Aksi kejahatan online atau cyber crime terjadi setiap 24 menit. Di antara aksi itu, brute force termasuk yang perlu diwaspadai.
Apa itu brute force attack, serangan yang konon memanfaatkan kelemahan keamanan website? Lalu, bagaimana Anda bisa melindungi website supaya tak menjadi korbannya?
Di artikel ini, kami akan menjelaskannya secara lengkap. Nah, mari mulai dari pengertian brute force dulu.
Apa itu Brute Force Attack?
Brute force adalah upaya mendapatkan akses sebuah akun dengan menebak username dan password yang digunakan.
Brute force attack sebenarnya merupakan teknik lama dalam aksi cyber crime. Namun, ternyata masih banyak digunakan karena dianggap masih efektif.
Apakah brute force attack hanya terkait mendapatkan nama pengguna atau kata kunci saja?
Awalnya memang demikian. Namun itu hanya langkah awal metode serangan. Tujuan utama brute force adalah mengakses situs, server yang menyimpan berbagai informasi dan aset penting lain.
Setelah masuk ke dalam sistem, hacker dapat mengendalikan website Anda hingga mencuri data. Akibat brute force attacks tersebut tentu akan merugikan Anda, bukan?
6 Metode Brute Force Attack
Pada praktiknya, hacker mencoba menggunakan beberapa metode untuk melakukan brute force attack. Apa saja metodenya?
1. Metode Sederhana
Simple brute force adalah metode paling sederhana dari aksi cyber crime ini. Jadi, hacker akan sekedar menebak-nebak password pada akun target yang sudah dimiliki.
Jangan salah, metode brute force dengan trial and error ini justru cukup sering berhasil. Terutama pada akun yang dengan password lemah dan sistem tanpa batasan login.
Baik secara manual atau otomatis, hacker bisa mencoba kombinasi username password sebanyak mungkin pada simple brute force.
Kesalahan fatal dari pengguna umumnya adalah menggunakan password bawaan seperti “1234” atau “password”.
2. Metode Kamus
Sedikit lebih canggih dari metode sederhana, pada metode kamus (dictionary attack), hacker telah menyiapkan sekumpulan password.
Di beberapa kasus, hacker melakukan riset dulu sesuai target. Jadi, bukan asal menebak, hacker menggunakan kombinasi kata kunci yang paling mungkin digunakan.
Nantinya, hacker akan mulai menghapus kombinasi password yang telah dicoba dan gagal. Dengan metode dictionary attack, hacker jadi lebih efisien dalam menjalankan aksinya.
3 Metode Reverse Brute Force Attacks
Reverse brute force adalah metode yang berkebalikan dari simple brute force. Jadi, hacker memulai dari sebuah password yang sudah dimiliki, lalu mencoba mencocokan dengan nama penggunanya.
Reverse brute force attack tidak bisa dianggap sepele. Sebab, kalau ada pengguna yang kebetulan menggunakan password sama (default), maka akan ada banyak akun yang bisa diretas sekaligus.
4. Metode Hybrid
Hybrid brute force attacks adalah serangan brute force yang menggabungkan metode sederhana dan kamus.
Jadi, hacker tak cuma menyiapkan gabungan username dan password. Lebih dari itu, hybrid brute force akan memanfaatkan angka atau huruf yang dianggap potensial. Misalnya “password123”.
5. Metode Credential
Sesuai namanya, teknik brute force attacks ini mencoba username dan password yang cocok pada suatu akun untuk akun lainnya.
Ide dari credential stuffing adalah dengan kombinasi username dan password yang sama, hacker mencoba mendapatkan berbagai akun untuk berbagai layanan. Jadi, dalam satu aksi pembobolan bisa banyak layanan atau platform yang dikuasai.
6. Metode Rainbow Table
Metode rainbow table adalah metode brute force attacks yang paling unik.
Hacker tidak menebak password, tapi melakukan dekripsi proteksi hash — hasil enkripsi dari sebuah password. Metode ini lebih berpeluang memberikan password yang akurat.
Nah, karena serangan ini bisa menimpa siapa saja, terutama website WordPress, penting untuk mencegah brute force terjadi. Bagaimana caranya?
7+ Cara Mencegah Serangan Brute Force
Nah, setelah mengetahui apa itu brute force attack, mari pelajari cara mencegahnya. Ini dia langkahnya:
1. Buat Kombinasi Password yang Rumit
Kalau Anda masih menggunakan password “123456” atau tanggal lahir, segeralah ganti password tersebut karena terlalu umum dan mudah ditebak. Hacker akan mudah mengetahuinya dengan serangan dalam waktu singkat.
Bagaimana membuat password yang kuat? Gabungkan huruf kapital, huruf kecil, simbol, dan angka yang tidak berurutan. Jangan lupa untuk membuat password minimal 8 karakter.
Pada WordPress, pastikan Anda sudah mendapatkan keterangan Strong yang menunjukkan password tidak mudah ditebak.
Semakin kuat password Anda, semakin sulit hacker menebak password tersebut.
2. Mengatur Limit Login
Limit login akan membatasi seberapa banyak percobaan login bisa dilakukan. Hal ini cukup membantu dalam menghindari serangan. Sebab, setelah beberapa percobaan, login akan terkunci beberapa waktu.
Katakanlah, Anda mengatur limit login 5 kali. Maka, setelah gagal login 5 kali di halaman WordPress, akun akan dikunci dan perlu waktu untuk mencoba kombinasi username dan password yang lain.
Ini tentu menyulitkan upaya peretasan karena akan memakan waktu lebih lama.
Limit login memberi kebebasan Anda untuk mengatur tingkat keamanannya: berapa banyak percobaan yang dilakukan atau berapa lama login dikunci.
Bagi pengguna WordPress, Anda bisa mengatur limit login dengan mudah menggunakan plugin keamanan seperti iThemes Security, Wordfence Security, dan masih banyak lagi.
3. Gunakan Captcha
Untuk mengamankan website dari brute force attack, Anda dapat menggunakan captcha (Completely Automated Public Test to Tell Computers and Humans Apart).
Sistem ini akan membantu memastikan bahwa login dilakukan oleh pengguna yang berwenang, bukan oleh sebuah program komputer yang dirancang hacker untuk membobol sistem.
Dengan captcha yang aktif, ketika login, Anda tak hanya mengisi username dan password saja, tapi juga captcha. Captcha hanya bisa dipahami oleh visual manusia. Jadi robot/program komputer tidak akan bisa tahu isinya.
Awalnya, captcha hanya berupa huruf dan angka random. Namun, saat ini telah berkembang, ada yang berupa penjumlahan dan mencocokan gambar.
Untuk menggunakan captcha, pengguna WordPress cukup memasang plugin WP Captcha.
Setelah terpasang, aktifkan plugin tersebut. Selanjutnya, Anda tinggal memilih jenis captcha yang Anda inginkan dan melakukan beberapa pengaturan seperti penempatan captcha.
4. Manfaatkan Two Factor Authentication
Two Factor Authentication (2FA) adalah upaya mencegah brute force attack dengan menggunakan konfirmasi dari perangkat lain. Jadi, diperlukan otentikasi dua kali untuk bisa login dengan akun Anda, yaitu password dan kode khusus.
Dengan 2FA yang diaktifkan, Anda akan mendapatkan kode otentikasi setiap kali login. Biasanya kode akan Anda terima lewat nomor telepon Anda atau email.
Keuntungan menggunakan 2FA adalah Anda akan mendapat informasi adanya aktivitas login yang dilakukan. Selain itu, tanpa kode dari Anda, tak seorang pun bisa melanjutkan upaya login.
Untuk mengaktifkan fitur 2FA pada website, Anda dapat melihat panduan yang telah kami buat → Cara Menambahkan 2FA pada Login WordPress
5. Mengganti URL Login WordPress
Untuk login ke WordPress, URL yang digunakan adalah www.namawebsite.com/wp-admin. URL default ini sering digunakan hacker untuk melakukan serangan.
Jika Anda mengganti URL login akan lebih sulit hacker mencoba menebak passwordnya. Bagaimana caranya?
Anda hanya perlu install dan aktifkan plugin All in One WP Security & Firewall. Setelah aktif, pilih menu Brute force.
Masukkan URL login baru yang Anda inginkan pada kolom Login Page URL. Lalu centang check this if you want to enable the rename login page feature dan klik Save Settings.
Sekarang, alamat URL login website Anda telah berubah. Mudah bukan?
Baca juga: 19 Tips Agar Website WordPress Anda Lebih Aman
6. Menggunakan CloudFlare
CloudFlare merupakan layanan keamanan untuk melindungi website WordPress, termasuk dari brute force attack. Dengan CloudFlare, pengguna dapat melakukan pengaturan untuk membatasi halaman login dan memeriksa integritas browser.
Untuk mengaktifkan CloudFlare, Anda bisa membaca tutorial kami yang membahas Cara Setting CloudFlare.
7. Memantau Log WordPress Anda
Penting untuk mengecek daftar aktivitas user yang ada pada website Anda. Dari data tersebut, Anda bisa tahu jika ada aktivitas mencurigakan pada website. Termasuk percobaan login berkali-kali, lengkap dengan alamat IP-nya.
Cara untuk memantaunya pun sangat mudah. Anda bisa memanfaatkan plugin keamanan seperti plugin WP Security Audit Log.
Anda cukup install dan aktifkan plugin terlebih dahulu. Setelah aktif, Anda dapat melihat log WordPress pada bagian Audit Log Viewer.
Cegah Brute Force Attack di Website Anda Sekarang!
Keamanan website harus selalu diutamakan untuk mencegah serangan hacker. Anda sudah belajar apa itu brute force yang membahayakan website.
Aksi kejahatan ini membuat hacker dapat leluasa menguasai website, merusak reputasi bisnis, dan mengakses server untuk mencuri data penting.
Meskipun brute force attack cukup berbahaya, serangan ini masih bisa dicegah. Kami sudah membahasnya di atas dengan lengkap. Mulai dari membuat password yang rumit, mengaktifkan two factor authentication, sampai memonitoring log server.
Selain itu, perhatikan juga perlindungan dari layanan web hosting Anda. Jangan ragu untuk menggunakan perlindungan tambahan seperti imunify360 yang akan lebih meningkatkan keamanan website.
Nah, Anda sudah paham cara mengatasi brute force attack. Untuk lebih tahu berbagai cara mengamankan website Anda, kami memiliki panduan dalam bentuk ebook yang bisa didownload gratis berikut ini: