in

Apa Itu Brute Force Attack

TokoDaring.Com – Apa itu Brute Force Attack ? (Serangan Brute Force). Pada dasarnya, brute force attack atau ‘serangan brutal’ adalah sebuah serangan siber yang metodenya sesuai seperti apa namanya di sebut.

Apa itu brute force attack

Apa itu brute force attack ? Jika di kutip dari wikipedia indonesia brute force attack adalah “sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer”.

Bagaimana percobaan serangan brute force di lakukan

Brute force di lakukan oleh peretas dan mencoba ‘berkompromi’ untuk masuk ke area admin (di WordPress adalah /wp-admin). Dengan cara melakukan percobaan untuk menginput kombinasi username dan password secara acak.

Percobaannya tentu bukan satu atau dua dan tiga kali seperti tejo yang sedang mencoba meretas akun facebook si surti.

Brute force attack biasanya dilakukan menggunakan software yang dirancang sedemikian rupa untuk menghasilkan banyak kombinasi dan berulang-ulang. Meskipun cara manual dengan menebak kombinasi credential juga mungkin saja di lakukan.

Dengan tujuan menemukan kombinasi username dan password yang tepat untuk dapat masuk ke area admin website eCommerce anda lalu mengambil alihnya.

Jika berhasil, maka sudah pasti akan mendatangkan masalah yang serius. Si peretas atau hacker dapat melakukan apapun sesuai keinginan hati mereka.

Bukan tidak mungkin mereka akan merusak, atau bahkan meminta bayaran sebagai istilahnya ‘uang tebusan’ untuk membebaskan website anda.

Metode brute force attack

Beberapa metode brute force attack atau bagaimana brute force attack di lakukan. Yaitu dengan mencoba memasukan kombinasi username dan password. Yang tentu saja tidak dilakukan dengan mengetik satu persatu menggunakan jari dan berulang-ulang.

Atau dengan menebak menggunakan pikiran yang ada di kepala si hacker tentang apa username dan password yang tepat.

Serangan brute force tentu akan sangat sulit jika dilakukan secara manual. Itu sebabnya peretas atau hacker membuat bot dengan menuliskan skrip dan kode sedemikian rupa.

Menggunakan Bot

Bot yang sudah di buat yang akan melakukan upaya pembobolan terhadap situs website hingga ribuan kali secara otomatis dan berulang-ulang. Bot tersebut juga dibuat dan dirancang agar mudah di distribusikan ke banyak website yang ingin diretas. 

Bot ini ‘di sandingkan’ dengan tools atau kamus yang bisa diakses dan digunakan secara umum. Tools atau kamus ini dapat menghasilkan kombinasi hingga ribuan username dan password.

Beberapa tools yang biasanya digunakan untuk melakukan brute force attack adalah Aircrack-ng, Cain and Abel, John the Ripper, Rainbow Crack dan banyak tools lainnya

Menggunakan dictionary (kamus)

Tepatnya sebuah file atau tools yang berisi daftar kata yang panjang untuk dicoba dijadikan username dan password login situs website.

Kamus ini dapat digunakan berulang-ulang oleh para hacker atau yang hanya sekedar coba-coba atau iseng-iseng.

Menulis kode skrip brute force attack juga sangat mudah dan sederhana. Sehingga cukup mudah dibuat oleh siapa saja bahkan oleh para pemula yang niatnya hanya ingin coba-coba. 

Bot yang sudah dibuat tadi lalu akan di tugaskan secara perspektif pemrograman, yaitu:

  1. Mengakses halaman atau form login website.
  2. Memasukan username dan password dengan kombinasi seperti di bahas di atas.
  3. Memeriksa respons atas setiap kombinasi login tersebut (apakah berhasil ? jika tidak maka akan diulang sampai berhasil).

Metode brute force attack juga sangat bergantung pada spesifikasi komputer yang di gunakan. Semakin kuat komputer yang di gunakan, juga semakin cepat proses serangan pada komputer target.

Mencegah brute force attack

Cara berikut mampu secara efektif memberikan keamanan website eCommerce yang di buat menggunakan WordPress dan WooCommerce.

Dan beberapa hal berikut akan mampu menahan dan mencegah brute force attack website eCommerce anda.

Jangan setting username dan password dengan hal yang biasa

Hal paling awal yang bisa di lakukan untuk mencegah brute force attack adalah dengan tidak menggunakan username yang secara default di buat saat membuat website.

