Apa itu Brute Force Attack?
Serangan brute force adalah upaya mendapatkan akses sebuah akun dengan menebak username dan password yang digunakan.
Brute force attack sebenarnya merupakan teknik lama dalam aksi cyber crime. Namun, masih banyak digunakan karena dianggap masih efektif.
Apakah brute force attack hanya terkait mendapatkan username saja?
Awalnya memang demikian. Namun tujuan utamanya tentu untuk dapat mengakses situs, server yang menyimpan berbagai informasi dan aset penting.
Setelah masuk ke dalam sistem, hacker dapat mengendalikan website Anda hingga mencuri data. Kondisi tersebut tentu akan merugikan Anda, bukan?
5 Metode Brute Force Attack
Pada praktiknya, hacker mencoba menggunakan beberapa metode untuk melakukan brute force attack. Apa saja metodenya?
1. Metode Sederhana
Pada umumnya, hacker akan sekedar menebak-nebak password yang mungkin dipakai pada akun target. Metode ini cukup sering berhasil. Terutama pada akun yang tidak menerapkan batasan login.
Hacker bisa mencoba kombinasi username password sebanyak mungkin.
2. Metode Kamus
Berbeda dengan metode sederhana, pada metode kamus (dictionary attack), hacker telah menyiapkan sekumpulan password yang paling memungkinkan digunakan. Jadi, bukan asal menebak saja.
Dengan daftar password yang telah disiapkan, hacker akan mulai mengeliminasi setiap daftar yang telah dicoba dan gagal. Artinya, hanya kombinasi password yang sering cocok saja yang digunakan sehingga lebih efisien dalam menjalankan aksinya.
3. Metode Hybrid
Metode hybrid adalah serangan brute force dengan menggabungkan metode sederhana dan kamus. Artinya, hacker telah memiliki daftar password untuk menebak login. Namun, selain mencoba menebak kombinasi pada daftar yang ada, mereka akan mencoba menambahkan angka atau huruf yang dianggap potensial.
4. Metode Credential
Sesuai namanya, metode ini akan menggunakan username dan password yang cocok pada suatu akun untuk akun lainnya. Idenya adalah tak sedikit orang yang menggunakan password yang sama dalam berbagai layanan. Jadi, dalam satu aksi pembobolan bisa banyak akun yang dikuasai.
5. Metode Rainbow Table
Metode rainbow table adalah metode brute force yang paling unik. Hacker tidak menebak password tapi melakukan dekripsi proteksi hash — hasil enkripsi dari sebuah password.
Metode ini lebih berpeluang memberikan password yang akurat.
Nah, karena serangan brute force bisa menimpa siapa saja, terutama website WordPress, apa yang sebaiknya dilakukan?
Jawabannya, meningkatkan keamanan website. Bagaimana caranya?
7+ Cara Mencegah Serangan Brute Force
Nah, setelah mengetahui apa itu brute force attack, mari pelajari cara mencegahnya. Ini dia langkahnya:
1. Buat Kombinasi Password yang Rumit
Kalau Anda masih menggunakan password “123456”, segeralah ganti password tersebut karena terlalu umum dan mudah ditebak. Hacker akan mudah mengetahuinya dengan serangan brute force dalam waktu singkat.
Bagaimana membuat password yang kuat?. Gabungkan huruf kapital, huruf kecil, simbol, dan angka yang tidak berurutan. Jangan lupa untuk membuat password minimal 8 karakter.
Pada WordPress, pastikan Anda sudah mendapatkan keterangan Strong yang menunjukkan password sudah kuat.
Semakin kuat password Anda, semakin sulit hacker menebak password tersebut.
2. Mengatur Limit Login
Limit login akan membatasi seberapa banyak percobaan login bisa dilakukan. Hal ini cukup membantu dalam menghindari serangan brute force. Sebab, setelah beberapa percobaan, login akan terkunci beberapa waktu.
Katakanlah, Anda mengatur limit login 5 kali. Maka, setelah gagal login 5 kali di halaman WordPress, akun akan dikunci dan perlu waktu untuk mencoba kombinasi username dan password yang lain.
Ini tentu menyulitkan upaya peretasan karena akan memakan waktu lebih lama.
Limit login memberi kebebasan Anda untuk mengatur tingkat keamanannya: berapa banyak percobaan yang dilakukan atau berapa lama login dikunci.
Bagi pengguna WordPress, Anda bisa mengatur limit login dengan mudah menggunakan plugin keamanan seperti iThemes Security, Wordfence Security, dan masih banyak lagi.
