Tanpa Anda sadari, website WordPress Anda mungkin sedang dipindai oleh bot otomatis. Bukan karena website Anda menarik secara khusus, tapi justru karena WordPress digunakan oleh lebih dari 43,5% website di seluruh dunia, sehingga menjadikannya target paling menggiurkan bagi hacker untuk mencari celah secara massal. Oleh karena itu, mengamankan WordPress bukan lagi sekadar langkah tambahan, tetapi menjadi bagian penting dari pengelolaan website.
Data dari Patchstack menunjukkan bahwa sepanjang 2025 ditemukan 11.334 kerentanan baru di ekosistem WordPress, meningkat 42% dibanding tahun sebelumnya. Yang lebih mengkhawatirkan, waktu median dari pengungkapan kerentanan hingga eksploitasi massal hanya 5 jam. Artinya, jika sebuah celah keamanan ditemukan di plugin yang Anda gunakan, Anda hanya punya waktu sangat singkat sebelum serangan otomatis mulai mencoba memanfaatkannya.
Kabar baiknya, mengamankan WordPress tidak harus rumit. Dengan menerapkan langkah-langkah yang tepat secara konsisten, risiko website Anda diretas bisa dikurangi secara dramatis. Artikel ini membahas cara mengamankan WordPress secara lengkap dan relevan dengan ancaman terbaru di 2025-2026.
Ringkasan
- 90% kerentanan WordPress berasal dari plugin dan tema, bukan dari WordPress core itu sendiri.
- Waktu median dari pengungkapan kerentanan hingga eksploitasi massal hanya 5 jam, menjadikan update rutin sangat krusial.
- Ancaman terbaru 2025-2026 termasuk supply-chain attack di mana plugin legitimate dibajak untuk mendistribusikan malware ke seluruh penggunanya.
- Langkah paling fundamental: hindari username admin, gunakan password kuat, aktifkan 2FA, dan update semua komponen secara rutin.
- Backup berkala adalah jaring pengaman terakhir yang tidak bisa diabaikan meski semua langkah keamanan sudah diterapkan.
Kenapa WordPress Sering Menjadi Target Hacker?
Memahami alasan di balik tingginya angka serangan terhadap WordPress adalah langkah pertama yang penting sebelum membahas cara mengamankannya.
WordPress bukan platform yang lemah secara teknis. WordPress core sendiri sangat aman dan hanya ditemukan 2 kerentanan sepanjang seluruh tahun 2025 menurut laporan Patchstack. Masalahnya ada di ekosistem yang mengelilinginya.

Rata-rata instalasi WordPress menjalankan 20 hingga 30 plugin sekaligus. Setiap plugin adalah titik masuk potensial. Dengan lebih dari 60.000 plugin tersedia di WordPress.org dan ribuan lagi di marketplace premium, tidak ada cukup peneliti keamanan untuk mengaudit semuanya secara menyeluruh. Hasilnya, 52% developer plugin yang dilaporkan memiliki kerentanan tidak menambal masalah tersebut sebelum pengungkapan publik.
Faktor lain adalah popularitas WordPress itu sendiri. Bot tidak secara selektif menarget website tertentu. Mereka memindai jutaan website sekaligus mencari tanda-tanda instalasi WordPress standar seperti path /wp-login.php, nomor versi di meta tag, atau signature plugin di source code halaman. Jika website Anda terlihat seperti instalasi WordPress standar yang tidak diamankan, ia akan masuk antrean serangan otomatis.
Wordfence, plugin keamanan WordPress yang paling banyak digunakan, memblokir 55 juta upaya eksploitasi dan lebih dari 6,4 miliar serangan brute force setiap bulannya. Itu bukan angka puncak, melainkan baseline permanen yang terjadi setiap bulan.
Jenis Serangan yang Paling Sering Menyerang WordPress
Mengetahui jenis serangan yang umum terjadi membantu Anda memprioritaskan langkah keamanan mana yang paling mendesak untuk diterapkan.
- Brute Force Attack adalah upaya menebak kombinasi username dan password secara otomatis dalam jumlah yang sangat besar. Bot modern sudah menggunakan AI untuk memprediksi password berdasarkan pola umum, membuat serangan ini semakin efektif terhadap password yang lemah atau mudah ditebak.
- SQL Injection adalah serangan yang menyisipkan perintah SQL berbahaya melalui input form atau parameter URL untuk mengambil, memodifikasi, atau menghapus data dari database. Kerentanan ini sering ditemukan di plugin yang tidak memvalidasi input pengguna dengan benar.
