RevealTheme logo

Panduan · Diperbarui 2026

Daftar periksa keamanan WordPress: 30 langkah yang benar-benar penting

Sebagian besar saran keamanan WordPress bersifat generik, menakut-nakuti, dan melupakan apa yang benar-benar penting. Daftar ini mengurutkan tindakan keamanan berdasarkan dampak nyata, berdasarkan pola serangan nyata yang digunakan terhadap situs WordPress (brute force, plugin rentan, kredensial lemah, inti yang ketinggalan zaman).

5 hal esensial: lakukan dulu

  1. Jaga agar inti WordPress, tema, dan plugin tetap diperbarui. Plugin yang rentan adalah vektor serangan nomor 1. Aktifkan pembaruan otomatis untuk versi minor (WordPress 5.6+ melakukannya secara bawaan). Untuk versi mayor, perbarui dalam 7 hari setelah rilis. Untuk plugin, aktifkan pembaruan otomatis untuk yang tepercaya; tinjau secara manual catatan versi plugin krusial.
  2. Gunakan kata sandi yang kuat dan unik untuk setiap akun WordPress. Terutama akun admin. Gunakan pengelola kata sandi (1Password, Bitwarden). Nonaktifkan nama pengguna «admin»: buat admin baru dan hapus yang lama.
  3. Aktifkan autentikasi dua faktor. Gunakan Wordfence Login Security (gratis) atau Generator QR 2FA kami dengan aplikasi TOTP apa pun. 2FA mengalahkan lebih dari 99 % serangan credential stuffing.
  4. Pasang plugin keamanan tepercaya. Wordfence (versi gratis cukup untuk sebagian besar situs) atau Solid Security. Jangan menumpuk beberapa: mereka saling konflik. Plugin mengelola batas upaya login, pemantauan integritas file, dan pemindaian malware.
  5. Cadangkan harian di luar situs. UpdraftPlus → Dropbox/Google Drive. Buat cadangan sebelum Anda membutuhkannya. Uji proses pemulihan setidaknya sekali.

10 berikutnya: tindakan tambahan berdampak tinggi

  1. Paksa HTTPS. Let's Encrypt gratis di setiap hosting modern. Alihkan HTTP ke HTTPS di tingkat server.
  2. Ubah prefiks tabel basis data. WordPress menggunakan wp_ secara bawaan; ubah menjadi sesuatu yang kustom saat instalasi. Tidak mencegah serangan, tetapi mempersulit beberapa pola serangan.
  3. Nonaktifkan XML-RPC jika tidak digunakan. XML-RPC adalah vektor amplifikasi brute force yang umum. Jika Anda tidak menggunakan aplikasi seluler Jetpack atau publikasi jarak jauh, nonaktifkan melalui .htaccess atau plugin.
  4. Batasi upaya login. Wordfence melakukannya secara otomatis. Mencegah credential stuffing dengan brute force.
  5. Putar kunci/salt autentikasi WordPress. Gunakan Generator Salt WordPress kami. Putar setelah ada kecurigaan kompromi, setelah menghapus admin yang terkompromi, dan setiap 6-12 bulan secara rutin.
  6. Gunakan SSH atau SFTP untuk mentransfer file, jangan pernah FTP polos. FTP mengirim kredensial dalam teks biasa.
  7. Batasi akses ke wp-admin berdasarkan IP jika memungkinkan. Jika tim Anda menggunakan IP tetap (kantor, VPN), batasi wp-admin hanya untuk IP tersebut. Melalui .htaccess atau konfigurasi Nginx.
  8. Nonaktifkan pengeditan file di wp-config.php. Tambahkan: define('DISALLOW_FILE_EDIT', true); Mencegah penyerang mengedit tema/plugin dari panel jika mereka mengompromi sebuah akun.
  9. Sembunyikan nomor versi WordPress. Hapus tag meta generator. Tidak mencegah serangan, tetapi mengurangi fingerprinting.
  10. Kunci izin file. File 644, direktori 755, wp-config.php 600. Sebagian besar hosting terkelola melakukannya secara otomatis; pada VPS, konfigurasikan secara eksplisit.

Penyempurnaan: baik tetapi tidak krusial

  1. URL login kustom (mis. WPS Hide Login). Terutama mengurangi kebisingan lalu lintas bot; bukan keamanan nyata.
  2. CAPTCHA pada formulir login. Hambatan ringan untuk serangan otomatis.
  3. Nonaktifkan eksekusi PHP di /uploads/. Mencegah shell PHP yang diunggah agar tidak berjalan.
  4. Gunakan WAF Cloudflare (tingkat gratis). Menyaring lalu lintas berbahaya sebelum mencapai server Anda.
  5. Konfigurasikan peringatan email admin untuk pembaruan plugin/inti.
  6. Gunakan preload HSTS untuk memaksa HTTPS di tingkat browser.
  7. Nonaktifkan enumerasi pengguna melalui REST API (Solid Security atau Wordfence menanganinya).
  8. Gunakan header Content Security Policy (CSP).
  9. Nonaktifkan penjelajahan direktori (sebagian besar hosting melakukannya secara bawaan).
  10. Pantau waktu aktif + integritas dengan layanan eksternal (tingkat gratis UptimeRobot + Sucuri SiteCheck mingguan).
  11. Batasi peran pengguna ke hak istimewa minimal. Sebagian besar kontributor tidak memerlukan akses tingkat editor.
  12. Enkripsi cadangan basis data (UpdraftPlus Premium menawarkannya).
  13. Hosting gambar di luar domain melalui CDN (mengurangi permukaan serangan).
  14. Tinjauan berkala atas log audit keamanan.
  15. Uji penetrasi tahunan jika situs menghasilkan pendapatan signifikan.

