Regex WordPress Untuk Menghindari Serangan

WordPress merupakan salah satu CMS paling populer di dunia, namun popularitas ini juga menjadikannya target utama berbagai serangan siber. Serangan seperti brute force login, XML-RPC abuse, SQL injection, hingga pemindaian file sensitif sering kali menargetkan situs WordPress yang keamanannya kurang optimal. Salah satu solusi efektif di sisi server untuk mengurangi risiko tersebut adalah menggunakan Fail2Ban dengan regex (regular expression) yang tepat.

Fail2Ban bekerja dengan cara memantau log server (misalnya log Nginx atau Apache) dan mencocokkannya dengan pola tertentu menggunakan regex. Jika pola serangan terdeteksi dan terjadi berulang kali dari satu alamat IP, Fail2Ban akan secara otomatis memblokir IP tersebut melalui firewall. Di sinilah peran regex menjadi sangat penting, karena regex menentukan pola serangan apa saja yang dianggap berbahaya.

Pada WordPress, area yang paling sering diserang adalah halaman wp-login.php, wp-admin, dan endpoint xmlrpc.php. Brute force login biasanya ditandai dengan permintaan POST berulang ke wp-login.php yang menghasilkan status HTTP 200 atau 403. Regex dapat digunakan untuk mendeteksi pola ini secara akurat.

Contoh regex untuk mendeteksi brute force login WordPress pada log Nginx:

^<HOST> -.*"(POST|GET) /wp-login\.php.*" (200|403|401) 

Regex di atas menangkap alamat IP penyerang (<HOST>) yang mencoba mengakses wp-login.php menggunakan metode POST atau GET. Status HTTP 200, 401, atau 403 sering muncul pada percobaan login yang gagal atau ditolak.

Selain login brute force, XML-RPC juga menjadi sasaran empuk penyerang karena memungkinkan serangan credential stuffing dan DDoS amplification. Jika XML-RPC tidak digunakan, sangat disarankan untuk membatasi atau memblokir aksesnya menggunakan Fail2Ban.

Contoh regex untuk mendeteksi serangan XML-RPC:

^<HOST> -.*"(POST) /xmlrpc\.php.*" (200|403) 

Dengan regex ini, Fail2Ban akan mencatat IP yang melakukan permintaan POST ke xmlrpc.php secara berulang dan memblokirnya jika melebihi batas yang ditentukan.

Serangan lain yang umum adalah pemindaian file sensitif seperti wp-config.php, .env, atau backup file. Penyerang biasanya mencoba mengakses file-file ini secara langsung melalui URL. Regex dapat digunakan untuk mendeteksi pola scanning tersebut.

Contoh regex untuk scanning file sensitif WordPress:

^<HOST> -.*"(GET) /(wp-config\.php|\.env|backup|\.git).*" (404|403) 

Status 404 atau 403 menunjukkan bahwa file tidak ditemukan atau diblokir, namun upaya ini tetap patut dicurigai sebagai aktivitas berbahaya.

Selain itu, WordPress juga sering menjadi target SQL injection dan path traversal melalui parameter URL. Meskipun sebagian besar serangan ini ditangani oleh aplikasi atau WAF, Fail2Ban tetap dapat menjadi lapisan perlindungan tambahan.

Contoh regex sederhana untuk mendeteksi pola URL mencurigakan:

^<HOST> -.*"(GET|POST).*(\.\./|union.*select|select.*from|base64_encode).*" (400|403|404) 

Regex ini mendeteksi karakteristik umum serangan seperti ../ untuk traversal direktori atau kata kunci SQL yang sering digunakan dalam injection.

Keunggulan penggunaan regex pada Fail2Ban untuk WordPress adalah sifatnya yang ringan, otomatis, dan responsif. Berbeda dengan IDS kompleks, Fail2Ban sangat cocok digunakan pada VPS atau server dengan sumber daya terbatas. Namun, regex harus dirancang dengan hati-hati agar tidak memblokir pengguna sah (false positive).

Kesimpulannya, penggunaan regex WordPress pada Fail2Ban merupakan langkah penting dalam meningkatkan keamanan server. Dengan memantau log dan mengenali pola serangan umum seperti brute force, XML-RPC abuse, dan scanning file sensitif, Fail2Ban dapat bertindak cepat sebelum serangan berkembang lebih jauh. Regex bukan hanya alat teknis, tetapi juga strategi preventif yang efektif dalam menjaga stabilitas dan keamanan situs WordPress.