Mengamankan halaman login situs dengan CloudFlare

Halaman login admin merupakan hal terpenting yang harus dilindungi dan diamankan dari orang – orang yang tidak berhak. Karena memang situs bisa diakses semua orang dari internet maka resikonya adalah bisa dibuka umum. Apalagi kalau anda menggunakan CMS populer seperti WordPress pasti cukup sering diserang menggunakan metode bruteforce untuk memaksa masuk ke administrasi website anda.

Seperti kita ketahui CloudFlare adalah layanan CDN yang juga menyediakan versi gratisnya, selain meningkatkan performa, menghemat konsumsi bandwidth hosting juga mengamankan situs dari akses bot atau malware. Anda bisa melakukan blokir pengunjung berdasarkan asal negara atau IP address di CloudFlare, tapi ini metode pukul rata dan kadang kurang sesuai dengan kasusnya.

Sayangnya di CloudFlare masih belum ada fitur yang sepadan dengan Incapsula untuk urusan melindungi halaman login, tapi ada fitur yang bisa anda manfaatkan untuk mengamankannya, yaitu adalah Page rules (di Incapsula namanya adalah IncapRules).

Bagaimana cara menggunakan Page rules milik CloudFlare? Dari halaman daftar website anda yang terpasang di CloudFlare klik setting (icon gear) di paling kanan nama domain, nanti akan muncul pilihan Page rules – klik saja.

cloudflare-my-websites-menu

Isikan url dari halaman login website anda, kalau WordPress bisa mengisikan example.com/wp-admin dan example.com/wp-login.

cloudflare-page-rules

Yang terpenting adalah anda menggunakan opsi berikut untuk perlindungan maksimal:

  • Forwarding – Off.
  • Custom caching – Bypass cache.
  • Browser cache expire TTL – 30 minutes.
  • Always Online – Off.
  • Apps (All CloudFlare apps) – Off.
  • Smart Errors – Off.
  • Performance (Auto Minify, Rocket Loader and Pre-loader) – Off.
  • Security (Email Obfuscation, Server Side Excludes and Web Application Firewall) – On.
  • Security Level – High.
  • Browser Integrity Check – On.

Kurang lebih setting yang saya gunakan seperti ini, tapi bukan berarti anda wajib mengikutinya – silahkan modifikasikan menurut kebutuhan anda.

Apa efek dari aturan diatas? Nanti setiap kali anda mengakses halaman login akan dicek dulu integritas browser yang digunakan, apakah benar manusia atau bot. Ini untuk mencegah usaha pembobolan admin anda dengan bruteforce, minimal menguranginya. Juga tingkat keamanan yang dijadikan tinggi akan membuatnya lebih sensitif terhadap ketidakwajaran dari pengunjung halaman tersebut, bila dianggap berbahaya maka pengunjung tersebut akan diblokir.

cloudflare-checking-browser

Pesannya akan muncul seperti berikut ini:

Just a moment…

Checking your browser before accessing utekno.com.

This process is automatic. Your browser will redirect to your requested content shortly.
Please allow up to 5 seconds?
DDoS protection by CloudFlare

Kalau anda ingin lebih jauh misal dengan menggunakan password untuk masuk ke halaman tertentu di website anda maka saya sarankan menggunakan Login Protect milik Incapsula, akses apapun akan diblokir sampai anda mengisikan kodenya dengan benar dari email atau handphone anda (biasa disebut Two-Factor Authentication) – jadi ini lebih aman lagi. Secara pribadi saya menunggu CloudFlare untuk mengeluarkan fitur sejenis, semoga saja secepatnya. 😀

8 pemikiran pada “Mengamankan halaman login situs dengan CloudFlare”

  1. kalau ingin menghilangkan Checking your browser before accessing idkholis.com.
    This process is automatic. Your browser will redirect to your requested content shortly.
    Please allow up to 5 seconds…

    apa yang mesti di hilangkan dalam settingan om?
    biar tidak muncul lagi.

    Salam,
    Nur Kholis

    Balas
    • Oh itu mudah mas, buka bagian Firewall dan didalam tab Web Application Firewall ada opsi Browser Integrity Check. Matikan saja.

  2. saya ingin bertanya kang. website saya pernah kena ddos dan akibatnya hosting saya disuspend karena pakai shared hosting. Saya disarankan pakai cloudflare. Lalu saya pun pasang cloudflare. Nah, masalahnya muncul tulisan “Checking your browser before
    accessing filmfullmovies.com” yang mana cukup menganggu pengunjung. Apakah jika nanti saya matikan browser integrity check website saya akan aman dari ddos? Terima kasih banyak.

    Balas
    • Itu kalau dimatikan ya mengurangi pengecekan validasi pengunjung mas. Yang akses websitenya belum tentu manusia soalnya karena ada gerbangnya.

  3. terima kasih atas jawabannya. Saya sudah nonaktifkan browser integrity check di bagian firewall cloudflare tapi masih ada tulisan “Checking your browser before accessing filmfullmovies.com”
    Apakah harus menunggu 24 jam ataukah ada kesalahan lain ya sehingga tulisan itu masih muncul.

    Balas
    • Coba tunggu 24 jam mas. Dan kalau masih terjadi juga berarti alamat IP anda (dan pengunjung) memiliki reputasi buruk atau pernah kena blacklist, juga komputernya mungkin kena malware.

Tulis komentar...