Mitos keamanan WordPress: lewati saja

Beberapa tindakan «keamanan» yang sangat direkomendasikan menawarkan perlindungan nyata yang minimal: (1) «Sembunyikan versi WordPress»: mengetahui versi Anda sedikit membantu serangan yang ditargetkan, tetapi solusi nyatanya adalah memperbarui, bukan menyembunyikan. (2) «Pindahkan wp-config.php di atas public_html»: pada dasarnya memberikan nol manfaat keamanan; file tersebut sudah dilindungi oleh .htaccess. (3) «Nonaktifkan REST API»: merusak banyak plugin dan memblokir sedikit. Batasi endpoint tertentu sebagai gantinya. (4) «Tumpuk beberapa plugin keamanan»: mereka konflik dan tumpang tindih. Satu plugin tepercaya (Wordfence atau Solid Security) mencakup apa yang akan dilakukan tiga plugin. (5) «Ubah nama wp-login.php»: keamanan melalui ketidakjelasan; penyerang menemukan URL baru dengan mudah melalui pengalihan.

Jika Anda diretas: daftar pemulihan

  1. Jangan panik; jangan langsung menghapus sesuatu. Ambil dulu cuplikan kondisi saat ini untuk analisis forensik.
  2. Bawa situs ke luring (plugin mode pemeliharaan atau pengalihan .htaccess ke halaman statis).
  3. Ubah semua kata sandi admin dan putar salt WordPress.
  4. Audit akun pengguna: segera hapus akun admin yang tidak dikenali.
  5. Pindai malware dengan Wordfence Premium atau Sucuri.
  6. Bandingkan file saat ini dengan unduhan WordPress yang bersih: diff mengungkap file inti yang dimodifikasi.
  7. Tinjau tabel wp_options basis data untuk entri yang tidak terduga (sering kali berisi JS yang disuntikkan).
  8. Pulihkan dari cadangan bersih terbaru (inilah mengapa cadangan harian penting).
  9. Setelah dipulihkan, audit setiap plugin: hapus yang tidak digunakan, perbarui semua, dan ganti yang memiliki CVE publik.
  10. Perbarui inti WordPress ke versi terbaru.
  11. Aktifkan kembali situs dan pantau infeksi ulang selama 30 hari.
Hasilkan salt WordPress baru sekarang

Pertanyaan yang sering diajukan

Apakah WordPress kurang aman daripada CMS lain?
Tidak secara inheren. Reputasi WordPress sebagai risiko keamanan berasal dari dua faktor: ia menjalankan 43 % web, jadi penyerang menargetkannya; dan pengguna kasual memasang plugin rentan tanpa mengauditnya. Situs WordPress yang terpelihara dengan plugin terverifikasi sama amannya dengan Drupal atau Joomla. Situs WordPress terlantar dengan 30 plugin ketinggalan zaman adalah sasaran empuk.
Apakah saya memerlukan plugin keamanan berbayar?
Sebagian besar situs tidak. Wordfence Free mencakup apa yang dibutuhkan 90 % situs WordPress: firewall, pemindaian malware, keamanan login, integritas file. Versi Premium menambahkan pembaruan ancaman real-time (vs penundaan 30 hari), pemblokiran per negara, dan dukungan prioritas: sepadan untuk situs dengan pendapatan nyata, opsional dalam kasus lain.
Seberapa sering saya harus memperbarui WordPress?
Versi minor (5.6.1 → 5.6.2): secara otomatis, segera. Versi mayor (5.x → 6.x): dalam 7 hari setelah rilis. Pembaruan plugin: tinjauan mingguan; pembaruan otomatis jika Anda memiliki cadangan; tinjauan manual untuk plugin krusial (keamanan, e-commerce, kode kustom).
Apa cara paling umum situs WordPress diretas?
Plugin yang rentan, bertanggung jawab atas ~55 % serangan WordPress yang berhasil menurut laporan tahunan Wordfence. Kode plugin itu sendiri memiliki kerentanan yang dieksploitasi penyerang. Mitigasi: jaga agar plugin tetap diperbarui, hapus yang tidak digunakan, dan hanya pasang plugin dari pengembang tepercaya.
Haruskah saya menggunakan hosting dengan keamanan WordPress terintegrasi?
Hosting WordPress terkelola (Kinsta, WP Engine, Pressable) menyertakan WAF, pemindaian malware, dan pembaruan inti otomatis: tambahan yang signifikan. Apakah ini membenarkan harga premium tergantung pada lalu lintas dan profil ancaman Anda. Untuk situs usaha kecil, instalasi Wordfence gratis di hosting bersama mencakup sebagian besar ancaman.

Bacaan terkait

Berlangganan pembaruan

Kami tidak menjual email Anda. Kami tidak mengirim spam.

© 2026 RevealTheme. All rights reserved.