Proses instalasi website eCommerce anda mungkin di lakukan dengan proses ‘one click’ instalation dari pihak hosting.

Atau username dan password yang di gunakan pada fase development, mungkin hanya sebuah password yang simple.

Jika secara default username yang di buat adalah ‘admin’ maka segera ubah ke username apapun yang tidak umum.

Dan beberapa contoh password ini sebaiknya anda hindari sebagai username dan password credential:

Username : Password :
admin atau Admin password atau Password
guest atau Guest 12345678
root atau Root qwertyuiop
administrator atau Administrator admin

Jangan juga gunakan kata yang seolah seperti di acak, misalnya : ‘4dm1n t0ko d4r1ing’ (admin toko daring).

Jangan gunakan nama domain atau ‘public display name’

Juga jangan gunakan nama domain anda sebagai username. Misalnya jika nama domain kami adalah tokodaring.com maka kami tidak akan menjadikan tokodaring sebagai username. Nama tersebut sudah pasti ada dalam daftar paling atas tebakan para pelaku brute force attack.

Selain itu juga jangan gunakan username sama dengan public display name. Public display name adalah nama yang akan ditampilkan oleh tema website anda sebagai data entry meta.

Misalnya ketika anda menerbitkan sebuah artikel / konten. Beberapa entry meta akan ditampilkan secara publik.

Biasanya terdapat pada konten di bagian dibawah featured image atau judul post, seperti : nama, tanggal publikasi dan kategori artikel.

Pada setting WordPress yaitu pada bagian setting profil pengguna, memungkinkan anda untuk membedakan antara username dan public display name.

Jangan tunda untuk menginstal plugin keamanan

Apapun platform website eCommerce anda sebaiknya tidak menunda untuk menggunakan software atau layanan keamanan.

Untuk website eCommerce yang di buat menggunakan WordPress dan WooCommerce, anda bisa memilih plugin kategori security di halaman plugin repo WordPress.Org.

Plugin jetpack juga memiliki fitur yang efektif untuk mencegah serangan brute force attack. Service atau website security platform berbayar lainnya seperti Sucuri adalah layanan berbayar yang bisa di gunakan.

Aktifkan juga fitur perlindungan layer kedua jika plugin keamanan yang anda gunakan memang memilikinya, misalnya :

  • Membatasi jumlah login yang dapat dilakukan hacker melalui halaman login standar dan XMLRPC dan metode otentikasi lainnya.
  • Melakukan pemblokiran dengan menggunakan blacklist IP yang terus diupdate.
  • Otentikasi 2FA pada halaman login standar, dimana wordpress tidak memiliki hal tersebut.

Mengaktifkan 2FA

Mengaktifkan otentikasi dua faktor atau dua langkah atau biasa disingkat 2FA. 2FA memberikan layer perlindungan yang kuat.

Ketika ada percobaan atau login yang sukses, maka otentikasi 2FA akan mengirimkan verifikasi lanjutan (biasanya berupa beberapa digit angka).

Verifikasi dikirimkan ke nomor handphone yang anda daftarkan melalui SMS.

Password generator

Password generator akan menghasilkan password yang panjang dan kombinasi yang kuat. Kombinasi tersebut berupa huruf besar, huruf kecil, simbol dan angka.

Jangan menggunakan password yang tidak di kombinasikan, misalnya huruf kecil saja atau huruf besar saja, atau hanya digit angka saja.

Lakukan generate password via generator dalam interval yang acak dan berulang misalnya setelah 2 minggu, berikutnya mungkin satu bulan dan seterusnya.

Atur username dan password member website (kustomer)

Website toko online, situs website keanggotaan, atau blog dengan banyak ‘penulis’ memiliki resiko terhadap peretasan metode brute force attack.

Memiliki pengguna atau pelanggan dengan kata sandi yang lemah dapat menimbulkan risiko keamanan.

Hal tersebut adalah celah, dan yang dapat anda lakukan adalah memaksa mereka untuk membuat password yang kuat. Pastikan juga setting peran atau role pengguna baru adalah “subscriber” atau pelanggan.

Hal ini yang mungkin dilakukan hacker ketika berhasil mengkompromikan website anda

Ini yang mungkin terjadi ketika website eCommerce anda bisa di ambil alih. Yang pasti kesemua kemungkinan tersebut tentu bukanlah hal yang menyenangkan untuk website bisnis atau website eCommerce.

