Lindungi Blog Dari Brute-force Attack

Resource Limit Is Reached
The website is temporarily unable to service your request as it exceeded resource limit. Please try again later.

 

Awal bulan Mac, blog ini kerapa dapat message seperti diatas.  Saya juga kerap mendapat mention di Twitter daripada kawan-kawan blogger yang gagal mengakses blog.

Saya check cpu usage, memory usage tiada masalah kerana tiada limpahan trafik sehingga menyebabkan berlaku kesesakan.

Saya gunakan plugin Better WP Security yang akan menghantar email pemberitahuan mengenai IP tertentu sekiranya ada seseorang yang mencuba secara gigih untuk menceroboh dalam tempuh yang kerap.  Biasanya seseorang yang ada banyak masa, akan mencuba dengan berbagai kombinasi kata laluan untuk memasuki laman web. Sekali gagal, dua kali gagal bukan alasan untuk dia berputus asa. Ini cabaran kepuasan peribadi.

Cubaan untuk mencari kata laluan secara sistematik dengan mencuba setiap gabungan huruf, nombor, dan simbol sehingga mendapat kombinasi yang betul dipanggil a brute-force attack.

Penyerang akan mendapat kata laluan melalui serangan ‘brute force attack’ ini sekiranya dia gigih bertahun-tahun mencuba bergantung kepada tahap mana keselamatan kata laluan kita. Semakin sukar dan berbelit² tentunya mengambil masa dan tempuh percubaa serangan yang lebih rumit.

Penggodam melancarkan brutee force attack menggunakan berbagai tools yang boleh didapati secara meluas dengan meneka kata laluan secara pintar dan bijak.  Dia guna mencuba memasuki blog dengan dengan menggunakan proxy web

Walaupun serangan seperti ini mudah untuk dikesan, ianya juga bukan begitu mudah untuk dicegah. Plugin Better WP Security sekurang-kurang memberitahu kita keadaan serangan itu berlaku. Kita boleh menghadkan cubaan mengakses blog sehingga IP yang digunakan akan dilocked oleh WordPress.

access denied

Salah satu kelebihan plugin ini adalah Remove WordPress Login Error Messages. Ini bermaksud, sama ada username atau password yang salah, sistem WordPress tidak akan memberitahu secara jelas dan tepat. Contohnya kalau username betul, password salah, sistem akan memberitahu ianya salah tanpa mengkelaskan bahagian mana yang salah. Ini akan menyukarkan penceroboh untuk meneka antara kedua ini ( username dan password ) mana satu yang salah.

Selain itu, ada cara mudah untuk menyekat akses ke lamab blog sekiranya kita mendapat notify email yang digunakan tersebut. Eizil ada menerangkan caranya di tutorial ini – Cara mudah menyekat akses ke laman sesawang dan baca juga Panduan Ringkas Keselamatan WordPress.

Tiada sistem ciptaan manusia yang sempurna atau kebal 100% , ini cumalah salah satu langkah dari berbagai cara untuk meminimumkan peluang blog kita untuk diceroboh.

Mungkin akan ada pertanyaan ” apa benefit yang dia dapat kalau dapat hack masuk” .  Nilai sebuah laman web bukan boleh ditimbang oleh semua orang.  Rasa dan jiwa seseorang pada blog masing² adalah berbeza.  Walaupun jika blog ini berjaya diceroboh masuk , tiada harta benda yang hilang tetapi satu kesan tercalar telah berlaku di situ.  Laman web yang diceroboh akan menyebabkan tuan punya perlu berkerja keras semula  membina tembok yang lebih kukuh untuk membaiki kelemahan yang ada.

Benefit kepada penceroboh – dia saja yang boleh menjawapnya.

About Kujie

Pemilik tidak akan bertanggungjawab terhadap sebarang kerosakkan atau kehilangan yang dialami disebabkan oleh penggunaan maklumat di dalam laman ini. Jika anda memerlukan perkhidmatan nasihat yang khusus, sila dapatkan pakar bertauliah dan berpengetahuan di dalam bidang berkenaan.

