HOSTING CEPATDOMAIN MURAHSSL GRATISSUPPORT 24/7UPTIME 99.9%SERVER INDONESIAHOSTING CEPATDOMAIN MURAHSSL GRATISSUPPORT 24/7UPTIME 99.9%SERVER INDONESIA
WordPress

WordPress Security Hardening: Cara Mengamankan WordPress dari Hacker 2026

Tim HostingEkspres|24 Juni 2026|13 menit baca
wordpress securitykeamanan wordpresswordpress hardeningwordpress hackerbrute force wordpressplugin keamanan wordpresswordpress aman
WordPress Security Hardening: Cara Mengamankan WordPress dari Hacker 2026

Mengapa Keamanan WordPress Tidak Bisa Diabaikan?

WordPress adalah CMS paling populer di dunia - menggerakkan lebih dari 43% dari seluruh website di internet. Popularitas inilah yang menjadikannya target utama para hacker. Setiap hari, ribuan website WordPress diserang melalui berbagai vektor: brute force attack, eksploitasi plugin, malware injection, SQL injection, hingga serangan DDoS.

Disclosure: Beberapa link di artikel ini mengarah ke layanan HostingEkspres atau partner kami. Jika Anda melakukan pembelian melalui link tersebut, kami mungkin menerima komisi tanpa biaya tambahan untuk Anda. Konten dan rekomendasi di artikel ini independen dan didasarkan pada pengujian serta pengalaman tim kami.

Data dari berbagai laporan keamanan menunjukkan bahwa sebagian besar keberhasilan serangan pada website WordPress bukan karena kelemahan WordPress core-nya, melainkan karena kelalaian pemilik website: plugin atau tema yang tidak diupdate, password yang lemah, atau konfigurasi yang tidak aman (misconfiguration). Ini berarti sebagian besar serangan sebenarnya bisa dicegah.

Panduan WordPress security hardening ini mencakup lebih dari 20 langkah konkret - dari yang paling dasar hingga tingkat lanjut - untuk menutup celah keamanan umum dan membuat website WordPress Anda jauh lebih sulit diretas.

Fondasi Keamanan: Hosting dan Infrastruktur

Keamanan WordPress dimulai jauh sebelum Anda menginstall plugin keamanan apapun. Infrastruktur hosting yang Anda gunakan adalah lapisan keamanan pertama dan terpenting.

wordpress security hardening
Ilustrasi wordpress security hardening

1. Pilih Hosting dengan Keamanan Server yang Kuat

Hosting berkualitas menyediakan berbagai lapisan keamanan di tingkat server yang tidak bisa Anda tambahkan sendiri: firewall server, mod_security (WAF tingkat server), isolasi akun (sehingga akun lain tidak bisa mengakses file Anda meski di server yang sama), dan pemantauan malware aktif. Sebelum memilih hosting, tanyakan atau cari informasi tentang fitur-fitur keamanan yang mereka tawarkan.

2. Selalu Gunakan HTTPS dengan SSL Aktif

SSL tidak hanya untuk toko online. HTTPS mengenkripsi semua data yang dikirim antara browser pengunjung dan server Anda - termasuk password login, data formulir, dan informasi sensitif lainnya. Aktifkan SSL gratis (Let's Encrypt) melalui cPanel hosting Anda dan pastikan semua URL menggunakan HTTPS. Tambahkan redirect 301 dari HTTP ke HTTPS.

Manajemen Akun dan Akses

3. Gunakan Password yang Kuat dan Unik

Password yang lemah adalah penyebab utama akun WordPress diretas. Gunakan password minimum 16 karakter yang mengandung kombinasi huruf besar, huruf kecil, angka, dan karakter khusus. Gunakan password manager (Bitwarden, 1Password, atau Dashlane) untuk membuat dan menyimpan password yang benar-benar acak dan unik untuk setiap akun.

4. Aktifkan Two-Factor Authentication (2FA)

Bahkan dengan password yang kuat pun, akun bisa diretas jika password tersebut bocor melalui phishing atau data breach di layanan lain. Two-Factor Authentication (2FA) menambahkan lapisan keamanan kedua - selain password, login membutuhkan kode verifikasi dari aplikasi autentikator (Google Authenticator, Authy) di smartphone Anda. Plugin seperti Wordfence Login Security atau WP 2FA bisa mengaktifkan fitur ini dengan mudah.

5. Ganti Username Admin Default

Jangan pernah menggunakan "admin" sebagai username akun administrator. Ini adalah username yang paling pertama dicoba dalam serangan brute force. Jika instalasi Anda sudah menggunakan username "admin", buat akun baru dengan username unik dan peran Administrator, lalu hapus akun "admin" lama (assign kontennya ke akun baru terlebih dahulu).

