access denied

Lindungi Blog Dari Brute-force Attack

Resource Limit Is Reached
The website is temporarily unable to service your request as it exceeded resource limit. Please try again later.

 

Awal bulan Mac, blog ini kerapa dapat message seperti diatas.  Saya juga kerap mendapat mention di Twitter daripada kawan-kawan blogger yang gagal mengakses blog.

Saya check cpu usage, memory usage tiada masalah kerana tiada limpahan trafik sehingga menyebabkan berlaku kesesakan.

Saya gunakan plugin Better WP Security yang akan menghantar email pemberitahuan mengenai IP tertentu sekiranya ada seseorang yang mencuba secara gigih untuk menceroboh dalam tempuh yang kerap.  Biasanya seseorang yang ada banyak masa, akan mencuba dengan berbagai kombinasi kata laluan untuk memasuki laman web. Sekali gagal, dua kali gagal bukan alasan untuk dia berputus asa. Ini cabaran kepuasan peribadi.

Cubaan untuk mencari kata laluan secara sistematik dengan mencuba setiap gabungan huruf, nombor, dan simbol sehingga mendapat kombinasi yang betul dipanggil a brute-force attack.

Penyerang akan mendapat kata laluan melalui serangan ‘brute force attack’ ini sekiranya dia gigih bertahun-tahun mencuba bergantung kepada tahap mana keselamatan kata laluan kita. Semakin sukar dan berbelit² tentunya mengambil masa dan tempuh percubaa serangan yang lebih rumit.

Penggodam melancarkan brutee force attack menggunakan berbagai tools yang boleh didapati secara meluas dengan meneka kata laluan secara pintar dan bijak.  Dia guna mencuba memasuki blog dengan dengan menggunakan proxy web

Walaupun serangan seperti ini mudah untuk dikesan, ianya juga bukan begitu mudah untuk dicegah. Plugin Better WP Security sekurang-kurang memberitahu kita keadaan serangan itu berlaku. Kita boleh menghadkan cubaan mengakses blog sehingga IP yang digunakan akan dilocked oleh WordPress.

access denied

Salah satu kelebihan plugin ini adalah Remove WordPress Login Error Messages. Ini bermaksud, sama ada username atau password yang salah, sistem WordPress tidak akan memberitahu secara jelas dan tepat. Contohnya kalau username betul, password salah, sistem akan memberitahu ianya salah tanpa mengkelaskan bahagian mana yang salah. Ini akan menyukarkan penceroboh untuk meneka antara kedua ini ( username dan password ) mana satu yang salah.

Selain itu, ada cara mudah untuk menyekat akses ke lamab blog sekiranya kita mendapat notify email yang digunakan tersebut. Eizil ada menerangkan caranya di tutorial ini – Cara mudah menyekat akses ke laman sesawang dan baca juga Panduan Ringkas Keselamatan WordPress.

Tiada sistem ciptaan manusia yang sempurna atau kebal 100% , ini cumalah salah satu langkah dari berbagai cara untuk meminimumkan peluang blog kita untuk diceroboh.

Mungkin akan ada pertanyaan ” apa benefit yang dia dapat kalau dapat hack masuk” .  Nilai sebuah laman web bukan boleh ditimbang oleh semua orang.  Rasa dan jiwa seseorang pada blog masing² adalah berbeza.  Walaupun jika blog ini berjaya diceroboh masuk , tiada harta benda yang hilang tetapi satu kesan tercalar telah berlaku di situ.  Laman web yang diceroboh akan menyebabkan tuan punya perlu berkerja keras semula  membina tembok yang lebih kukuh untuk membaiki kelemahan yang ada.

Benefit kepada penceroboh – dia saja yang boleh menjawapnya.

