan XML-RPC jika situs WordPress Anda berinteraksi dengan aplikasi pihak ketiga eksternal seperti aplikasi seluler WordPress. Jika Anda dapat melakukannya tanpa mereka, sebaiknya nonaktifkan XML-RPC. Ini dapat dilakukan hanya dengan mengedit situs Anda .htaccessuntuk menolak akses ke program xmlrpc.php. Atau, jika Anda merasa tidak aman untuk mengubah file internal situs Anda sendiri, Anda bisa mendapatkan plugin yang bekerja untuk Anda.

Berikut beberapa Alternatif layanan untuk melindungi situs WordPress Anda dari serangan DDoS :

Cloudflare

Cloudflare menggunakan CDN (Content Delivery Network) yang sangat besar untuk melindungi situs WordPress Anda dari serangan DDoS, yang membuat situs Anda lebih cepat dan juga melindunginya. Dengan lebih dari 200 pusat data yang tersebar di seluruh dunia, CDN cukup besar untuk menyerap dan menangkis bahkan serangan yang paling kuat, jadi Anda tidak perlu khawatir akan kelebihan kapasitas mitigasi Anda.

Pendekatan mitigasi proaktif memungkinkan Cloudflare mengantisipasi serangan dengan memanfaatkan kecerdasan bersama, yang dipilih dari analisis perilaku tanda tangan dan IP di lebih dari 20 juta situs web. Perlindungan mendeteksi dan memblokir serangan Layer 3, 4, dan 7 di edge, mencegahnya mencapai situs Anda.

Selain itu, semua port TCP di infrastruktur Anda diamankan, menggunakan Spectrum ke lalu lintas proxy melalui pusat data Cloudflare.

Layanan ini gratis untuk situs individu dan kecil (non-bisnis penting). Paket gratis mencakup mitigasi serangan DDoS, CDN global, dan dukungan email. Paket berbayar mulai dari $20 per bulan, menambahkan firewall aplikasi web, analisis cache, pengoptimalan seluler, dan manfaat lainnya.

Untuk situs penting bisnis, paket perusahaan menambahkan dukungan obrolan/telepon 24x7x365, SLA waktu aktif 100%, dukungan rekayasa solusi, dan manfaat lainnya.

StackPath

Jaringan global dengan kapasitas total 65 Tbps memungkinkan solusi StackPath untuk mengurangi serangan DDoS terbesar dan tercanggih, menangani berbagai metode serangan termasuk HTTP, SYN, dan banjir UDP. Platform StackPath mengumpulkan dan menganalisis informasi tentang serangan DDoS di semua titik keberadaan Anda, memungkinkan Anda memblokir semua upaya jahat, terlepas dari sumbernya.

Baca juga  6 Program Afiliasi Tema WordPress Terbaik

Untuk mengamankan situs WordPress Anda di lapisan jaringan, jaringan StackPath global menggunakan peralatan jaringan yang melindungi dari serangan DDoS lapisan 3 dan 4 pada perangkat. Sementara itu, firewall aplikasi web cerdas mengurangi serangan DDoS Layer 7 yang canggih dalam waktu kurang dari satu detik menggunakan teknik validasi JavaScript unik yang mendeteksi dan memblokir bot otomatis dan menyediakan alat canggih untuk mengonfigurasi ambang batas DDoS untuk memenuhi kebutuhan spesifik Anda. .

Perlindungan DDoS StackPath adalah bagian dari rangkaian layanan tepi yang dimulai dari $20 per bulan dan mencakup CDN, Firewall Aplikasi Web (WAF), DNS, dan layanan pemantauan. Keempat layanan ini dapat dibeli satu per satu, masing-masing seharga $10 per bulan. Skala harga menurut volume; misalnya, jika Anda membutuhkan CDN 100 TB/bulan dan WAF 50 juta/bulan, Anda harus membayar $2.000 per bulan.

Plugin anti-DDoS

Ada beberapa plugin keamanan WordPress yang memperbaiki kerentanan WordPress lainnya. Plugin ini mengatasi masalah kinerja yang disebabkan oleh serangan brute force dan DDoS. Dengan melakukan semua pemeriksaan melalui file .htaccess, itu menghentikan permintaan jahat di tingkat server web sebelum mereka dapat mencapai situs WordPress.

Itu juga memperbaiki kerentanan XML-RPC dan opsi konfigurasinya memberi pengguna Cloudflare kemampuan untuk menolak akses ke pengunjung dari negara tertentu.

Nonaktifkan WP REST API – WordPress REST API adalah kerentanan lain yang dapat dieksploitasi dari CMS populer. Untungnya, kerentanan ini dapat dengan mudah diperbaiki dengan plugin super ringan ini. Ini hanya menggunakan 22 baris kode – kurang dari 2 KB – dan bekerja dengan menonaktifkan WP REST API untuk pengunjung WordPress yang tidak masuk log. Setelah menginstal dan mengaktifkannya, jika pengunjung yang terputus membuat permintaan JSON/REST ke situs Anda, mereka akan menerima pesan bahwa REST API dibatasi untuk pengguna yang diautentikasi.