Untuk biodata penuh boleh lihat di Biodata Kujie

Mereka Yang Berkongsi Rasa

  1. Saya pun guna plugin tu..best. terbaik dari segala plugin security lain saya pernah cuba..

  2. Ikhtiar Shah says:

    hacker buang masa hack blog org,kita buang masa betulkan balik blog…
    hehe.. nice sharing 🙂
    Jom terjah post menarik dari Ikhtiar Shah ..Tawaran Pengajian Diploma & Sarjana Muda Tahfiz Al-Quran Secara PercumaMy Profile

  3. kena hati-hati..kalau terkena..mau nangis 8 hari 10 malam dibuatnya..
    Jom terjah post menarik dari titan ..Raksasa Misai & Jambul AlifMy Profile

  4. Pengalaman blog saya telah 2 kali dideface,
    Yang terbaru minggu lepas walaupun ada guna plugin ni..
    Walaupun dah buat sekuriti pun masih lepas 🙂
    Jom terjah post menarik dari Jomtonton ..Ping Dan Menang Wang Tunai di blogr.my!My Profile

    • Bercakap tentan deface, boleh bahagi kepada 2:

      1. Deface sebab serangan peribadi. Yang ni perlu ambil berat kerana penyerang menggodam sesuatu blog kerana mempunyai motif tertentu. Selalunya hacker akan cek vuln/exploit yang ada pada sesuatu blog secara lebih detail, dan akan cuba menggodam menggunakan pelbagai cara spt exploit pada plugin, bruteforce, serang pada blog lain yg berada pada hosting yang sama (kalau guna shared hosting) dll. Dalam kata lain, walau macam mana sekalipun, hacker akan cari cara nak masuk.

      2. Mass defacement.
      Yang ni ada pelbagai kemungkinan. Selalunya jika menggunakan shared hosting, terdapat berpuluh-puluh lagi blog yang diletakkan pada hosting yang sama. Contohnya jika salah satu blog tersebut mempunyai exploit, hacker akan hack menggunakan tool tertentu dan seterusnya mempunya access ke semua blog yang berada dalam hosting yang sama. Bukan salah blog kita, tapi blog orang lain. Tapi disebabkan kita berkongsi hosting, maka kita akan terkena tempias. Kerana nila setitik, rosak susu sebelanga. Selalu baca seseorang hacker hack beribu-ribu blog dalam beberapa jam. Selalunya kalau camtu, diorang dapat hack server atau salah satu blog dalam shared hosting, kemudian guna tools tertentu untuk pacak shell dan kemudian buat mass defacement. Selalunya guna tool je, penat kut nak deface beribu-ribu blog secara manual 😆

      Selalunya kalau ada org bagitau saya blog die di deface, saya akan check senarai blog yang berada dalam hosting yang sama. Selalunya bila cek, memang blog-blog lain tu pun di deface, bermakna salah satu blog yang digodam dan blog lain terkena tempias.

      Tapi dalam kes kakjie ni, personal attack ni.

      Betul kata Kakjie, soal “apa yang hacker dapat bila dapat hack blog ni” bukan mudah di jawab. Setiap blog mempunyai nilai sentimental tertentu bagi pemilik mereka. Kadang-kadang orang hack sebab dendam, hater dan sebagainya. Bagi saya k

      Auummmm. Panjang pulak komen. Harap tak kena ban 😆
      Jom terjah post menarik dari Affan Ruslan ..Bercuti Daripada Dunia BlogMy Profile

  5. miestereo says:

    tq for info.. memang terasa risau gak jd gini walaupun blog x sepopular mana… 🙂
    Jom terjah post menarik dari miestereo ..photoshop for androidMy Profile

  6. Kalau saya memakai platform blogspot dan sepertinya lebih aman dari wordpress self hosting
    Terima kasih buat share ilmunya, saya akan selalu waspada..
    Jom terjah post menarik dari Rina As ..Reconsideration Request, Solusi Mengatasi Masalah Blog di GoogleMy Profile