Published by

Kujie

Pemilik tidak akan bertanggungjawab terhadap sebarang kerosakkan atau kehilangan yang dialami disebabkan oleh penggunaan maklumat di dalam laman ini. Jika anda memerlukan perkhidmatan nasihat yang khusus, sila dapatkan pakar bertauliah dan berpengetahuan di dalam bidang berkenaan. Untuk biodata penuh boleh lihat di Biodata Kujie

45 thoughts on “Lindungi Blog Dari Brute-force Attack”

    1. Bercakap tentan deface, boleh bahagi kepada 2:

      1. Deface sebab serangan peribadi. Yang ni perlu ambil berat kerana penyerang menggodam sesuatu blog kerana mempunyai motif tertentu. Selalunya hacker akan cek vuln/exploit yang ada pada sesuatu blog secara lebih detail, dan akan cuba menggodam menggunakan pelbagai cara spt exploit pada plugin, bruteforce, serang pada blog lain yg berada pada hosting yang sama (kalau guna shared hosting) dll. Dalam kata lain, walau macam mana sekalipun, hacker akan cari cara nak masuk.

      2. Mass defacement.
      Yang ni ada pelbagai kemungkinan. Selalunya jika menggunakan shared hosting, terdapat berpuluh-puluh lagi blog yang diletakkan pada hosting yang sama. Contohnya jika salah satu blog tersebut mempunyai exploit, hacker akan hack menggunakan tool tertentu dan seterusnya mempunya access ke semua blog yang berada dalam hosting yang sama. Bukan salah blog kita, tapi blog orang lain. Tapi disebabkan kita berkongsi hosting, maka kita akan terkena tempias. Kerana nila setitik, rosak susu sebelanga. Selalu baca seseorang hacker hack beribu-ribu blog dalam beberapa jam. Selalunya kalau camtu, diorang dapat hack server atau salah satu blog dalam shared hosting, kemudian guna tools tertentu untuk pacak shell dan kemudian buat mass defacement. Selalunya guna tool je, penat kut nak deface beribu-ribu blog secara manual 😆

      Selalunya kalau ada org bagitau saya blog die di deface, saya akan check senarai blog yang berada dalam hosting yang sama. Selalunya bila cek, memang blog-blog lain tu pun di deface, bermakna salah satu blog yang digodam dan blog lain terkena tempias.

      Tapi dalam kes kakjie ni, personal attack ni.

      Betul kata Kakjie, soal “apa yang hacker dapat bila dapat hack blog ni” bukan mudah di jawab. Setiap blog mempunyai nilai sentimental tertentu bagi pemilik mereka. Kadang-kadang orang hack sebab dendam, hater dan sebagainya. Bagi saya k

      Auummmm. Panjang pulak komen. Harap tak kena ban 😆
      Jom terjah post menarik dari Affan Ruslan ..Bercuti Daripada Dunia BlogMy Profile

  1. aduh, apsal terasa pedas arrh entri nie? hoho, ade budak tue login kat blog sendiri guna brute force.. last² dia sendiri kena block dari blog sendiri..
    Jom terjah post menarik dari samanosuke_04 ..4 Kelebihan Kahwin AwalMy Profile

  2. blog saya baru2 ni pun dah capai resorce limit…plugin security tu dulu ada dah install, tapi la ni mana ntah perginya…tak perasan bila saya terdelete..hihi..kena install balik la nampaknya ni..

    kepuasan bila dapat ceroboh blog org ni mmg hny orang yg buat tu je yg paham..

    p/s: jemput baca entri dr penulis jemputan ni ye.. =)
    Jom terjah post menarik dari bardboo ..Mitos KejayaanMy Profile

  3. kena pakai password panjang-panjang untuk lengahkan atau panjangkan masa brute force,,,24 aksara ke…Untuk blogspot biasanya kalau kena hack melalui phising ke sebab blogspot takde database,,,
    Jom terjah post menarik dari hatiputera ..LELAKI KACAK KE MELAKAMy Profile

  4. Pingback: Lindungi Blog Dari Brute-force Attack | Hidup Biar Sedap

Comments are closed.