Search engine atau mesin pencari biasanya memberikan label “THIS SITE MIGHT BE HACKED” untuk situs website yang berhasil di kompromikan dan sudah berada pada indexnya.

Pencurian data : Data pengguna, data penjualan atau apapun mungkin akan menjadi sasaran pencurian. Ingat kasus tokopedia atau data BPJS kesehatan yang beberapa waktu lalu terjadi.

Website Defacement : Situs website akan menampilkan konten yang tidak dan bukan yang kita inginkan. Terkadang konten yang berbahaya.

Contohnya ketika sebuah website di amerika serikat fdlp.gov yang berhasil dibajak grup hacker iran. Sebagai buntut dari pembunuhan jenderal iran oleh serangan drone amerika serikat.

Distribusi malware : Halaman situs website anda dapat menginfeksi pengunjung dengan malware, ransomware, dan virus. Saat sebuah link yang berbahaya ditempatkan di situs website yang sudah dibajak.

Search engine atau mesin pencari biasanya memberikan label “THIS SITE MIGHT BE HACKED” untuk situs website yang sudah berada pada indexnya.

Periklanan Spam : Atau biasa disebut SPAMVERTISING, dimana situs website dapat menampilkan konten spam dan tautan-tautan ke situs website spam lainnya.

Pengalihan : atau redirection. Saat pengguna mengakses situs website anda dan kemudian justru dialihkan ke situs website lain yang berbahaya. Atau ke halaman yang berisi tautan afiliasi dan menghasilkan uang untuk para peretas.

Untuk Hiburan : Bagi korban serangan hacking, tentu sebuah hal yang menyakitkan. Tapi tidak bisa dipungkiri bahwa motivasi hacker bisa jadi hanya untuk iseng-iseng. Terutama dalam metode serangan brute force attack yang memang relatif mudah dipelajari dan lakukan.

Meminimalisir brute force attack atau serangan siber lainnya

Mungkin kita sering lupa untuk menyadari bahwa cara paling ampuh untuk meminimalisir brute force attack atau serangan siber lainnya adalah dari aktifitas yang kita lakukan sendiri.

Bisnis anda mungkin sudah berjalan dalam waktu yang lama ketika itu di mulai oleh orang tua atau kakek anda. Hingga saat ini anda masih menggunakan Sistem Operasi (OS) lawas yang sudah tidak di dukung oleh vendor.

Atau sering membuka email yang tidak jelas dari mana datangnya. Atau tidak melakukan update pada setiap patch dari platform eCommerce yang anda gunakan.

Lihat Artikel praktik terbaik

Mungkin masih ada sedikit celah pada perlindungan sebuah website. Tapi hal-hal diatas sudah cukup untuk menutup lubang besar yang terbuka pada situs website anda.

Monitor aktifitas login

Website eCommerce pasti memiliki ‘pintu’ yang selalu terbuka. Artinya website anda memiliki halaman login yang siapapun bisa mendaftar atau melakukan registrasi.

Plugin keamanan seperti kami sebutkan diatas memiliki fitur untuk memonitor secara langsung setiap percobaan login yang terjadi.

Anda dapat melihat medium atau browser yang digunakan, username atau password yang di input, ip address, bahkan asal negara alamat IP tersebut.

Login challenge

Ketika ada aktifitas login yang tidak biasa, misalnya login gagal tapi di lakukan berulang dari IP yang sama. Anda mungkin perlu mengaktifkan fitur login challenge. Google captcha versi 3 adalah yang bisa anda ambil.

Atau anda bisa mengaktifkan mode ‘under attack’ jika hosting provider atau security service yang anda gunakan memilikinya.

Ancaman keamanan website eCommerce (WordPress) lainnya

Selain metode brute force attack, lihat artikel ini tentang beberapa ancaman keamanan website eCommerce dan bagaimana mencegahnya.

Written by TokoDaring

TokoDaring.Com - 'Majalah' online (online publishing),  sumber dan referensi teknis untuk membangun dan memaksimalkan performa bisnis toko online. Optimizing your store!

website ecommerce wordpress amankah

Website eCommerce WordPress, Amankah ?

cara edit website wordpress

Cara Edit Website eCommerce WordPress Menggunakan Plugin Editor