  7. samanosuke_04 says:

    aduh, apsal terasa pedas arrh entri nie? hoho, ade budak tue login kat blog sendiri guna brute force.. last² dia sendiri kena block dari blog sendiri..
    Jom terjah post menarik dari samanosuke_04 ..4 Kelebihan Kahwin AwalMy Profile

  8. benda nie bahaya,baik tak payah pasng plugin nya…
    🙂
    Jom terjah post menarik dari TopiJerami90 ..Himpunan bersih 3.0My Profile

  9. terima kasih kak jie for the info… aya rasa blog aya pun macam pernah kena ceroboh.. tapi masih tak berjaya kesan lagi..huhuhu
    Jom terjah post menarik dari Aya ..Cara Pengiraan Gaji Baru SSM 2012My Profile

  10. huhu..memang bahaya kalau kena ni..sakit jiwa juga dibuatnya.
    Jom terjah post menarik dari ohcikgu ..Semakan Online Peperiksaan Juruaudit dan Contoh Soalan Peperiksaan JuruAudit W41My Profile

  11. blog saya baru2 ni pun dah capai resorce limit…plugin security tu dulu ada dah install, tapi la ni mana ntah perginya…tak perasan bila saya terdelete..hihi..kena install balik la nampaknya ni..

    kepuasan bila dapat ceroboh blog org ni mmg hny orang yg buat tu je yg paham..

    p/s: jemput baca entri dr penulis jemputan ni ye.. =)
    Jom terjah post menarik dari bardboo ..Mitos KejayaanMy Profile

  12. Sekarang ni sy bergantung ngan Bulletproof Security Plugin je. Sebelum kena deface dulu, pernah jugak pasang Better WP plugin nih, tapi dapat lepas… 🙁
    Jom terjah post menarik dari shraqs ..Angry Birds Nak Buat Animasi PulakMy Profile

  13. paling penting adalah jgn guna admin sebagai login…tukar kepada benda lain
    lagi satu..jgn guna nick biasa kita guna utk login gak cam nama domain kita

    2 sen dr saya
    Jom terjah post menarik dari life4hire ..iThankYou SJ : Steve Jobs career infographicMy Profile

  14. dah pernah pasang.
    lepas tu deactivate kejap.
    pastu penah tak boleh masuk.
    seram.
    terus pasang balik plugin tu..
    haih bahaya sekarang ni
    Jom terjah post menarik dari Tyka ..Perlu Ke Panggil Datin Tyka?My Profile

  15. izwanyusof says:

    saya dah pasang plugin ni.. bukan saya pasang,eizil tolong pasangkan selepas guna service dia.. memg banyak login attempts kat email.. ntah mana2 IP ntah,blog kosong cam saya pun ada gak orang nak try masuk..
    Jom terjah post menarik dari izwanyusof ..Padah Terbang Di Udara Tanpa Sesi Regangan BadanMy Profile

  16. skrg tak rasa la. tapi bila kena je..masa tu la nak cari sana.. tanya sana sini..huhu..

    tp saya pun tak pernah kena lagi setakat ni
    Jom terjah post menarik dari muazfaris ..Pekeliling Perkhidmatan Gaji Baru SSM 2012My Profile

  17. huhhh…klu kena situasi begini, tentu penin dibuatnya…mau hilang mood utk update blog…
    Jom terjah post menarik dari Cool Daddy ..AYAM PENYET & PECEL LELEH @ LC CATERING JOHOR BAHRUMy Profile

  18. kena pakai password panjang-panjang untuk lengahkan atau panjangkan masa brute force,,,24 aksara ke…Untuk blogspot biasanya kalau kena hack melalui phising ke sebab blogspot takde database,,,
    Jom terjah post menarik dari hatiputera ..LELAKI KACAK KE MELAKAMy Profile

  19. Mr. hubby pun ada sebut tentang ini 3 hari lepas..
    Thanks kak jie share kat sini.. Good to know dan
    ambil tindakan yg cepat sblm terkena..
    Jom terjah post menarik dari nurmisnan ..Nama tipu titer kopi atau tam tamMy Profile