3. Gunakan Captcha
Untuk mengamankan website dari brute force attack, Anda dapat menggunakan captcha (Completely Automated Public Test to Tell Computers and Humans Apart).
Sistem ini akan membantu memastikan bahwa login dilakukan oleh pengguna yang berwenang, bukan oleh sebuah program komputer yang dirancang hacker untuk membobol sistem.
Dengan captcha yang aktif, ketika login, Anda tak hanya mengisi username dan password saja, tapi juga captcha.
Captcha hanya bisa dipahami oleh visual manusia. Jadi robot/program komputer tidak akan bisa tahu isinya. Awalnya, captcha hanya berupa huruf dan angka random. Namun, saat ini telah berkembang, ada yang berupa penjumlahan dan mencocokan gambar.
Untuk menggunakan captcha, pengguna WordPress cukup memasang plugin WP Captcha.
Setelah terpasang, aktifkan plugin tersebut. Selanjutnya, Anda tinggal memilih jenis captcha yang Anda inginkan dan melakukan beberapa pengaturan seperti penempatan captcha.
4. Manfaatkan Two Factor Authentication
Two Factor Authentication (2FA) adalah upaya mencegah brute force attack dengan menggunakan konfirmasi dari perangkat lain. Jadi, diperlukan otentikasi dua kali untuk bisa login dengan akun Anda, yaitu password dan kode khusus.
Dengan 2FA yang diaktifkan, Anda akan mendapatkan kode otentikasi setiap kali login. Biasanya kode akan Anda terima lewat nomor telepon Anda atau email.
Keuntungan menggunakan 2FA adalah Anda akan mendapat informasi adanya aktivitas login yang dilakukan. Selain itu, tanpa kode dari Anda, tak seorang pun bisa melanjutkan upaya login.
Untuk mengaktifkan fitur 2FA pada website, Anda dapat melihat panduan yang telah kami buat → Cara Menambahkan 2FA pada Login WordPress
5. Mengganti URL Login WordPress
Untuk login ke WordPress, URL yang digunakan adalah namawebsite.com/wp-admin. URL default ini sering digunakan hacker untuk melakukan brute force.
Jika Anda mengganti URL login akan lebih sulit hacker menebaknya. Bagaimana caranya?
Anda hanya perlu install dan aktifkan plugin All in One WP Security & Firewall. Setelah aktif, pilih menu Brute force.
Masukkan URL login baru yang Anda inginkan pada kolom Login Page URL. Lalu centang check this if you want to enable the rename login page feature dan klik Save Settings.
Sekarang, alamat URL login website Anda telah berubah. Mudah bukan?
7. Menggunakan CloudFlare
CloudFlare merupakan layanan keamanan untuk melindungi website WordPress, termasuk dari brute force attack. Dengan CloudFlare, pengguna dapat melakukan pengaturan untuk membatasi halaman login dan memeriksa integritas browser.
CloudFlare bisa Anda aktifkan dengan mudah melalui cPanel. Lebih lengkapnya, Anda bisa kunjungi panduan yang telah kami buat → Cara Setting CloudFlare di WordPress
8. Memantau Log WordPress Anda
Penting untuk mengecek daftar aktivitas user yang ada pada website Anda. Dari data tersebut, Anda bisa tahu jika ada aktivitas mencurigakan pada website. Termasuk percobaan login berkali-kali, lengkap dengan alamat IP-nya.
Cara untuk memantaunya pun sangat mudah. Anda bisa memanfaatkan plugin keamanan seperti plugin WP Security Audit Log.
Anda cukup install dan aktifkan plugin terlebih dahulu. Setelah aktif, Anda dapat melihat log WordPress pada bagian Audit Log Viewer.
Cegah Brute Force Attack di Website Anda Sekarang!
Keamanan website harus selalu diutamakan untuk mencegah serangan hacker, terutama serangan brute force. Sebab, hacker dapat leluasa menguasai website, merusak reputasi bisnis, dan mengakses server untuk mencuri data penting.
Meskipun brute force attack cukup berbahaya, serangan ini masih bisa dicegah. Kami sudah membahasnya di atas dengan lengkap. Mulai dari membuat password yang rumit, mengaktifkan two factor authentication, sampai memonitoring log server.
Selain itu, perhatikan juga perlindungan dari layanan web hosting Anda. Jangan ragu untuk menggunakan perlindungan tambahan seperti imunify360 yang akan lebih meningkatkan keamanan website.