Secara default, instalasi WordPress menggunakan / wp-login.php sebagai halaman login. Selanjutnya, sebagian besar pengguna tidak mengganti nama username yang secara default = "admin" bila menginstall WordPress. Sekarang hacker hanya perlu menebak password. Selama serangan Brute Force pada sistem, untuk menguji berbagai kombinasi huruf dan angka kadang-kadang untuk "menebak" di password sampai berhasil. Ada banyak hal yang sangat sederhana yang dapat dilakukan untuk menghindari praktek ini.
Seorang user dapat memilih satu atau lebih dari praktek-praktek berikut untuk membatasi kemungkinan seorang hacker berhasil mendapatkan akses melalui serangan Brute Force:
- menggunakan username selain "admin" untuk account Administrator
- membatasi login attempt
- menggunakan password yang kuat
- menerapkan CAPTCHA pada layar login WordPress
- mengubah URL login default
Menggunakan CAPTCHA pada WordPress
"Login CAPTCHA" adalah salah satu fitur yang menggunakan plugin ini dengan "Brute Force" sebagai teknik pencegahan. Pada dasarnya apa yang dilakukannya adalah menyajikan pertanyaan matematika bahwa pengguna harus menjawab sebelum memperoleh akses ke Dashboard WordPress. CAPTCHA harus dijawab dengan benar bersama dengan username dan password yang tepat untuk mendapatkan akses.
Oleh karena itu, bahkan jika URL login diketahui, "admin" username yang digunakan, dan password (yang lemah) , kemungkinan sukses serangan oleh Brute Force menghilangkan oleh non-human dapat diberantas secara signifikan.
Berikut langkah-langkahnya:
- Download, instal dan aktifkan All In One plugin WP Security & Firewall.
- Dalam menu WP Security pilih User Login.
- Dari tab di bagian atas pilih Login Captcha.
- Berilah tanda cek di sebelah mana dikatakan Enable Captcha On Login Page.
- Klik tombol Save Settings.
- Sekarang logout dan login kembali untuk menguji fitur keamanan ini.