  20. takutnya.. tu sbb sy menggunakan kombinasi username dan password yg panjang kombinasi nombor huruf melebihi 20 hehe
    Jom terjah post menarik dari Mr.PiNGu ..Mak Nyah diarah Solat BerjamaahMy Profile

  21. saya memang suka security pada blog untuk keselamatan…tq kak beritahu plugin baru Wp
    Jom terjah post menarik dari azura ..Tips jimat belanjaMy Profile

  22. Ramai blogger tak akan berapa faham dan tak berapa nak kisah selagi tak terkana atas batang hidung sendiri.
    Jom terjah post menarik dari Denaihati ..Seminar WordPress pertama rugi kalau tak joinMy Profile

  23. bahaya jugak nih, saya tak berapa faham sangat bab wp nih
    Jom terjah post menarik dari eiela ..Variasi Cara Memulakan PersahabatanMy Profile

  24. Mengutip sedikit sebanyak mungkin ilmu dari entry ini.
    Jom terjah post menarik dari akak ..Gaya hidupMy Profile

  25. saya rasa benefit itu hanyalah kepuasan sahaja
    Jom terjah post menarik dari Juan ..Beli RumahMy Profile

  26. Bila sebut pasal ni, nampaknya nak tak nak, kita kenalah bersedia bak kata pepatah “sediakan payung sebelum hujan”.

    Terima kasih Kak Jie.
    Jom terjah post menarik dari hafizmd ..Belanja kahwin. Kenapa sampai membazir?My Profile

  27. Tetiba je rasa bimbang melandaa diriii….aduishhh
    Jom terjah post menarik dari yas ..[GAMBAR] MITSUBISHI EVO 10 ZIZAN RAJA LAWAKMy Profile

  28. sekarang ni segala mcm cara boleh guna untuk menceroboh sesuatu laman web, nampaknya kita perlu lebih berhati2 dan yg penting security kene selalu update
    Jom terjah post menarik dari suffer8zine ..Perhimpunan Anti PTPTN pada 14 April iniMy Profile

  29. kalo blospot
    x leh buat ape la kot
    Jom terjah post menarik dari Terbelog ..Lima Wanita Permainkan Cinta Amir (Raja Lawak)My Profile

  30. Fuhh..kalo WP oklah kut tapi bagaimana dengan Blogspot? Ada Penyelesaian tak kak jie?
    Jom terjah post menarik dari JeJAI ..Nadia Mustafar Disamun RM20,000, Najuma pun Pow RM0.20My Profile

  31. Susah hati mendengar apabila ada cubaan blog cuba diceroboh. 🙁
    Jom terjah post menarik dari akubiomed ..Minum kopi hanya berkesan untuk si pemalasMy Profile

  32. macam best je plugin tu…boleh try ni…thank…
    Jom terjah post menarik dari hnif ..Tips Keselamatan Perbankan InternetMy Profile

  33. Tak faham sangat bende gini…
    terima kasih bro berkongsi maklumat tentang
    boleh cuba terus ni
    sebagai langkah keselamatan
    Jom terjah post menarik dari auc dot com ..The War of Browser | Mana yang Terpantas?My Profile

  34. biasanya sebab ada cubaan login ke akaun cpanel atau berkaitan yang banyak dalam satu masa..biasanya kerja hackers lah tu..tapi biasanya setiap akaun akan di locked dalam 15 minit je..lepas tu dah ok..
    Jom terjah post menarik dari wanmus ..Apa Jadi Fries McDonalds Selepas Seminggu??My Profile

Trackbacks

  1. […] baca di blog Kak Jie tentang plugin Better WP Security untuk melindungi blog dari Brute Force Attack. Semalam juga terus saya pasang plugin tersebut dan […]

  2. Lindungi Blog Dari Brute-force Attack | Hidup Biar Sedap says:

    […] fjs); }(document, 'script', 'facebook-jssdk')); NEGARAKU! ← Kembali Terus ke sumber Negaraku.My Media Social Ruangan Iklan? 468×60 – Email Kami! var _wau = _wau || []; […]