Daftar Isi
- 🔍 Kenapa Website WordPress Mudah Diserang?
- ⚔️ Jenis Serangan Hacker yang Sering Terjadi di WordPress
- 🔐 Cara Mencegah Website WordPress dari Serangan Hacker
- 1. Gunakan Password yang Kuat (dan Unik)
- 2. Aktifkan Two-Factor Authentication (2FA)
- 3. Update WordPress, Tema, dan Plugin Secara Berkala
- 4. Gunakan Hosting yang Aman dan Terpercaya
- 5. Pasang Plugin Keamanan WordPress
- 6. Gunakan SSL (HTTPS)
- 7. Batasi Percobaan Login (Limit Login Attempts)
- 8. Ubah URL Login Admin WordPress
- 9. Hapus Plugin & Tema yang Nggak Dipakai
- 10. Backup Website Secara Teratur
- 11. Gunakan File Permission yang Aman
- 12. Nonaktifkan Editor File di Dashboard
- 13. Gunakan CAPTCHA di Halaman Login & Formulir
- 14. Pantau Aktivitas Pengguna (User Activity Log)
- 15. Gunakan Versi PHP yang Terbaru
- ⚡ Tips Tambahan Supaya Website Makin Aman
- 🧩 Contoh Checklist Keamanan WordPress
- 🏁 Kesimpulan
- WAF dari Citrahost
Pernah nggak kamu buka website WordPress kamu, tapi tiba-tiba muncul pesan aneh, tampilan berubah, atau malah nggak bisa diakses sama sekali?
Kalau iya, bisa jadi website kamu lagi jadi korban serangan hacker. 😨
Tenang, kamu nggak sendirian. WordPress memang jadi CMS (Content Management System) paling populer di dunia — tapi karena itulah juga, ia jadi target empuk para peretas.
Tapi kabar baiknya, ada banyak cara sederhana untuk mencegah website WordPress kamu dari serangan hacker. Dan semua bisa kamu lakukan sendiri tanpa harus jadi “anak IT banget”.
Dalam artikel ini, kita bakal bahas tuntas:
-
Kenapa WordPress sering jadi target hacker,
-
Jenis-jenis serangan yang sering terjadi,
-
Cara mencegahnya langkah demi langkah,
-
Dan tips tambahan supaya websitemu tetap aman 24 jam.
Yuk, kita mulai! 🚀
🔍 Kenapa Website WordPress Mudah Diserang?
Sebelum kita masuk ke cara mencegahnya, penting banget buat tahu dulu kenapa WordPress bisa rentan.
-
Populer banget.
WordPress digunakan oleh lebih dari 40% website di seluruh dunia. Itu artinya, kalau ada celah keamanan yang sama, hacker bisa menyerang jutaan situs sekaligus. -
Plugin dan tema pihak ketiga.
Banyak pengguna WordPress pakai plugin atau tema gratis dari sumber yang kurang terpercaya. Nah, plugin semacam ini kadang mengandung celah keamanan. -
Versi lama yang nggak diupdate.
WordPress dan plugin sering merilis update untuk menambal bug. Tapi banyak pemilik website malas update karena takut error. Padahal, versi lama bisa jadi lubang buat hacker masuk. -
Password lemah.
“admin123” bukan password, itu undangan buat di-hack 😅
⚔️ Jenis Serangan Hacker yang Sering Terjadi di WordPress
Biar makin waspada, yuk kenali dulu beberapa jenis serangan yang umum banget di WordPress:
1. Brute Force Attack
Hacker mencoba login ke admin WordPress kamu dengan menebak password berulang kali.
Biasanya mereka pakai bot otomatis yang bisa mencoba ribuan kombinasi dalam hitungan detik.
2. Malware Injection
Hacker menyisipkan skrip berbahaya di file website kamu (biasanya di functions.php atau wp-config.php).
Tujuannya? Bisa untuk mencuri data, menambahkan backlink tersembunyi, atau bahkan mengambil alih website sepenuhnya.
3. SQL Injection
Serangan ini memanfaatkan celah di database, biasanya lewat formulir atau input pengguna, untuk menyusupkan perintah berbahaya.
4. Cross-Site Scripting (XSS)
Hacker menyisipkan kode jahat di halaman web, lalu pengunjung tanpa sadar mengeksekusi kode itu. Bisa dipakai untuk mencuri cookie login atau data pengguna.
5. Defacement
Serangan ini mengubah tampilan website kamu — biasanya dengan pesan provokatif atau logo hacker. Ini sering dilakukan hanya untuk pamer atau iseng.
🔐 Cara Mencegah Website WordPress dari Serangan Hacker
Sekarang bagian pentingnya: cara mencegah serangan hacker.
Kabar baiknya, kamu nggak butuh jadi ahli coding buat menjaga keamanan situsmu. Cukup ikuti langkah-langkah berikut 👇
1. Gunakan Password yang Kuat (dan Unik)
Kedengarannya sepele, tapi ini salah satu lapisan keamanan paling penting.
Gunakan kombinasi huruf besar, kecil, angka, dan simbol.
Contoh: Wp2025!Secure# jauh lebih aman daripada wordpress123.
Kalau susah ingat, kamu bisa pakai password manager seperti Bitwarden atau 1Password.
2. Aktifkan Two-Factor Authentication (2FA)
Dengan 2FA, kamu nggak cuma butuh password buat login, tapi juga kode tambahan dari HP kamu.
Jadi meskipun hacker tahu password kamu, mereka tetap nggak bisa masuk.
