Server VPS & Khusus Generasi 4
Server VPS & Khusus Generasi 3

GoDaddy Bantuan

Kami berusaha sebaik mungkin menerjemahkan halaman ini untuk Anda. Halaman juga tersedia dalam bahasa Inggris.

Serangan WordPress umum

Ada dua file yang biasa digunakan untuk serangan brute force WordPress: xmlrpc.php dan wp-login.php. Artikel ini akan menjelaskan secara rinci cara menemukan bukti serangan.

Serangan terhadap xmlrpc.php

Apa itu XML-RPC?

XML-RPC (xmlrpc.php) memungkinkan pembaruan jarak jauh WordPress dari aplikasi lain. Ini tidak lagi diperlukan dengan versi WordPress saat ini dan membiarkannya diaktifkan membuat situs Anda rentan. Serangan brutal biasanya ditemukan menggunakan file ini.

Bagaimana cara mengetahui jika saya sedang diserang?

Jika Anda menemukan beberapa upaya akses dari IP yang sama dalam waktu singkat, ini mungkin mengindikasikan adanya serangan.

Pada contoh di bawah ini, IP 12.34.56.789 telah mencoba mengakses halaman xmlrpc.php beberapa kali sekaligus ( 10 / Sep / 2022: 05: 12: 02 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200.438 "-" "Mozilla / 5.0 (Windows NT 10.0) ; Win64; x64) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POSTING //xmlrpc.php HTTP / 1.1" 200.438 "-" "Mozilla / 5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200.438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "

Serangan terhadap wp-login.php (wp-admin).

Penyerang akan sering menggunakan bot yang akan mencoba lusinan jika tidak ratusan sambungan sekaligus untuk mendapatkan akses ke panel wp-admin Anda.

Bagaimana cara mengetahui jika saya sedang diserang?

Jika Anda menemukan beberapa upaya akses dari IP yang sama dalam waktu singkat, ini mungkin mengindikasikan adanya serangan. Pengguna resmi yang kesulitan mengingat sandi biasanya akan muncul beberapa menit di antara percobaan.

Pada contoh di bawah ini, IP 12.34.56.789 telah mencoba mengakses halaman wp-login.php beberapa kali sekaligus ( 10 / Sep / 2022: 08: 39: 15 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08: 39: 15 -0700] "POST / wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POSTING /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POSTING /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, seperti Gecko) Chrome / 103.0.0.0 Safari / 537.36 "

Langkah-Langkah Berikutnya

  • Periksa kepemilikan IP menggunakan pencarian whois. Jika IP dari Tiongkok dan Anda tidak memiliki pelanggan / pengunjung dari Tiongkok, mungkin IP tersebut berbahaya. Jika IP milik (misalnya) Cloudflare, kemungkinan besar IP tersebut berbahaya.
  • Blokir serangan tersebut.