- Cross-Site Scripting (XSS) adalah serangan yang menyisipkan script berbahaya ke dalam halaman website yang kemudian dieksekusi oleh browser pengunjung. Script ini bisa mencuri session cookies, mengalihkan pengguna ke website berbahaya, atau memanipulasi tampilan halaman.
- Broken Access Control adalah kategori kerentanan yang memungkinkan pengguna mengakses fungsi atau data yang seharusnya tidak bisa mereka akses. Ini adalah kategori kerentanan yang paling sulit dideteksi oleh WAF konvensional karena eksploitasinya terlihat seperti traffic autentikasi normal.
- Supply-Chain Attack adalah ancaman terbaru yang mulai marak di 2025-2026. Yang berubah di 2026 adalah pergeseran dari plugin yang rentan ke plugin yang sengaja dikompromikan, di mana penyerang membeli atau membajak plugin legitimate dan mendorong update berbahaya ke seluruh basis penggunanya yang sudah ada. Pada April 2026, lebih dari 25 plugin sekaligus dihapus dari WordPress.org dalam satu hari akibat insiden supply-chain attack.
- Malware Injection adalah penyisipan kode berbahaya ke dalam file website yang sudah berhasil dikompromikan. Malware ini bisa digunakan untuk mengirim spam, menampilkan iklan tersembunyi, mencuri data pengunjung, atau menjadikan server Anda sebagai bagian dari botnet.
Cara Mengamankan WordPress
Berikut adalah beberapa cara yang dapat Anda lakukan untuk mengamankan WordPress dari percobaan serangan hacker.
1. Keamanan Akun dan Akses Login
Pintu masuk paling umum ke dashboard WordPress adalah halaman login. Mengamankan akses ini adalah fondasi yang tidak bisa diabaikan.
Hindari Username “admin”
Username “admin” adalah target utama brute force attack karena merupakan username default WordPress dan hampir selalu menjadi tebakan pertama bot penyerang. Jika Anda masih menggunakan username ini, segera ganti melalui menu Users di dashboard WordPress.
Pilih username yang tidak mudah ditebak dan tidak terlihat di URL profil publik atau di byline artikel. Kombinasi nama yang tidak umum jauh lebih aman dari sekadar mengubah “admin” menjadi “administrator”.
Panduannya bisa Anda pelajari di artikel berikut: Cara mengganti username WordPress
Gunakan Password yang Kuat dan Unik
Password yang kuat bukan hanya soal panjang, tapi juga keunikannya. Jangan gunakan password yang sama untuk akun WordPress dan akun lain seperti email atau media sosial. Satu akun yang bocor bisa membuka akses ke semua akun lain yang menggunakan password serupa.
Gunakan kombinasi huruf besar, huruf kecil, angka, dan simbol dengan panjang minimal 12 karakter. Password manager seperti Bitwarden atau 1Password bisa membantu membuat dan menyimpan password yang benar-benar acak tanpa perlu menghafalnya.
Aktifkan Two-Factor Authentication (2FA)
Two-Factor Authentication menambahkan lapisan verifikasi kedua di luar username dan password. Meski seorang penyerang berhasil mencuri password Anda, mereka tetap tidak bisa login tanpa kode verifikasi kedua yang biasanya dikirim ke ponsel atau dihasilkan oleh aplikasi authenticator.
Plugin seperti Google Authenticator, Wordfence Login Security, atau Two Factor Authentication bisa digunakan untuk mengaktifkan 2FA di WordPress. Aktifkan 2FA untuk semua akun administrator, bukan hanya akun utama.
Panduannya bisa Anda pelajari di artikel berikut: Cara mengaktifkan 2FA di WordPress
Sembunyikan URL Login WordPress
URL login default WordPress yang selalu bisa diakses melalui /wp-login.php atau /wp-admin memudahkan bot menemukan halaman login Anda. Mengubah URL login ke alamat yang tidak standar tidak sepenuhnya menghilangkan risiko, tapi secara signifikan mengurangi volume serangan otomatis yang mencoba menemukan halaman login.
Plugin seperti WPS Hide Login memungkinkan Anda mengubah URL login hanya dalam beberapa klik. Pastikan menyimpan URL baru di tempat yang aman agar tidak terkunci dari website Anda sendiri.