Nonaktifkan Pingback XML-RPC – dengan 80.000+ pemasangan dan 4,5 bintang; plugin ini menghilangkan semua metode yang dapat dieksploitasi dari antarmuka XML-RPC. Juga, menghapus X-Pingback dari header HTTP, yang mencegah bot mencapai file xmlrpc.php.

Security Suite

Jika Anda ingin benar-benar melupakan DDoS dan masalah keamanan lainnya untuk mengerahkan semua upaya Anda ke dalam bisnis Anda, Anda menginginkan solusi yang mencakup semua dasar.

Solusi semacam itu harus mencakup:

  • Firewall aplikasi web. Firewall berada di antara situs web Anda dan internet, mendeteksi lalu lintas yang tidak bersahabat dan memblokirnya.
  • Paket antivirus untuk situs web. Ini harus secara berkala dan otomatis memindai situs web Anda untuk mencari jejak malware dan menghapusnya.
  • Server memindai peretasan yang tidak menular seperti iklan spanduk dari situs web yang tidak dikenal.
  • Audit/pemantauan situs web untuk mendeteksi aktivitas mencurigakan seperti perubahan file, posting baru, pengguna baru, upaya login yang gagal, dan lainnya.

Mari kita jelajahi solusi berikut yang memberikan keamanan situs WordPress yang komprehensif.

Sucuri

Sucuri adalah perusahaan keamanan web terkenal dengan banyak pengalaman di situs web WordPress. Saat Anda mengaktifkan Sucuri di situs web Anda, mereka memasang firewall proxy cloud antara situs web Anda dan internet, memfilter semua lalu lintas yang diarahkan ke server hosting Anda.

Firewall hanya mengizinkan pengunjung yang sah untuk mengakses situs WordPress Anda. Sebagai efek samping, situs web Anda akan merespons lebih cepat berkat cloud Sucuri, dan Anda dapat menghemat uang untuk hosting dengan mengurangi volume lalu lintas yang harus ditangani server Anda.

Solusi all-in-one Sucuri menambah campuran suite antivirus yang secara teratur memindai dan memantau situs web Anda agar tetap bebas dari semua jenis malware: cuplikan JavaScript berbahaya, pengalihan mencurigakan, injeksi kode, dll.

Ini juga memeriksa bahwa situs Anda tidak masuk daftar hitam oleh layanan penilaian reputasi. Dengan menelusuri log audit situs, Anda akan diberi tahu tentang semua yang terjadi di situs WordPress Anda, termasuk pengguna baru, upaya login yang gagal, perubahan file, dan banyak lagi.

Paket harga Sucuri mulai dari sekitar $ 199 per tahun untuk layanan dasar – yang tidak terlalu mendasar, karena hanya kekurangan beberapa item berorientasi bisnis. Fitur yang disertakan lebih dari sekadar membenarkan harga, tetapi jika itu tidak cukup untuk meyakinkan Anda, pertimbangkan bahwa mereka juga menawarkan layanan pembersihan malware bersama dengan penghapusan daftar hitam.

Jika situs web Anda aman, Anda mungkin tidak memerlukan layanan ini, tetapi pertimbangkan bahwa pakar keamanan dapat dengan mudah mengenakan biaya $250 per jam untuk menghapus infeksi malware dari situs web Anda.

Astra Security

Astra Security adalah salah satu solusi keamanan WordPress terkemuka. Firewall titik akhir cerdas Astra dipasang dengan mulus ke situs web Anda dan memberikan perlindungan waktu nyata terhadap serangan DDoS lapisan 7 dan 100+ jenis serangan lainnya.

Firewall ini didukung oleh kecerdasan pembelajaran mesin yang mengidentifikasi serangan yang diketahui, perilaku bot, dan permintaan jahat, serta berkembang dengan setiap jenis serangan baru. Aktif 24/7, firewall Astra melindungi situs web Anda dengan sempurna.

Selain itu, firewall Astra berfungsi dengan baik di servernya sendiri tanpa memerlukan perubahan DNS apa pun.

Tapi itu tidak semua. Paket Astra Security menawarkan lebih banyak lagi. Setiap paket keamanan dilengkapi dengan WAF, Pemindai Malware, Pemblokir Negara dan IP, dan banyak fitur berguna lainnya.

Memulai dengan Astra Security itu mudah dan seluruh prosesnya memakan waktu kurang dari 15 menit. Begitulah cara kerjanya:

  • Instal plugin Astra Security dari repositori WordPress
  • Buat akun, pilih paket dan daftar
  • Terakhir, klik ‘Hubungkan ke Astra’ di backend WP Anda

Jika situs Anda down, masuk daftar hitam, atau kehilangan reputasi, jangan membuat alasan. Anda memiliki semua sumber daya  yang berguna untuk mencegah bencana yang merusak situs WordPress tercinta Anda. Jika Anda belum melakukannya, ambil tindakan dan lakukan sesuatu sebelum terlambat.

Posting terkait:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *