Salah satu serangan yang rutin dilakukan pada website wordpress adalah brute force login.

Brute force login ini adalah proses yang mencoba berbagai macam password random dengan menggunakan software, dengan harapan si hacker nantinya akan menemukan password yang cocok untuk login ke website targetnya.

Serangan jenis ini akan dapat mengenai wordpress website yang masih menggunakan username dan password standar atau mudah ditebak sehingga proses brute forcenya dapat berhasil.

Untuk menghindari serangan jenis ini Anda bisa menggunakan kombinasi user dan password yang sulit ditebak orang, misal menggunakan kombinasi huruf dan angka, lalu passwordnya kombinasi yang lebih sulit lagi, misal melibatkan karakter khusus.

Serangan brute force memperlambat website

Nah, walaupun misal sudah mengamankan user dan password, serangan brute force apalagi jika datang dari ratusan bahkan ribuan IP akan menyebabkan masalah pada load website, karena resource akunnya akan termakan oleh proses dari wp-login.php nya.

Bagi Anda yang langsung mengarahkan domain ke server, di web server domosquare.com sudah ada tindakan preventif sebelum penyerang berkelanjutan melakukan brute force.

Namun bagi pemakai cloudflare karena IP yang connect ke server adalah IP cloudflare maka tidak memungkinkan memblokir langsung penyerang yang ada di belakang cloudflare.

Melindungi wordpress Anda dengan cloudflare Rules

Nah untung nya Anda yang memakai cloudflare dapat memanfaatkan fitur di cloudflare untuk melindungi website Anda dengan fasilitas Rules di cloudflare.

Kita akan memanfaatkan fasilitas Rules ini untuk memverifikasi saat mengunjungi wp-login.php.

Untuk menambahkan rules, silahkan Anda klik tombol “Create Page Rules“.

Setelah itu, pada isian URL nya Anda tuliskan URL wp-login.php beserta nama domainnya.

Jika seandainya dalam satu domain ada banyak instalasi wordpress, Anda bisa menambahkan asterik antara nama domain dan wp-login.php nya. Contoh:

namadomainsaya.com/*wp-login.php

Setelah menuliskan URL wp-login.php nya, selanjutnya pada pilihan “Pick a Setting“, Anda pilih “Browser Integrity Check“.

Jangan lupa On kan terlebih dahulu dengan mengganti check nya ke warna hijau:

Selanjutnya klik tombol “+ Add a setting” dan pilih “Security level“.

Jika sudah selanjutnya Anda pilih pada “Select security level” nya ke “I’m under attack“:

Nah jika sudah, selanjutnya Anda klik tombol “Save & Deploy“.

Jika sudah, sekarang Anda coba akses URL wordpress wp-login.php Anda, jika settingannya benar, seharusnya Anda akan mendapatkan halaman verifikasi dari cloudflarenya:

Dengan makin banyaknya pengguna, makin banyak juga plugin dan theme yang tersedia untuk wordpress.

Namun terkadang banyak plugin dan theme yang tidak aman, sehingga menjadi peluang bagi hacker untuk masuk ke website yang ditarget.

Selain itu terkadang informasi login yang gampang ditebak, atau informasi login yang tidak dijaga dengan baik juga dapat menjadikan masalah keamanan pada website bersangkutan.

Selain itu juga kebanyakan pengguna wordpress hanya menginstall wordpress tanpa kemudian melakukan pengecekan berkala terhadap versi wordpress, keamanan dan hal lainnya sehingga ini juga menjadi celah untuk hacker masuk.

Nah oleh karena itu penting agar menjaga keamanan wordpress secara menyeluruh.

Pada tutorial ini kita ingin mengamankan folder wp-content wordpress dari hal-hal yang tidak diinginkan, salah satunya mengamankan dari akses yang dilakukan hackert terhadap file PHP didalam wp-content.

Untuk mencegah hal tersebut, silahkan buat file .htaccess di wp-content wordpress Anda, dan isikan yang berikut:

<Files *.php>
deny from all
</Files>
<Files *.phtml>
deny from all
</Files>

Jika sudah selanjutnya Anda simpan.

Dengan penambahan di atas seharusnya wordpress Anda sudah selangkah lebih aman.

Namun tetap, semua prosedur pengamanan untuk Web nya secara berkala harus tetap dilakukan

1. Login cPanel Hosting
2. Search fitur zone editor

3. Pilih domain yang ingin diaktifkan DNSSEC.

4. Klik create key

5. Setelah itu klik Create untuk mendapatkan data DS

Jika domain Anda berada di Domosquare, silahkan request ke Divisi Support untuk ditambahkan DS Record ke Registar Domain

Langkah 1 – Aktifkan DNSSEC di Cloudflare DNS

Dengan mengaktifkan DNSSEC terlebih dahulu di dasbor Cloudflare, Anda meminta Cloudflare untuk menghasilkan data yang diperlukan untuk menambahkan catatan delegasi penandatangan (DS) ke domain Anda di pencatat.
1. Masuk ke dasbor Cloudflare.

2. Pastikan situs web untuk data DS yang Anda butuhkan telah dipilih.

3. Klik DNS app.

4. Scroll ke DNSSEC panel.

5. Klik Enable DNSSEC, Anda akan melihat dialog yang memberi tahu Anda bahwa konfigurasi Anda tertunda hingga data DS ditambahkan di pencatat Anda.

6. Klik DS Record di panel DNSSEC .

7. Salin informasi DS Record yang ditampilkan karena Anda akan membutuhkannya untuk Langkah 2

Langkah 2 – Tambahkan DS Record ke registrar Anda

Setelah menyelesaikan Langkah 1 di atas, Anda harus memiliki data DS yang dihasilkan Cloudflare untuk menyelesaikan langkah ini. Silahkan Request kepada Divisi Support kami

Salah satunya adalah brute force. Aksi brute force ini dapat mengganggu performa website Anda, dan juga lebih parahnya dapat menyebabkan website Anda kebobolan terutama jika Anda menggunakan informasi login yang mudah ditebak seperti username yang sederhana seperti admin, dan password yang mudah seperti qwerty123 dan sejenisnya.

Nah pada tutorial ini kita akan mempelajari cara memblokir wordpress brute force ini jika Anda memakai cloudflare.

Sekarang silahkan Anda login kepengaturan domain Anda di cloudflare, dan pilih tab Rules.

URL yang perlu diamanakan pada umumnya adalah:

• wp-login.php
• wp-admin
• xmlrpc.php

Jadi ada 3 rule yang perlu ditambahkan, dengan settingan masing-masing URL adalah sebagai berikut:

• Browser integrity check: On
• Security Level: I’m Under Attack

Hal yang perlu Anda perhatikan Adalah, pastikan URl yang Anda masukkan sudah sesuai dengan URl wordpress Anda.

Jika satu domain Anda memiliki banyak instalasi pada subfolder misalkan, Anda bisa mengamankan dengan satu rule dengan cara menggunakan karakter wildcard pada URL nya, contoh:

example.com/*login.php

Ini bisa mengamankan semua wp-login pada domain example.com/

Begitu juga misal jika untuk wp-admin Anda bisa tulis url nya dengan contoh:

example.com/*admin/

Dan untuk xmlrpc.php nya:

example.com/*mlrpc.php

Nah jika sudah Anda Save and Deploy, Anda bisa test 3 rule yang sudah Anda simpan tadi untuk cek apakah sudah bekerja atau tidak.

Jika sudah bekerja Anda akan melihat halaman verifikasi cloudflarenya.

MailScanner has detected a possible fraud attempt from “XXXXXX”; claiming to be YYYYYY

saat mengirim email Anda

Hal ini dikarenakan pada email yang ada kirimkan terdapat link yang text domainnya berbeda dengan URL nya. Misal pada text nya tertulis domainA.com namun URL nya mengarah ke domainB.com.

Oleh karena itu mailscanner menginformasikan hal tersebut, sebab praktek URL dan text domain yang berbeda identik dengan pelaku phising.

Cara mengatasinya:

Untuk mengatasi error di atas Anda cukup memperbaiki penulisan URL nya agar domainnya sama dengan yang tertulis pada text domainnya.

Salah satu kejahatan online adalah phising atau penipuan email, yaitu penerima email menerima email dari orang yang memakai domain lain sehingga seolah-olah email dikirim dari domain bersangkutan padahal tidak.

Contoh, perusahaan A memilik domain perusahaanA.com, lalu mereka menerima komplain dari seseorang bahwa dia dikirimi email dari perusahaanA.com dan meminta ditransfer uang, namun perusahaanA.com membantah mereka telah mengirimkan email kepada orang tersebut.

Nah tentunya penipuan ini sangat merugikan kedua belah pihak, apalagi sampai-sampai menyebabkan kerugian materi dan sebagainya.

Nah oleh karena itu pada tutorial ini kita akan bagaimana mengurangi resiko adanya phising email terhadap domain Anda. Namun perlu diperhatikan sekali lagi hal ini bukan memastikan domain Anda bebas phising 100% karena jika server yang dikirim email phising mengabaikan konfigurasi validasi maka phising email akan tetap mereka terima. Jadi kita tetap sarankan terutama perusahaan agar selalu memastikan klien saling berkomunikasi dengan perusahaan jika terkait hal-hal yang penting yang diterima via email.

Mengaktifkan SPF, DKIM

SPF, dan DKIM merupakan salah satu acuan email server dalam memvalidasi dan menerima email yang sampai pada mereka.

Untuk mengaktifkan SPF, dan DKIM sangat mudah, Anda cukup login ke cPanel Anda, dan klik fasilitas Email Deliverability.

Setelah Anda klik selanjutnya secara otomatis sistem akan mengecek status DKIM dan SPF Anda, secara default DKIM dan SPF sudah aktif. Ini dapat dilihat saat Anda mengakses halaman, Anda akan mendapati keteragan valid.

Seandaikan Anda menemukan keterangan ada masalah, Anda bisa klik klik tombol Repair.

Jika Anda ingin memodifikasi SPF ataupun DKIM Anda bisa klik tombol Manage.

Mengaktifkan DMARC

Adakala mail server lainnya masih menerima email phising walaupun SPF dan DKIM nya aktif. Oleh karena itu salah satu lagi cara untuk menambah validasi email pada domain adalah dengan cara mengaktifkan DMARC.

Untuk mengaktifkan DMARC Anda bisa klik fasilitas Zone Editor di cPanel.

Setelah masuk, Anda tambahkan entry DMARC nya dengan cara klik ADD RECORD, pilih Add “DMARC” Record:

Setelah Anda klik, maka akan muncul isian seperti berikut:

Nah yang perlu Anda isikan adalah kemana email yang tidak valid dikirimkan jika tidak lulus verifikasi yaitu di box “Send Aggregate Mail Reports To” dan “Send Failure Reports To”, silahkan isikan email valid Anda disana.

Jika sudah klik ADD RECORD.

Nah seharusnya saat ini untuk domain Anda sudah lebih terproteksi dari email phsing yang menggunakan domain Anda untuk penipuan

WordPress adalah CMS (Content Management System) paling populer yang paling banyak digunakan sebagai dasar sebuah website. Karena sangat populer, banyak hacker mengincar website WordPress tersebut entah untuk keperluan SPAM, Phising, maupun deface.

Pada dasarnya WordPress aman dengan catatan versi WordPress selalu diupdate ke versi terbaru termasuk themes dan plugin juga versi terbaru. Dan tidak menginstall themes atau plugin bajakan.

Namun demikian apabila WordPress kita telah terhack, maka hal-hal berikut yang mungkin masih bisa dilakukan untuk menyelamatkan website kita. Berikut Panduan Memperbaiki Website WordPress yang Terhack.

Melakukan Backup Data Keseluruhan

Backup perlu kita lakukan sedini mungkin, karena mungkin ini adalah kesempatan terakhir kita menyelamatkan data pada website kita.

Panduan Full Backup bisa dibaca pada link berikut ini:

Memastikan Disk Space dan Inodes

Sebelum memulai pastikan Disk Space Anda masih tersedia setidaknya 120MB dan inodes tersisa setidaknya 5.000 Inodes untuk 1 website yang terhack, bila Ada 3 website terhack dalam 1 hosting maka dikalikan 3 atau dibutuhkan ruang sekitar 360MB dan 15.000 inodes.

Memindahkan Website yang Sudah Terhack

Login ke cPanel -> File Manager

Kemudian klik Setting pada kanan atas File Manager.

Kemudian berikan centang pada Show Hidden Files. Hal ini perlu dilakukan agar semua file wordpress dapat dipindahkan termasuk yang terhidden

Setelah diberikan centang pada Show Hidden Files jangan lupa klik Save.

Setelah itu buat Folder Baru.

Berikan nama pada folder yang dibuat, kemudian klik Create New Folder. Sebaiknya anda membuat folder diluar public_html ciri cirinya, bagian New Folder will be created in (ada gambar rumah) kolom ini pastikan kosong.

Setelah itu lakukan langkah berikut:

1. Klik dan masuk pada folder website Anda pada contoh ini public_html
2. Kemudian klik Select All
3. Kemudian klik Move

Isikan dengan nama folder yang sudah Anda buat sebelumnya, pastikan sebelumnya diberi tanda / kemudian klik Move File (s)

Mengaktifkan Mode Maintenance

Setelah berhasil di Move folder website Anda akan kosong dengan tanda tertulis This directory is empty. Selanjutnya klik +File

Setelah klik +File ketik .maintenance (pastikan ada titik didepan kata maintenance). Kemudian pada new file will be created in pastikan sesuai dengan folder website Anda sebelumnya, kalau disini sebagai contoh public_html

Hal ini bertujuan agar wordpress Anda tidak bisa diakses sementara ketika Anda masih dalam proses pembenahan website.

Anda harus menghapus .maintenance saat proses pembenahan website selesai agar website bisa diakses kembali.

Mendownload WordPress versi Terbaru

Download WordPress terbaru dan simpan pada komputer Anda. Pastikan Anda mengingat lokasi menyimpan file WordPress yang Anda Download ini. Link download WordPress Terbaru: https://wordpress.org/latest.zip

Mengupload WordPress versi Terbaru

Klik Tombol Upload pada File Manager

Kemudian klik Select File dan pilih pada File Zip WordPress Terbaru yang sudah Anda simpan sebelumnya.

Kemudian tunggu proses upload hingga 100% dan bewarna hijau. Setelah 100% dan bewarna hijau klik pada tulisan Go Back to lokasi folder Anda.

Anda akan dibawa kembali ke lokasi folder website Anda, dan Anda akan menemukan File Zip WordPress terbaru di file manager.

Silahkan klik kanan pada zip tersebut dan pilih Extract

Setelah di Extract Anda akan menemukan Folder WordPress dan Masuklah ke Folder Tersebut. Setelah masuk ke Folder WordPress tekan Select All dan Klik Move.

Pada gambar berikut kita berikan kotak merah pada lokasi folder untuk menunjukkan bahwa kita sudah berada dalam folder WordPress.

Hapus pada /wordpress seperti gambar yang sudah terblok warna biru. Kemudian setelah dihapus tulisan /wordpress klik Move File(s).

File-file WordPress terbaru akan berpindah ke Folder utama Website Anda.

Memindahkan Konten WordPress Lama

Buka folder website lama yang telah terhack disini adalah folder website_terhack kemudian masuk ke folder wp-content. Setelah itu klik kanan dan klik Move pada folder uploads.

PERINGATAN! Yang di Move hanya folder uploads! folder themes dan plugins tidak boleh dimove kembali, karena berpotensi website Anda terhack lagi. Themes dan plugins nanti harus install ulang

Pada gambar berikut kita berikan kotak merah pada lokasi folder untuk menunjukkan bahwa kita sudah berada dalam folder website_terhack.

Rubah tulisan website_terhack ke folder utama website yang sudah terinstall WordPress terbaru.

Menyalin Konfigurasi WordPress Lama

Copy file wp-config.php pada folder website_terhack ke folder utama website yang sudah terinstall WordPress terbaru.

Pada gambar berikut kita berikan kotak merah pada lokasi folder untuk menunjukkan bahwa kita sudah berada dalam folder website_terhack.

Rubah tulisan website_terhack ke folder utama website yang sudah terinstall WordPress terbaru.

Mengupload Ulang Themes dan Plugin

Anda diharuskan mengupload ulang satu-persatu themes dan plugin ke folder wp-content website wordpress terbaru Anda dan meng-extractnya. Karena jika anda login dashboard sebelum Anda mengupload ulang, maka themes dan plugin yang sebelumnya akan terdisable.

Tentunya themes dan plugin yang diupload adalah yang sama (namanya) dengan themes dan plugin yang ada pada folder wordpress_terhack.

Namun yang anda upload ulang bukan dari folder wordpress_terhack. Melainkan adalah file baru yang di download ulang dari website developer themes dan plugin terkait.

Hal ini karena bisa jadi themes atau plugin sebelumnya sudah disusupi kode hack. Pastikan yang Anda upload adalah themes dan plugin original dari developernya, jika itu themes premium tetapi ditemukan gratis di google, dapat dipastikan file tersebut sudah disisipi kode hack oleh hacker. Hacker biasanya menyisipkan kode hack pada themes/plugin premium untuk tujuan tertentu kemudian diupload gratis di google untuk mencari korban hack.

Jika anda belum bisa membeli themes premium ada banyak sekali themes dan plugin yang bagus di direktori WordPress resmi.

Direktori Themes Gratis: https://wordpress.org/themes/

Direktori Plugin Gratis: https://wordpress.org/plugins/

Jika Anda membutuhkan panduan untuk mengupload Themes atau Plugin secara manual silahkan kunjungi link berikut:

Mematikan Mode Maintenance

Setelah selesai semua, hapus file .maintenance agar website bisa diakses oleh publik.

Untuk sebagian besar upaya intrusi backdoor berfungsi, file PHP harus dijalankan. Istilah backdoor menjelaskan cara mendapatkan akses ke server web WordPress Anda melalui cara yang memotong metode otentikasi biasa, Misalnya suntikan file melalui bahasa pemrograman seperti PHP atau JavaScript. Menonaktifkan eksekusi PHP mencegah serangan atau kompromi terjadi karena PHP tidak dapat dieksekusi sama sekali.

Menambahkan Konfigurasi Web Server Anda

Untuk menonaktifkan eksekusi PHP, Anda menambahkan 4 baris kode ke file .htaccess di server web Anda. Seperti berikut :

<Files *.php>
Order allow,deny
Deny from all
</Files>

Secara default, Anda memiliki file .htaccess di direktori WordPress di server web Anda. Tetapi Anda juga dapat membuat file .htaccess di folder lain yang ingin dinonaktifkan eksekusi PHP.

Membuat Keamanan Maksimum

Untuk menonaktifkan eksekusi PHP untuk keamanan maksimum, buat file .htaccess dengan empat baris kode di folder berikut di instalasi WordPress Anda:

• / wp-termasuk
• / wp-content / unggahan
• / wp-content

Direktori instalasi WordPress ini penting karena itu adalah satu-satunya direktori yang dapat ditulisi agar WordPress dapat berfungsi. Ini berarti jika gambar diunggah dengan header yang dimodifikasi, atau jika file PHP diunggah dan eksekusi PHP diizinkan, penyerang akan dapat memanfaatkan kelemahan ini untuk membuat kekacauan. Dengan eksekusi PHP dinonaktifkan, penyerang tidak dapat membuat kekacauan apa pun.

Berikut ini merupakan proses pembuatan key, csr, hingga pemasangan sertifikat pada server Apache Tomcat.

Kita asumsikan bahwa tomcat servernya terinstall di /opt/tomcat, dan kita akan menerbitkan SSL untuk domain domosquare.com.

Kita tidak menyediakan pemasangan gratis untuk produk SSL ke server Apache Tomcat, jika tertarik jasa layanan pasang, silahkan kontak billing@domosquare.com

Langkah 1: Membuat CSR untuk domain yang ingin dipasangkan SSL

Pertama agar tertata, kita gunakan folder /opt/tomcat/ssl untuk menampung semua file terkait SSL yang akan diterbitkan.

mkdir /opt/tomcat/ssl
cd /opt/tomcat/ssl

Selanjutnya jalankan keytool untuk membuat KEY nya.

keytool -genkey -alias domosquare.com -keyalg RSA -keysize 2048 -keystore domosquare_com.jks -dname "CN=domosquare.com,OU=Web, O=Domosquare, L=Sleman, ST=Yogyakarta, C=ID"

Anda bisa ganti data didalam tanda petik dengan informasi yang lain, di mana:

• CN merupakan data domain/subdomain yang akan diterbitkan sertifikatnya
• OU merupakan unit organisasinya (ini bisa anda isi terserah)
• O merupakan organisasinya
• L merupakan lokasinya
• ST merupakan provinsi nya
• C merupakan negara, jika indonesia diisi dengan kode ID

Anda akan diminta mengisi password, tuliskan passwordnya, dan jangan lupa disimpan passwordnya.

Setelah KEY selesai dibuat, selanjutnya membuat CSR, bisa dibuat dengan menjalankan perintah berikut:

keytool -certreq -alias domosquare.com -file domosquare_com.csr -keystore domosquare_com.jks

Anda juga akan diminta memasukkan password, bisa Anda masukkan password yang sama dengan tadi Anda membuat KEY.

Seharusnya jika step benar CSR Anda sudah ada dan bisa digunakan untuk menerbitkan sertifikat SSL.

Contohnya pada perintah diatas output CSR nya ada di file: domosquare_com.csr

Langkah 2: Gunakan CSR menerbitkan Sertifikat

Jika Anda memesan di Domosquare, Anda bisa mengikuti langkah pada member area Anda untuk menerbitkan sertifikat nya.

Langkah 3: Menambahkan sertifikat pada keystore

Pertama Anda bisa tambahkan sertifikat CA root (dalam tutorial ini disimpan dengan nama domosquare_com.ca-bundle), bisa dengan command berikut:

keytool -import -alias root -keystore  domosquare_com.jks -trustcacerts -file domosquare_com.ca-bundle

CA Root ini dapat Anda peroleh dari berkas sertifikat yang dikirimkan pada Anda setelah sertifikat SSL Anda terbit. Atau jika dari member area Domosquare, Anda bisa salin isi dari kolom “Intermediate/Chain files”.

Sementara CRT juga terdapat pada berkas sertifikat yang dikirimkan ke Anda, atau bisa di ambil di member area Domosquare pada kolom “Certificate(CRT)”.

Berikutnya adalah menambahkan sertifikat SSL domainnya pada keystore sebelumnya, hal ini bisa dilakukan dengan cara:

keytool -import -trustcacerts -alias domosquare.com  -keystore  domosquare_com.jks  -file  domosquare_com.crt

Perlu diperhatikan jika Anda diminta memassukkan password untuk 2 perintah di atas, masukkan password yang sebelumnya digunakan untuk manambahkan keystore nya.

Langkah 4: Memeriksa keystore

Selanjutnya Anda bisa memeriksa apakah sertifikat ROOT dan domainnya tadi sudah tersimpan pada keystore bersangkutn, hal ini bisa dilakukan dengan perintah:

keytool -list -keystore /opt/tomcat/ssl/domosquare_com.jks 

Jika diminta password, gunakan password keystore sebelumnya.

Jika benar, maka seharusnya Anda sudah melihat ada 2 sertifikat yang terinstall yaitu sertifikat ROOT CA nya dan sertifikat domainnya.

Langkah 5: Merubah konfigurasi tomcat server.

Untuk mengaktifkan sertifikatnya, silahkan buka file konfigurasi server tomcat nya server.xml. Mengacu lokasi install pada tutorial ini server.xml lokasinya ada di /opt/tomcat/conf/server.xml

Silahkan cari bagian:

<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                     type="RSA" />
    </SSLHostConfig>
</Connector>
-->

Lalu Anda bisa ubah bagian itu atau tambahkan dibawahnya dengan:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/opt/tomcat/ssl/domosquare_com.jks" keystoreType="JKS" keystorePass="GANTI_DENGAN_PASSWORD_KEYSTORE_ANDA"/>

Setelah itu simpan.

Jika Anda sudah memastikan semua langkah benar, Anda bisa restart server tomcat Anda.

systemctl status tomcat

Berikutnya silahkan cek instalasi SSL nya di:

https://namadomain:8443