Kejahatan online atau cyber crime terjadi setiap 24 menit. Tindakan ini termasuk brute force attack yang perlu kamu waspadai.
Apa itu brute force attack, serangan yang diyakini memanfaatkan lubang keamanan website? Jadi bagaimana kamu melindungi website agar tidak menjadi korbannya?
Pada artikel ini, Exabytes akan menjelaskan secara rinci. Jadi mari kita mulai dengan definisi brute force attack terlebih dahulu.
Daftar Isi
Apa Itu Brute Force Attack?
Brute force attack adalah upaya untuk mendapatkan akses ke suatu akun dengan cara menebak username dan password yang digunakan.
Brute force attack sebenarnya adalah teknik lama penjahat dunia maya. Namun ternyata masih banyak digunakan karena dinilai efektif.
Apakah brute force attack hanya tentang mendapatkan nama pengguna atau kata sandi?
Itu seperti pada awalnya. Tapi itu hanya langkah pertama dalam metode penyerangan. Tujuan utama dari brute force adalah untuk mendapatkan akses ke website, server yang menyimpan berbagai informasi dan aset penting lainnya.
Setelah membobol sistem, hacker dapat mengambil kendali website untuk mencuri data. Hasil dari brute force attack ini pasti membuat kamu rentan, bukan?
Apa Saja Metode Brute Force Attack?
Ada beberapa jenis metode brute force yang biasa digunakan para hacker untuk mendapatkan akses ilegal, baik ke akun pribadi maupun ke akun organisasi besar. Berikut penjelasannya:
Metode Sederhana
Simple brute force hanyalah metode termudah dari tindakan cybercriminal ini. Oleh karena itu, hacker hanya perlu menebak kata sandi pada akun target yang sudah menjadi miliknya.
Jangan salah paham, metode trial and error sebenarnya cukup sering berhasil. Terutama pada akun dengan kata sandi yang lemah dan tidak ada batasan login.
Secara manual atau otomatis, hacker dapat mencoba sebanyak mungkin kombinasi nama pengguna dan kata sandi dengan simple brute force. Kesalahan fatal sebagian besar pengguna adalah menggunakan kata sandi default seperti “1234” atau “password”.
Metode Kamus
Sedikit lebih canggih dari metode sederhana, metode kamus (dictionary attack), hacker telah menyiapkan satu set kata sandi.
Dalam beberapa kasus, hacker melakukan penelitian berdasarkan tujuan terlebih dahulu. Jadi, daripada hanya menebak-nebak, hacker menggunakan kombinasi kata kunci yang paling mungkin digunakan.
Hacker kemudian akan mulai menghapus kombinasi kata sandi yang dicoba dan gagal. Dengan metode dictionary attack, hacker menjadi lebih efektif dalam melakukan aksinya.
Metode Credential
Seperti namanya, teknik brute force attack ini mencoba mencocokkan username dan password dari satu akun ke akun lainnya.
Gagasan credential stuffing adalah dengan kombinasi nama pengguna dan kata sandi yang sama, hacker mencoba mendapatkan akun yang berbeda untuk layanan yang berbeda. Dengan demikian, dalam satu pelanggaran, beberapa layanan atau platform dapat dikontrol.
Metode Hybrid
Hybrid brute force attack adalah serangan brute force yang menggabungkan metode sederhana dan kamus.
Jadi hacker tidak asal menyiapkan kombinasi username dan password. Lebih dari itu, hybrid brute force akan menggunakan angka atau huruf yang dianggap potensial. Misalnya “password123”.
Metode Reverse
Reverse brute force adalah metode yang merupakan kebalikan dari simple brute force. Jadi hacker mulai dengan kata sandi yang sudah mereka memiliki dan kemudian mencoba mencocokkan kata sandi itu dengan nama pengguna mereka.
Reverse brute force attack tidak bisa dianggap enteng. Sebab, jika ada pengguna yang menggunakan password yang sama (default) maka banyak akun yang bisa diretas sekaligus.
Metode Rainbow Table
Metode rainbow table adalah metode brute force attack yang paling unik.
Hacker tidak menebak kata sandi, tetapi mendekripsi melindungi hash – hasil terenkripsi dari kata sandi. Metode ini lebih cenderung memberikan kata sandi yang benar.
Nah, karena serangan ini bisa menyerang siapa saja, terutama situs WordPress, penting untuk mencegah terjadinya brute force. Bagaimana?
Bagaimana Cara Mencegahnya Brute Force Attack?
Inilah yang dapat kamu lakukan untuk membuat akun kamu lebih aman dan tidak rentan terhadap brute force attack:
Hasilkan Kombinasi Password Yang Kompleks
Jika kamu masih menggunakan password “123456” atau tanggal lahir kamu, segera ubah karena terlalu umum dan mudah ditebak. Hacker akan dengan mudah menyerang dalam waktu singkat.