Panduannya bisa Anda pelajari di artikel berikut: Cara Mengubah URL Login WordPress
2. Keamanan Plugin dan Tema
90% kerentanan WordPress berasal dari plugin, sementara 6% dari tema dan hanya 4% dari WordPress core. Mengelola plugin dan tema dengan benar adalah salah satu langkah paling kritis dalam mengamankan WordPress.
Hindari Plugin dan Tema Nulled
Plugin atau tema nulled adalah versi berbayar yang didistribusikan secara ilegal tanpa lisensi. Selain melanggar hak cipta, plugin nulled hampir selalu mengandung kode berbahaya yang sudah disisipkan oleh pihak yang mendistribusikannya.
Kode berbahaya dalam plugin nulled bisa berupa backdoor yang memberikan akses permanen ke website Anda, script pengirim spam, atau malware yang berjalan diam-diam di latar belakang. Penghematan dari tidak membeli plugin berbayar jauh tidak sebanding dengan risiko yang ditanggung.
Selalu unduh plugin dan tema dari sumber resmi seperti WordPress.org untuk plugin dan tema gratis, atau langsung dari website resmi developer untuk produk premium.
BACA JUGA: Bahaya Menggunakan Theme dan Plugin Nulled
Hapus Plugin dan Tema yang Tidak Digunakan
Plugin yang dinonaktifkan tapi masih terpasang tetap bisa menjadi celah keamanan karena filenya masih ada di server dan bisa dieksploitasi. Hapus sepenuhnya plugin dan tema yang tidak digunakan, termasuk tema default WordPress yang tidak pernah Anda pakai.
Audit plugin secara berkala. Tanyakan untuk setiap plugin: apakah masih aktif digunakan? Apakah masih dikembangkan secara aktif oleh developernya? Jika jawabannya tidak, pertimbangkan untuk mencari alternatif yang lebih aktif dikelola atau menghapusnya jika fungsionalitasnya tidak diperlukan.
Waspadai Supply-Chain Attack pada Plugin
Ini adalah ancaman terbaru yang perlu mendapat perhatian khusus. Tidak cukup hanya mengunduh plugin dari sumber resmi dan memastikannya update, karena penyerang kini menarget proses update itu sendiri.
Beberapa tanda peringatan yang perlu diwaspadai:
- Plugin tiba-tiba berganti nama atau kepemilikan.
- Ada update yang tidak biasa yang tidak disertai catatan perubahan yang jelas.
- Ada laporan dari komunitas tentang aktivitas mencurigakan dari sebuah plugin.
Mengaktifkan notifikasi dari plugin Wordfence bisa membantu Anda mendapatkan peringatan dini saat plugin yang Anda gunakan ditemukan memiliki kerentanan atau dicurigai mengalami kompromis.
3. Update dan Pembaruan Rutin
Waktu median dari pengungkapan kerentanan hingga eksploitasi massal hanya 5 jam. Fakta ini mengubah cara kita memandang update: bukan lagi rutinitas yang bisa ditunda, tapi tindakan keamanan mendesak yang harus dilakukan sesegera mungkin.
Update mencakup tiga komponen utama: WordPress core, plugin, dan tema. Ketiganya perlu dijaga tetap pada versi terbaru karena masing-masing bisa memiliki kerentanan yang dieksploitasi secara independen.
Untuk WordPress core dan plugin-plugin penting, pertimbangkan mengaktifkan auto-update yang bisa diatur dari menu Dashboard > Updates di WordPress. Meski ada risiko kecil bahwa update baru bisa menyebabkan konflik, risiko ini jauh lebih kecil dibanding risiko menjalankan versi yang memiliki kerentanan yang sudah diketahui publik.
Untuk website dengan banyak kustomisasi atau plugin yang saling bergantung, buat lingkungan staging untuk menguji update sebelum diterapkan di website produksi. Ini memungkinkan Anda mendapatkan manfaat keamanan dari update terbaru tanpa risiko merusak website yang sudah berjalan.
4. Keamanan Database WordPress
Database adalah jantung dari website WordPress, tempat semua konten, data pengguna, dan pengaturan disimpan. Mengamankan database berarti melindungi aset yang paling berharga dari website Anda.