Kamu bisa pakai plugin seperti:
-
Wordfence Security
-
Google Authenticator
-
WP 2FA
3. Update WordPress, Tema, dan Plugin Secara Berkala
Setiap kali WordPress atau plugin rilis update, itu biasanya berisi perbaikan bug dan celah keamanan.
Jadi jangan malas klik tombol “Update Now”.
Kalau takut error, kamu bisa backup dulu sebelum update (nanti kita bahas cara backup juga 👇).
4. Gunakan Hosting yang Aman dan Terpercaya
Hosting itu pondasi website kamu. Kalau server-nya rentan, percuma kamu amankan WordPress-nya.
Gunakan hosting yang punya:
-
Firewall aktif,
-
Proteksi DDoS,
-
Backup otomatis,
-
SSL gratis,
-
Support 24 jam.
Contohnya, Citrahost sudah menyediakan semua itu di paket hosting-nya. Jadi kamu bisa fokus ngurus konten, bukan ngurus hacker. 😉
5. Pasang Plugin Keamanan WordPress
Beberapa plugin keamanan terbaik untuk WordPress:
-
Wordfence Security — deteksi malware & firewall bawaan.
-
iThemes Security — fitur lengkap: 2FA, scan file, brute force protection.
-
Sucuri Security — cocok untuk monitoring dan malware scanning.
Setelah install, jalankan “scan” rutin minimal seminggu sekali.
6. Gunakan SSL (HTTPS)
SSL adalah sertifikat keamanan yang mengenkripsi data antara pengunjung dan server.
Selain membuat website lebih aman, Google juga memberikan ranking lebih tinggi untuk situs HTTPS.
Citrahost sudah menyediakan SSL gratis (Let’s Encrypt) di semua paket hosting-nya. Jadi nggak ada alasan buat nggak pakai SSL ya. 🔒
7. Batasi Percobaan Login (Limit Login Attempts)
Gunakan plugin seperti Limit Login Attempts Reloaded untuk membatasi percobaan login gagal.
Misalnya, kalau ada yang salah 5 kali berturut-turut, IP-nya otomatis diblokir.
8. Ubah URL Login Admin WordPress
Secara default, halaman login WordPress adalah /wp-admin atau /wp-login.php.
Hacker tahu itu, jadi mereka gampang menyerang.
Gunakan plugin seperti WPS Hide Login untuk mengubah URL login kamu jadi misalnya /masuk-aman atau /portalku.
9. Hapus Plugin & Tema yang Nggak Dipakai
Semakin banyak plugin, semakin besar risiko celah keamanan.
Uninstall semua plugin dan tema yang tidak aktif — jangan cuma “deactivate”, tapi hapus total.
10. Backup Website Secara Teratur
Kalau hal buruk terjadi (misal website diretas), backup adalah penyelamat kamu.
Gunakan plugin seperti:
-
UpdraftPlus
-
JetBackup
-
All-in-One WP Migration
Atau manfaatkan fitur backup otomatis dari Citrahost, biar aman tiap hari tanpa repot.
11. Gunakan File Permission yang Aman
Pastikan file permission kamu tidak terlalu terbuka.
Biasanya direkomendasikan:
-
Folder:
755 -
File:
644
Kalau file wp-config.php diatur ke 600, itu lebih aman lagi.
12. Nonaktifkan Editor File di Dashboard
Kalau hacker berhasil login, mereka bisa mengubah file tema lewat editor bawaan WordPress.
Untuk mencegah ini, tambahkan kode berikut di wp-config.php:
13. Gunakan CAPTCHA di Halaman Login & Formulir
Plugin seperti reCAPTCHA by Google bisa mencegah bot otomatis melakukan brute force atau spam komentar.
14. Pantau Aktivitas Pengguna (User Activity Log)
Kalau kamu punya banyak admin atau penulis, pastikan kamu tahu siapa melakukan apa.
Gunakan plugin seperti Simple History atau WP Activity Log untuk mencatat semua aktivitas di dashboard.
15. Gunakan Versi PHP yang Terbaru
PHP adalah bahasa dasar WordPress. Versi lama biasanya punya banyak celah keamanan.
Pastikan kamu pakai versi PHP 8.0 atau lebih tinggi. Di Citrahost, kamu bisa ubah versi PHP langsung dari cPanel. ✅
⚡ Tips Tambahan Supaya Website Makin Aman
-
Jangan pernah download tema atau plugin bajakan (nulled). Itu sering banget disisipi malware.
-
Gunakan username admin yang unik (hindari “admin”).
-
Aktifkan fitur auto-logout kalau akun idle terlalu lama.
-
Gunakan CDN (seperti Cloudflare) untuk tambahan lapisan keamanan dan kecepatan.
-
Cek log server secara berkala untuk aktivitas mencurigakan.
🧩 Contoh Checklist Keamanan WordPress
| Tindakan | Status Aman |
|---|---|
| SSL aktif | ✅ |
| Backup otomatis | ✅ |
| Update WordPress & plugin rutin | ✅ |
| Password kuat | ✅ |
| Login 2FA aktif | ✅ |
| Plugin keamanan terpasang | ✅ |
| Limit login attempt | ✅ |
Kalau semua baris di atas sudah “✅”, website kamu udah bisa dibilang aman dari 90% serangan umum hacker. 💪
🏁 Kesimpulan
Website WordPress kamu bisa aja jadi target hacker, tapi bukan berarti kamu nggak bisa melindunginya.
Dengan langkah-langkah sederhana seperti update rutin, password kuat, SSL, dan plugin keamanan, kamu udah jauh lebih siap dari kebanyakan pengguna WordPress di luar sana.
Selain itu agar lebih aman bisa menggunakan