Bagaimana cara membuat kata sandi yang kuat? Kombinasi huruf besar, huruf kecil, simbol, dan angka tak berurut. Ingatlah untuk membuat kata sandi minimal 8 karakter.
Di WordPress, pastikan kamu memiliki pernyataan Strong bahwa kata sandi tidak mudah ditebak.
Semakin kuat kata sandi kamu, semakin sulit bagi hacker untuk menebaknya.
Memanfaatkan Two Factor Authentication
Two Factor Authentication (2FA) adalah upaya untuk mencegah brute force attack menggunakan otentikasi dari perangkat lain. Oleh karena itu, diperlukan otentikasi ganda untuk dapat masuk dengan akun kamu, yaitu kata sandi dan kode khusus.
Saat 2FA diaktifkan, kamu akan menerima kode verifikasi setiap kali masuk. Biasanya kamu akan menerima kode melalui nomor telepon atau email kamu. Keuntungan menggunakan 2FA adalah kamu akan mendapatkan informasi tentang login apa saja yang telah dilakukan. Selain itu, tanpa kode kamu, tidak ada yang dapat terus masuk.
Menggunakan Captcha
Untuk melindungi website dari brute force attack, kamu dapat menggunakan captcha (Completely Automated Public Test to Tell Computers and Humans Apart).
Sistem ini akan membantu memastikan bahwa login dilakukan oleh pengguna yang sah dan bukan oleh program komputer yang dirancang oleh hacker untuk membobol sistem.
Dengan captcha aktif, saat masuk, kamu tidak hanya mengisi nama pengguna dan kata sandi, tetapi juga captcha. Captcha hanya dapat dipahami oleh gambar manusia. Oleh karena itu, program robot/komputer tidak akan dapat mengetahui isinya.
Awalnya, captcha hanyalah huruf dan angka acak. Namun ketika sudah berkembang, bentuknya berupa penjumlahan, pengurangan, dan penggabungan foto.
Tetapkan Batas Login
Batas login akan membatasi jumlah upaya login yang dapat dilakukan. Ini berguna untuk menghindari serangan. Karena setelah beberapa kali mencoba, login akan terkunci untuk sementara.
Misalnya kamu menyetel batas login menjadi 5 kali. Jadi, setelah gagal login sebanyak 5 kali ke website kamu, akun tersebut akan terkunci dan kamu perlu waktu untuk mencoba kombinasi username dan password yang lain.
Tentu saja, ini mempersulit upaya peretasan karena akan memakan waktu lebih lama. Batas login memberikan kamu kebebasan untuk mengatur tingkat keamanan: jumlah percobaan ulang yang dilakukan atau beberapa lama login dikunci.
Ubah URL Login WordPress
Untuk login ke WordPress, URL yang digunakan adalah www.namadomainanda.com/wp-admin. URL default ini sering digunakan oleh hacker untuk melakukan serangan.
Jika kamu mengubah URL login, akan lebih sulit bagi hacker untuk menebak kata sandinya. Bagaimana? Kamu hanya perlu menginstal dan mengaktifkan plugin All in One WP Security & FIrewall. Setelah diaktifkan, pilih menu Brute Force.
Masukkan URL login baru yang diinginkan di bidang URL halaman login. Kemudian centang “check this if you want to enable the rename login page feature” dan klik “Save Settings”.
Pantau Log WordPress Kamu
Penting untuk memeriksa daftar aktivitas pengguna di situs kamu. Dari data ini, kamu dapat mengetahui apakah ada aktivitas mencurigakan di website tersebut. Termasuk mencoba melakukan login berkali-kali, dengan alamat IP-nya.
Cara melacaknya sangat sederhana, kamu dapat memanfaatkan plugin keamanan, seperti plugin WP Security Audit Log.
Kamu hanya perlu menginstal dan mengaktifkan plugin terlebih dahulu. Setelah aktif, kamu dapat melihat log WordPress kamu di bagian Audit Log Viewer.
Gunakan Cloudflare
Cloudflare adalah layanan keamanan untuk melindungi situs WordPress, termasuk dari brute force attack. Dengan Cloudflare, pengguna dapat menentukan pengaturan untuk membatasi halaman login dan memverifikasi integritas browser.
Lindungi Website Kamu Dari Brute Force Attack
Brute force attack adalah cybercrime yang menargetkan pengguna akun dengan kata sandi yang lemah. Untuk melakukannya, kamu perlu meningkatkan keamanan akun agar dapat mencegah serangan ini.
Kamu dapat mulai mengamankan website kamu dengan menggunakan kombinasi kata sandi yang rumit, membatasi jumlah login, dan memanfaatkan setiap login. Selain itu, kamu juga bisa memanfaatkan fitur captcha dan 2FA untuk menambah keamanan ekstra pada website kamu.