- Ganti prefix tabel database
Secara default, semua tabel di database WordPress menggunakan prefixwp_. Penyerang yang berhasil melakukan SQL injection langsung mengetahui nama tabel yang perlu mereka targetkan. Mengubah prefix ke nilai yang tidak standar sepertirw2024_atau kombinasi acak lainnya menambahkan satu lapisan kesulitan bagi penyerang. - Buat akun database dengan hak akses minimal
Akun database yang digunakan WordPress tidak perlu memiliki izin untuk membuat atau menghapus tabel database. Batasi hak aksesnya hanya pada operasi yang benar-benar diperlukan: SELECT, INSERT, UPDATE, dan DELETE. Jika WordPress diretas, akun database yang hak aksesnya terbatas mencegah penyerang melakukan kerusakan yang lebih luas. - Hindari menyimpan informasi sensitif di database tanpa enkripsi
Data sensitif seperti API key, token autentikasi, atau informasi pribadi pengguna yang disimpan di database sebaiknya dienkripsi sebelum disimpan, bukan hanya mengandalkan keamanan koneksi database. - Lakukan backup database secara terpisah dari backup file
Database dan file website memiliki frekuensi perubahan yang berbeda. Backup database sebaiknya dilakukan lebih sering, idealnya harian, karena database menyimpan semua konten dan transaksi terbaru yang tidak ada di file backup.
5. Gunakan Plugin Security WordPress
Plugin keamanan berfungsi sebagai sistem monitoring dan perlindungan aktif yang bekerja terus-menerus di latar belakang untuk mendeteksi dan memblokir ancaman sebelum berhasil merusak website Anda.
Beberapa plugin keamanan yang direkomendasikan berdasarkan reputasi dan aktivitas pengembangan di 2025-2026:
- Wordfence Security adalah pilihan paling komprehensif dengan firewall aplikasi web (WAF), scanner malware, dan perlindungan brute force dalam satu plugin. Versi gratisnya sudah sangat fungsional untuk sebagian besar kebutuhan.
- Solid Security (sebelumnya iThemes Security) fokus pada penguatan akses login, deteksi perubahan file, dan pembatasan upaya login yang gagal. Antarmukanya lebih ramah pemula dibanding Wordfence.
- Sucuri Security menyediakan monitoring integritas file, audit log aktivitas, dan scanning malware jarak jauh. Versi berbayarnya juga menyertakan CDN dengan WAF bawaan yang bekerja di level DNS.
- Patchstack menjadi semakin relevan di 2025-2026 karena fokusnya pada vulnerability intelligence, yaitu memberi tahu Anda secara real-time saat plugin yang Anda gunakan ditemukan memiliki kerentanan baru sebelum tersedia patch.
Pilih satu plugin keamanan utama dan hindari menginstal beberapa sekaligus karena bisa menyebabkan konflik dan justru memperlambat website.
6. Aktifkan SSL dan Pastikan Website Berjalan di HTTPS
SSL (Secure Sockets Layer) mengenkripsi seluruh komunikasi antara browser pengunjung dan server website Anda. Tanpa SSL, semua data yang dikirim termasuk username, password, dan informasi sensitif lainnya bisa dicegat oleh pihak ketiga di jaringan yang sama.
Di 2025-2026, tidak memiliki SSL bukan hanya masalah keamanan tapi juga masalah kepercayaan dan SEO. Google menggunakan HTTPS sebagai faktor ranking dan menampilkan peringatan “Not Secure” pada website yang masih menggunakan HTTP.
Untuk mengaktifkan SSL di WordPress, pastikan sertifikat SSL sudah terpasang di hosting Anda, kemudian perbarui pengaturan URL WordPress di Settings > General menjadi HTTPS. Di layanan Shared Hosting Rumahweb, sertifikat SSL gratis berbasis Let’s Encrypt tersedia dan bisa diaktifkan langsung dari cPanel tanpa biaya tambahan.
Backup WordPress Secara Berkala
Semua langkah keamanan di atas mengurangi risiko, tapi tidak menghilangkannya sepenuhnya. Backup adalah jaring pengaman terakhir yang memastikan bahwa jika sesuatu yang buruk terjadi, Anda bisa memulihkan website ke kondisi normal tanpa kehilangan semua yang sudah dibangun.
Backup yang baik harus mencakup dua komponen, yaitu file website (termasuk tema, plugin, dan konten yang diunggah) dan database. Keduanya harus disimpan di lokasi yang berbeda dari server utama, misalnya di cloud storage atau komputer lokal Anda.
Frekuensi backup idealnya disesuaikan dengan seberapa sering konten website berubah. Website dengan konten baru setiap hari sebaiknya dibackup harian. Website yang jarang diperbarui bisa dibackup mingguan.