6. Terapkan Prinsip Least Privilege

Berikan setiap pengguna hanya tingkat akses minimum yang mereka butuhkan. Jangan berikan peran Administrator kepada penulis konten yang hanya perlu bisa membuat dan mengedit posting. WordPress memiliki hierarki peran yang jelas: Subscriber, Contributor, Author, Editor, dan Administrator. Gunakan dengan bijak.

7. Batasi Jumlah Percobaan Login (Limit Login Attempts)

Secara default, WordPress mengizinkan percobaan login tanpa batas - membuka peluang serangan brute force. Aktifkan pembatasan percobaan login menggunakan plugin seperti Limit Login Attempts Reloaded atau melalui plugin keamanan all-in-one. Setelah sejumlah percobaan gagal, alamat IP pengguna akan diblokir sementara.

wordpress security hardening
Ilustrasi wordpress security hardening

Hardening Instalasi WordPress

8. Ganti URL Halaman Login WordPress

Secara default, halaman login WordPress berada di /wp-login.php atau /wp-admin/ - URL yang diketahui oleh semua bot dan hacker. Menggantinya ke URL yang tidak umum mengurangi volume serangan brute force secara dramatis. Plugin seperti WPS Hide Login memudahkan hal ini tanpa perlu mengedit file sistem secara manual.

9. Nonaktifkan XML-RPC jika Tidak Digunakan

XML-RPC adalah protokol yang memungkinkan akses WordPress dari jarak jauh - digunakan oleh aplikasi mobile dan layanan tertentu. Namun jika Anda tidak menggunakannya, XML-RPC adalah celah keamanan yang sering dieksploitasi untuk serangan brute force dan DDoS. Nonaktifkan melalui plugin keamanan atau tambahkan aturan di .htaccess.

10. Sembunyikan Versi WordPress

WordPress secara default menampilkan nomor versi yang digunakan di source code halaman (meta generator tag) dan file readme.html. Informasi ini membantu hacker mengetahui versi spesifik yang Anda gunakan dan mengeksploitasi kerentanan yang diketahui untuk versi tersebut. Sembunyikan versi WordPress melalui fungsi di functions.php atau plugin keamanan.

11. Hardening wp-config.php

File wp-config.php adalah file paling sensitif di instalasi WordPress Anda - berisi kredensial database dan kunci enkripsi. Tambahkan baris berikut di .htaccess untuk memblokir akses langsung ke file ini:

<files wp-config.php>
order allow,deny
deny from all
</files>

Selain itu, pertimbangkan untuk memindahkan file wp-config.php satu level di atas direktori WordPress (banyak tutorial tersedia untuk ini). Pastikan juga security keys dan salts di wp-config.php selalu unik dan diperbarui secara berkala menggunakan generator resmi dari WordPress.

12. Nonaktifkan File Editing melalui Dashboard

WordPress menyediakan editor kode langsung di dashboard untuk mengedit tema dan plugin. Jika akun admin Anda berhasil dibobol, hacker bisa langsung menyisipkan kode berbahaya melalui editor ini. Nonaktifkan fitur ini dengan menambahkan baris berikut di wp-config.php:

define('DISALLOW_FILE_EDIT', true);

13. Lindungi Direktori wp-admin

Tambahkan lapisan proteksi password tingkat server (HTTP Authentication) pada direktori /wp-admin/. Ini berarti sebelum mencapai halaman login WordPress, pengguna harus melewati dialog autentikasi browser terlebih dahulu. Di cPanel, bisa dilakukan melalui menu "Keamanan Direktori".

Update dan Pemeliharaan

14. Update WordPress, Plugin, dan Tema Secara Rutin

Ini adalah langkah keamanan yang paling sederhana namun paling sering diabaikan. Mayoritas serangan WordPress mengeksploitasi kerentanan yang sudah diketahui dan sudah ada patchnya - artinya website yang selalu diupdate hampir tidak terdampak. Aktifkan auto-update untuk minor WordPress updates. Untuk plugin dan tema, lakukan review dan update setidaknya seminggu sekali.

15. Hapus Plugin dan Tema yang Tidak Digunakan

Setiap plugin dan tema yang terinstall - bahkan yang tidak aktif - bisa menjadi vektor serangan jika mengandung kerentanan. Hapus semua plugin dan tema yang tidak digunakan. Jangan biarkan "tersimpan saja untuk nanti".

16. Hanya Gunakan Plugin dan Tema dari Sumber Terpercaya

Unduh plugin dan tema hanya dari repositori resmi WordPress.org atau dari developer/marketplace yang bereputasi (seperti ThemeForest, Code Canyon). Hindari plugin atau tema "nulled" (bajakan) yang sangat sering mengandung malware tersembunyi.

