Setiap hari, peretas menargetkan situs WordPress dengan serangan menipu yang dirancang untuk mencuri data, memasang malware, dan membajak kehadiran online Anda. Kabar baiknya? Anda dapat melindungi diri dengan strategi keamanan yang tepat. Panduan ini akan menunjukkan dengan tepat cara mengamankan situs WordPress Anda dari peretas menggunakan metode sederhana dan teruji yang terbukti berhasil.
Realitas mengkhawatirkan dari ancaman keamanan WordPress
Ancaman keamanan WordPress telah mencapai tingkat krisis. Pada tahun 2024 saja, para peneliti menemukan4.448 kerentanan baru yang memengaruhi situs WordPress – peningkatan mencengangkan sebesar 155% dari 1.745 kerentanan yang ditemukan pada tahun 2023. Yang lebih mengkhawatirkan lagi, sekitar 337.500 situs WordPress terinfeksi malware pada hari tertentu.
Hampir8.000 kerentanan baru dilaporkan di seluruh ekosistem WordPress pada tahun 2024, dengan sebagian besar menargetkanplugin dan tema alih-alih WordPress core. Ini berarti keamanan situs Anda sangat bergantung pada komponen pihak ketiga yang Anda instal.
Mengapa peretas begitu fokus pada WordPress? Sederhana – platform ini mendukung hampir setengah dari semua situs web di internet. Pangsa pasar yang sangat besar ini menjadikan WordPress target yang menarik bagi penjahat siber yang ingin memaksimalkan dampak mereka dengan upaya minimal.
Di mana situs WordPress Anda paling rentan
Memahami dari mana serangan berasal membantu Anda memfokuskan upaya keamanan dengan lebih efektif. Data mengungkap beberapa pola mengejutkan tentang kerentanan WordPress.
Plugin sejauh ini merupakan risiko keamanan terbesar Anda. Sebanyak 96% dari semua kerentanan WordPress pada tahun 2024 ditemukan pada plugin, sementara tema menyumbang 4% dan WordPress core sendiri hanya 0,1%. Ini berarti bahwa setiap plugin yang Anda instal berpotensi membuka titik serangan baru bagi peretas.
Metode serangan paling berbahaya yang menargetkan situs WordPress mencakup serangan cross-site scripting (XSS) dan injeksi SQL. Serangan XSS menyumbang 53,3% dari semuakerentanan keamanan yang baru diidentifikasi, sementara injeksi SQL mewakili 47% dari kerentanan yang diungkapkan.
Serangan ini mengeksploitasi validasi input yang buruk pada plugin dan tema. Serangan XSS menyuntikkan skrip berbahaya ke situs web Anda yang dapat mencuri data pengguna dan token sesi. Serangan injeksi SQL menargetkan database MySQL Anda secara langsung, yang berpotensi memberi peretas akses ke semua informasi situs Anda.
Langkah keamanan WordPress dasar untuk setiap situs
Garis pertahanan pertama Anda melibatkan penerapan praktik keamanan mendasar yang menangani vektor serangan paling umum. Langkah-langkah ini membentuk fondasi dari setiap strategi keamanan WordPress yang kuat.
Selalu perbarui semua perangkat lunak
Karena sebagian besar kerentanan ada pada file dan program yang membentuk situs web Anda, menjaga semuanya tetap mutakhir sangatlah penting.
WordPress corepembaruan menambal kerentanan keamanan, jadi instal segera setelah tersedia.
Menjaga plugin Anda tetap diperbarui sangat penting, karena plugin yang usang adalah sumber kerentanan yang paling umum dan dapat dengan cepat menjadi target para penyerang.
Memperbarui tema dan child theme Anda secara rutin memastikan Anda memiliki tambalan keamanan terbaru dan membantu menjaga kompatibilitas dengan WordPress core dan plugin.
Siapkan pembaruan otomatis untuk WordPress core dan aktifkan pembaruan WordPress otomatis untuk plugin jika memungkinkan.
Terapkan langkah autentikasi yang kuat
Kata sandi yang lemah masih menjadi salah satu cara utama peretas mendapatkan akses ke situs WordPress. Jangan pernah gunakan "admin" sebagai nama pengguna Anda, dan buat kata sandi kompleks yang menggabungkan huruf besar dan kecil, angka, serta karakter khusus.
Baca lebih lanjut tentang mengamankan kredensial login dalam rangkuman kami tentang cara terbaik melindungi situs Anda.
Autentikasi dua faktor (2FA) menambahkan lapisan keamanan yang lebih kuat, sehingga jauh lebih sulit bagi peretas untuk mengakses situs Anda bahkan jika mereka memperoleh kata sandi Anda. Aktifkan 2FA untuk semua akun pengguna, terutama administrator.
