Install Security Plugin di Blog Anda - Ini Dasar dan Penting

emoticonizer · Dec 24, 2013

Berawal dari semakin banyaknya klien saya yang akunnya kena suspend karena malware dan spamming, maka saya rasa perlu untuk sharing mengenai hal ini kepada fellow Ads-id

Masih banyak diantara kita beranggapan bahwa plugin security bukanlah salah satu plugin yang wajib diinstall kecuali di blog andalan (high traffic, authority, dll).

Melalui trit ini saya ingatkan kembali bahwa anggapan tersebut salah. Faktanya, biarpun sekedar blog abal-abal, blog gadungan,bahkan blog ternak amazon-pun, semuanya tidak luput menjadi sasaran "orang iseng".

Apa yang mereka serang dan bagaimana? Lalu untuk apa "mereka" menyerang blog abal2?

Tipe serangan yang sedang trend mulai pertengahan tahun 2013 (dan masih sampai sekarang) adalah melalui Brute Force halaman login WP. Tipe serangan yang klasik tapi terbukti ampuh.

Sebagian berita:
_http://www.infosecurity-magazine.com/view/36101/hacked-wordpress-site-hosts-thousands-of-links-to-pharmacy-scams/
_http://www.siliconrepublic.com/strategy/item/32269-major-brute-force-attack-ag
_http://www.us-cert.gov/ncas/current-activity/2013/04/15/WordPress-Sites-Targeted-Mass-Brute-force-Botnet-Attack
_http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
_http://malwaremustdie.blogspot.it/2013/11/more-wordpress-hack-case-sites.html
dan masih banyak lagi

Kutipan:

A large distributed brute force attack against WordPress sites is understood to be occurring. A large botnet with more than 90,000 servers is attempting to log in by cycling through different usernames and passwords.
Click to expand...

After the recent global distributed botnet attack on WordPress installations that took down servers and broke into admin accounts. Distributed botnet attacks can come from multiple IP addresses and locations at the same time, so conventional IP-based lockouts are not effective. For example, if 1,000 different computers (with unique IP addresses) are trying to brute-force your admin password and you lock out each IP address after 5 incorrect attempts then you have still allowed 5,000 attempts.
Click to expand...

Apa yang dapat saya pahami dari berita2 yang saya baca adalah:
1- Penyerang tidak pandang bulu targetnya, asalkan WordPress
2- Penyerang menggunakan ribuan server untuk menyerang dgn teknik Brute Force
3- Setelah sukses dapat akses, penyerang akan menggunakan blog korban untuk: a. Spamming, b. Phising, c. Menginstall malware, d. Menjadikannya sebagai salah satu server botnet untuk melakukan Bruteforce ke blog yang lain

Yang pasti, blog tersebut akan diinstall malware dan dijadikan salah satu server dalam jaringan botnet untuk bruteforce. Dan itulah alasan kenapa mereka juga menyerang blog abal2: pertama karena biasanya blog abal2 proteksinya rendah, dan kedua yaitu untuk menambah koleksi server dan IP dalam botnet.

Bukti Screenshot:

dan ini blog amazon (ternak) dan blog abal2:

Parahnya,, bahkan sekarang sudah banyak tool dan tutorial tentang cara melakukan brute force (googling: Wordpress Brute Force Tool / Tutorial), sehingga makin banyak yang bisa iseng.

Bagaimana cara mencegahnya?
1. Install plugin security. Plugin apa? Banyak koq, silahkan dipilih2 aja
2. Hindari pakai plugin / theme bajakan
3. Pastikan core WP agan selalu update. Gunakan plugin Advanced Automatic Updater
4. Pastikan selalu membuat backup rutin

Blog saya selama ini aman2 saja meski tanpa plugin security koq!
Anda yakin? Bagaimana anda tahu kalau anda belum pasang/install? Coba pasang dan buktikan.

Apasih tujuan trit agan ini?
Tujuan ane buat trit ini adalah untuk mengingatkan kembali betapa pentingnya aspek security di blog agan. Selain itu, saya ingin mengajak agan2 sekalian yuk mari bersama-sama kita populerkan wajib install plugin security, paling simple setidaknya Login Lockdown.

Resource penting:
- WordFence plugin
- Better WP Security
- 7 Cara Amankan WP
- Botnet Attack Blocker (_http://goo.gl/erxOHW)
- Infografik keren _http://goo.gl/OnUf8P
- dsb..

Apakah jika sy memasang plugin security pasti aman?
Nothing is 100% hack-proof, but you can make it more difficult.

Yuk kita galakkan wajib install plugin security

Silahkan jika ada tambahan...

sukino · Dec 24, 2013

thanks mas dah ingetin yak, iyanih wp ane kna koment spam,,awalnya pas waktu kena trafik anjlok, ane terus update rutin, dan g ada prubahan, apa kalo dah kna spam kek gtu blog dah g potensi yak mas? sayang tu blog,,msih bru lg dah kna spam,,

Al theradz · Dec 24, 2013

ctrl + d dulu om, mantep nih infonya

thekrim · Dec 24, 2013

ane baca ini tadi siang n langsung pasang plugin security
dan bener memang yg dikatakan TS, malam ini ane dapet email ginian
View attachment 36389
pengamanan di blog WP emg sangat2 penting
buat yg lain, info TS ini sangat berguna sekali banget

emoticonizer · Dec 25, 2013

thekrim said: ↑

ane baca ini tadi siang n langsung pasang plugin security
dan bener memang yg dikatakan TS, malam ini ane dapet email ginian
View attachment 36389
pengamanan di blog WP emg sangat2 penting
buat yg lain, info TS ini sangat berguna sekali banget
Click to expand...

that's exactly what I mean dude

vierg · Jan 10, 2014

Ane pake plugin BPS Pro, masih kurang aman kagak ya gan ?

remoxp · Jan 29, 2014

Benerr banget kata mastahhh.. ane pernah sx k bobolan wp ane, abis itu langsunv pasang plugin sec, pdhal sblmnya sbelah mata doang.. hahaha

dedicyborg · Feb 2, 2014

Kira2 plugin yg bagus apa gan

Sent from my GT-N9000 using Tapatalk

MatJengkol · Mar 5, 2014

Tambahan..
Setelah lock out, pesan masuk email, muncul ip attacker,
Bloklah ip itu dg CiDR mode.
Misal ip attacker 67.34.4.116 maka pada cpanel klik ip deny manager lalu blok ip dg 67.34.4.0/16.
Sehingga rentang ip diblok tanpa ampun.

Sent from my T1-E using Tapatalk

Log in or Sign up

Install Security Plugin di Blog Anda - Ini Dasar dan Penting

emoticonizer Ecofriendly

sukino Banned

Al theradz Hero

thekrim Super Hero

emoticonizer Ecofriendly

vierg Ads.id Pro

remoxp Ads.id Fan

dedicyborg Newbie

MatJengkol Ads.id Fan

Share This Page