Bagi Anda yang berlangganan layanan hosting di Rumahweb, Anda bisa melakukan backup data melalui cPanel. Berikut panduan yang bisa Anda pelajari : cara backup data di cPanel
Checklist Keamanan WordPress
Gunakan checklist berikut untuk mengevaluasi seberapa aman website WordPress Anda saat ini:
Keamanan Akun:
- Username administrator bukan “admin” atau variasi mudah ditebak
- Semua akun administrator menggunakan password minimal 12 karakter yang unik
- Two-Factor Authentication (2FA) sudah diaktifkan untuk semua akun administrator
- URL halaman login sudah diubah dari default
/wp-login.php - Jumlah percobaan login gagal sudah dibatasi
Keamanan Plugin dan Tema:
- Tidak ada plugin atau tema nulled yang terpasang
- Semua plugin dan tema yang tidak digunakan sudah dihapus sepenuhnya
- Semua plugin dan tema aktif berasal dari sumber terpercaya
- Notifikasi kerentanan plugin sudah diaktifkan
Update dan Pembaruan:
- WordPress core sudah menggunakan versi terbaru
- Semua plugin sudah menggunakan versi terbaru
- Semua tema sudah menggunakan versi terbaru
- Jadwal pengecekan update sudah ditetapkan secara rutin
Keamanan Database dan Server:
- Prefix tabel database sudah diubah dari default
wp_ - Hak akses akun database sudah dibatasi sesuai kebutuhan minimum
- SSL sudah aktif dan website berjalan di HTTPS
- Plugin keamanan aktif berjalan dan monitoring diaktifkan
Backup:
- Backup otomatis sudah dikonfigurasi
- File backup disimpan di lokasi terpisah dari server utama
- Proses restore backup sudah pernah diuji setidaknya sekali
FAQ
Berikut adalah beberapa pertanyaan popular tentang cara mengamankan WordPress
Apakah WordPress aman digunakan untuk website bisnis?
Ya, WordPress core sangat aman. Hanya 2 kerentanan yang ditemukan di WordPress core sepanjang 2025. Risiko keamanan utama berasal dari plugin dan tema pihak ketiga, bukan dari platform itu sendiri.
Seberapa sering saya perlu mengecek keamanan WordPress?
Minimal setiap minggu untuk memastikan semua komponen sudah diperbarui ke versi terbaru. Untuk monitoring aktif, plugin keamanan seperti Wordfence atau Patchstack melakukan pemeriksaan otomatis secara real-time. Audit keamanan menyeluruh sebaiknya dilakukan setidaknya setiap tiga bulan sekali.
Apa yang harus dilakukan jika WordPress sudah terlanjur diretas?
Jika masih memiliki backup, Anda dapat melakukan restore data backup tersebut ke hosting Anda. Namun, langkahnya tidak selesai sampai di situ. Lakukan fresh upgrade untuk memastikan data WordPress Anda bersih dari malware atau file berbahaya lainnya.
Apakah plugin keamanan gratis sudah cukup?
Untuk sebagian besar website, versi gratis plugin seperti Wordfence atau Solid Security sudah memberikan perlindungan yang sangat memadai. Versi berbayar memberikan nilai tambah terutama pada fitur seperti pembaruan aturan firewall yang lebih cepat, scanner malware yang lebih mendalam, dan dukungan teknis langsung, yang mulai diperlukan untuk website bisnis dengan trafik tinggi atau yang menyimpan data sensitif pengguna.
Penutup
Mengamankan WordPress adalah proses berkelanjutan, bukan konfigurasi sekali jalan. Ancaman terus berkembang, plugin terus diperbarui, dan celah keamanan baru terus ditemukan setiap harinya. Konsistensi dalam menerapkan dan memantau langkah-langkah di atas jauh lebih penting dari seberapa canggih tools keamanan yang Anda gunakan.
Fondasi dari semua upaya keamanan ini tetap bergantung pada kualitas infrastruktur hosting yang digunakan. WordPress Hosting Rumahweb Indonesia hadir dengan perlindungan berlapis di level server termasuk Imunify360 untuk scanning malware otomatis, ModSecurity WAF, isolasi akun antar pengguna, serta backup harian yang siap di-restore kapan pun dibutuhkan, memberikan lapisan keamanan tambahan yang bekerja bahkan sebelum Anda menginstal plugin keamanan apapun.