Anda juga dapat mencoba teknologi yang lebih baru, Passkey, yang menawarkan autentikasi tanpa kata sandi menggunakan pasangan kunci kriptografis yang disimpan dengan aman di perangkat Anda. Passkey bahkan lebih aman daripada kata sandi tradisional dan 2FA, karena menghilangkan risiko phishing dan pencurian kredensial sekaligus memungkinkan pengguna masuk dengan biometrik atau autentikasi berbasis perangkat.
Dapatkan perlindungan keamanan yang komprehensif
Tersedia beberapa alat keamanan WordPress terkenal yang menyediakan lebih banyak lapisan pemantauan dan perlindungan dasar. Wordfence and Sucuri adalah plugin keamanan WordPress populer yang berfungsi di host mana pun dan menawarkan fitur seperti pemindaian malware, perlindungan firewall, dan keamanan login. Guardian Suite terintegrasi dalam hosting EasyWP dan berfokus pada keamanan otomatis, termasuk pembaruan otomatis dan penghapusan malware. Ini juga mencakup HackGuardian, yang menempatkan sistem file WordPress Anda ke mode parsial hanya-baca, memblokir perubahan yang tidak sah.
Tambahkan firewall untuk pemblokiran ancaman secara real-time
Meskipun plugin keamanan menawarkan berbagai perlindungan, firewall khusus secara aktif memantau dan memfilter lalu lintas masuk, memblokir permintaan berbahaya sebelum mencapai situs Anda. Ini membantu menghentikan serangan umum seperti login brute force, injeksi SQL, dan cross-site scripting sejak awal. Banyak plugin keamanan WordPress menyertakan firewall bawaan, tetapi Anda juga dapat menggunakan web application firewall (WAF) dari penyedia shared hosting Anda untuk lapisan pertahanan tambahan.
Pelajari teknologi WAF lebih mendalam dengan panduan kami tentang tetap terlindungi dengan shared hosting.
Bersihkan plugin dan tema yang tidak digunakan secara rutin
Plugin dan tema yang tidak digunakan bukan sekadar kekacauan—itu adalah risiko keamanan yang nyata. Setiap plugin atau tema yang tidak aktif atau usang adalah titik masuk potensial lain bagi peretas, bahkan jika saat ini tidak diaktifkan. Biasakan untuk meninjau plugin dan tema yang terpasang secara rutin, lalu hapus apa pun yang tidak lagi Anda gunakan. Ini mengurangi permukaan serangan Anda dan menjaga instalasi WordPress Anda tetap ringkas dan aman.
Strategi perlindungan lanjutan untuk keamanan maksimal
Di luar langkah keamanan dasar, menerapkan strategi perlindungan lanjutan memberikan pertahanan menyeluruh terhadap serangan yang canggih.
Pilih hosting dan infrastruktur yang aman
Penyedia hosting Anda memainkan peran penting dalam keamanan situs Anda. Lingkungan hosting harus dibandingkan dan dievaluasi dengan cermat berdasarkan fitur keamanannya, termasuk bagaimana mereka mengamankan web server dan perangkat lunak server.
Penyedia cloud WordPress hosting menawarkan fitur keamanan khusus termasuk konfigurasi server yang diperkuat, perlindungan DDoS, dan langkah keamanan tingkat jaringan. Penyedia ini biasanya menyertakan pembaruan otomatis, pencadangan harian, dan pemantauan keamanan oleh ahli. Jika Anda meng-host beberapa situs web atau aplikasi di server yang sama, ketahuilah bahwa kerentanan di satu situs dapat memengaruhi yang lain, jadi mengisolasi situs atau menggunakan sumber daya khusus sangat disarankan.
Instal sertifikat SSL
Pastikan penyedia hosting Anda menawarkan sertifikat SSL, karena ini penting untuk melindungi situs web Anda dan pengunjung Anda. Sertifikat SSL mengenkripsi semua data yang ditransmisikan antara browser pengunjung Anda dan server Anda, sehingga tidak dapat dibaca oleh siapa pun yang mencoba mencegatnya. Ini sangat penting untuk informasi sensitif, seperti kata sandi, detail pembayaran, dan data pribadi.