Monitoring dan Perlindungan Aktif

17. Pasang Plugin Keamanan All-in-One

Plugin keamanan yang baik mengintegrasikan banyak lapisan perlindungan dalam satu package:

  • Wordfence Security: Pilihan terpopuler dengan WAF (Web Application Firewall) yang kuat, scanner malware, dan monitoring real-time. Versi gratis sudah sangat komprehensif.
  • Sucuri Security: Sangat dikenal di industri keamanan, menawarkan monitoring integritas file, blacklist monitoring, dan hardening tool. Firewall Sucuri (versi premium) adalah salah satu yang terbaik.
  • iThemes Security: Menawarkan lebih dari 30 cara untuk melindungi WordPress dengan antarmuka yang lebih ramah pemula.

18. Aktifkan Monitoring Integritas File

File integrity monitoring memantau perubahan pada file-file penting WordPress dan memberi tahu Anda jika ada file yang berubah secara tidak terduga - tanda klasik bahwa website Anda mungkin sudah disusupi. Wordfence dan Sucuri menawarkan fitur ini.

19. Setup Backup Otomatis yang Andal

Backup bukan bagian dari hardening, tapi merupakan "safety net" yang tidak tergantikan. Jika semua langkah keamanan di atas gagal dan website Anda berhasil diretas, backup yang baik memungkinkan Anda memulihkan website dengan cepat. Gunakan UpdraftPlus atau Jetpack Backup dengan penjadwalan otomatis harian dan simpan backup di lokasi eksternal (Google Drive, Dropbox, atau Amazon S3).

20. Monitor Log Akses Server

Log akses server mencatat semua permintaan ke website Anda dan bisa menjadi sumber intelijen keamanan yang sangat berharga. Pantau secara berkala untuk mendeteksi pola mencurigakan seperti banyak permintaan 404, akses berulang ke URL sensitif, atau permintaan dari IP yang sama dengan intensitas tinggi.

Baca Juga:

Database dan Server Security

21. Ganti Prefix Tabel Database WordPress

Secara default, semua tabel database WordPress menggunakan prefix wp_ - yang diketahui oleh semua skrip serangan SQL injection otomatis. Mengganti prefix ke sesuatu yang unik (misalnya hxpr8_) membuat serangan SQL injection otomatis jauh lebih sulit berhasil. Ini bisa dilakukan saat instalasi atau setelahnya menggunakan plugin seperti Change Table Prefix.

22. Nonaktifkan PHP Error Display di Frontend

Error PHP yang ditampilkan di frontend website bisa mengungkapkan informasi sensitif tentang struktur direktori dan konfigurasi server kepada hacker. Pastikan display_errors dinonaktifkan di php.ini atau dengan menambahkan define('WP_DEBUG', false); di wp-config.php untuk lingkungan produksi.

Pertanyaan Umum (FAQ)

Apa plugin keamanan WordPress terbaik yang gratis?

Wordfence Security adalah pilihan terbaik untuk versi gratis - menawarkan Web Application Firewall (WAF), scanner malware, dan proteksi brute force yang komprehensif. Alternatif bagus lainnya adalah Sucuri Security dan iThemes Security.

Bagaimana cara mengganti URL login WordPress?

Cara termudah adalah menggunakan plugin WPS Hide Login. Setelah diinstall dan diaktifkan, pergi ke Settings > General dan Anda akan menemukan field untuk mengatur URL login baru. Ganti dari /wp-login.php ke URL yang tidak mudah ditebak, seperti /masuk-admin atau kombinasi angka dan huruf acak.

Seberapa sering saya harus update WordPress dan plugin?

Update sesegera mungkin, terutama untuk update keamanan. Minor WordPress updates (patch security) bisa diaktifkan auto-update. Untuk major updates dan plugin, lakukan review dan update minimal seminggu sekali. Selalu backup sebelum melakukan update besar.

Apakah tema dan plugin nulled (bajakan) aman digunakan?

Sangat tidak aman. Plugin dan tema nulled sangat sering mengandung malware, backdoor, dan kode berbahaya yang tertanam. Menggunakannya sama dengan sengaja membuka pintu bagi hacker untuk mengakses dan mengendalikan website Anda. Selalu gunakan plugin dan tema dari sumber resmi dan terpercaya.

Apa yang harus dilakukan jika website WordPress sudah diretas?

Langkah pertama: jangan panik. Segera (1) isolasi website dengan mengaktifkan mode maintenance, (2) ubah semua password (WordPress admin, FTP, database, cPanel), (3) scan malware menggunakan Wordfence atau Sucuri, (4) hapus file berbahaya yang ditemukan, (5) perbarui semua WordPress core, plugin, dan tema, (6) minta Google untuk meninjau ulang jika website Anda masuk daftar blacklist.

Butuh Hosting untuk Website Anda?

Dapatkan hosting cepat, aman, dan terpercaya dengan harga terjangkau. Gratis domain, SSL, dan support 24/7.

Jangan Ketinggalan Promo!

Subscribe newsletter kami dan dapatkan diskon hingga 50% untuk pembelian pertama kamu.

Gratis, tanpa spam. Bisa unsubscribe kapan saja.