Namun sertifikat SSL melakukan lebih dari sekadar mengenkripsi data. Sertifikat ini juga memverifikasi identitas situs web Anda melalui proses yang dikelola oleh Certificate Authorities (CA) tepercaya. Saat CA menerbitkan sertifikat SSL, hal itu menegaskan bahwa situs web Anda sah, membantu mencegah serangan phishing dan pemalsuan domain. Verifikasi inilah yang memungkinkan browser menampilkan indikator kepercayaan seperti ikon gembok dan “https://” di bilah alamat, meyakinkan pengunjung bahwa situs Anda aman untuk digunakan.
Manfaatkan sistem pencadangan dan pemulihan yang andal
Pencadangan rutin sangat penting untuk pemulihan cepat dari insiden keamanan. Strategi pencadangan Anda harus mencakup pencadangan seluruh instalasi WordPress, termasuk file inti WordPress, media, dan semua database terkait. Membuat dan menyimpan file cadangan dengan aman memastikan Anda dapat memulihkan situs setelah kehilangan data, serangan siber, atau kegagalan server.
Kelola peran pengguna untuk mengurangi kerentanan
WordPress memungkinkan Anda menetapkan berbagai peran pengguna, masing-masing dengan serangkaian izin sendiri. Dengan memberi pengguna hanya akses yang mereka butuhkan—seperti Editor, Author, atau Contributor alih-alih Administrator—Anda membatasi potensi kerusakan jika sebuah akun disusupi. Tinjau daftar pengguna Anda secara rutin dan sesuaikan peran untuk memastikan tidak ada yang memiliki hak istimewa lebih dari yang diperlukan. Langkah sederhana ini dapat mencegah perubahan yang tidak disengaja dan menghalangi penyerang mendapatkan kendali penuh atas situs Anda.
Pantau log aktivitas pengguna
Mengawasi log aktivitas pengguna membantu Anda mendeteksi perilaku mencurigakan sejak dini. Log aktivitas melacak perubahan seperti login, instalasi plugin, pengeditan konten, dan lainnya, sehingga Anda dapat dengan cepat mengidentifikasi tindakan yang tidak sah. Banyak plugin keamanan menyertakan fitur ini, sehingga memudahkan untuk meninjau aktivitas terbaru dan menyelidiki anomali apa pun. Pemantauan rutin terhadap log ini adalah cara proaktif untuk menangkap ancaman sebelum meningkat.
Nonaktifkan XML-RPC untuk memblokir serangan umum
XML-RPC adalah fitur WordPress yang memungkinkan koneksi jarak jauh ke situs Anda, tetapi juga sering menjadi target peretas. Penyerang kerap mengeksploitasi XML-RPC untuk melancarkan serangan brute force atau mendapatkan akses tidak sah. Jika Anda tidak menggunakan alat atau aplikasi penerbitan jarak jauh yang memerlukan XML-RPC, sebaiknya nonaktifkan sepenuhnya. Anda dapat melakukannya dengan plugin atau dengan menambahkan aturan sederhana ke file .htaccess situs Anda, yang semakin mengurangi paparan situs Anda terhadap serangan otomatis.
Amankan situs WordPress Anda sebelum peretas menyerang
Keamanan WordPress memerlukan kewaspadaan berkelanjutan, tetapi menerapkan langkah-langkah ini secara drastis mengurangi risiko Anda menjadi korban. Mulailah dengan item prioritas tertinggi dan kerjakan secara sistematis seluruh daftar periksa. Keamanan situs web Anda dan ketenangan pikiran Anda bergantung pada tindakan yang Anda ambil hari ini.
Pertanyaan yang sering diajukan
Tidak ada satu angka “aman” yang pasti, tetapi semakin banyak plugin yang Anda instal, semakin tinggi risiko masalah keamanan dan perlambatan. Fokuslah pada kualitas daripada kuantitas. Simpan hanya plugin yang benar-benar Anda butuhkan, dan audit daftar Anda secara berkala untuk menghapus plugin yang tidak digunakan atau berlebihan.
Plugin gratis bisa aman, tetapi Anda perlu selektif. Selalu unduh plugin dari repositori WordPress resmi atau pengembang tepercaya. Periksa ulasan, riwayat pembaruan, dan instalasi aktif. Hindari plugin yang sudah lama tidak diperbarui, memiliki basis pengguna kecil, atau tidak memiliki dukungan.
Sebelum menginstal plugin, periksa ulasannya untuk keluhan terkait performa dan lihat kapan terakhir kali plugin tersebut diperbarui. Setelah instalasi, gunakan alat seperti GTmetrix atau PageSpeed Insights untuk menguji kecepatan situs Anda sebelum dan sesudah mengaktifkan plugin. Jika Anda melihat perlambatan yang signifikan, pertimbangkan opsi alternatif atau hubungi pengembang plugin untuk mendapatkan saran.

Bagikan pemikiran Anda