Cara mencegah peretasan situs web merupakan salah satu perhatian terpenting bagi setiap pemilik situs web saat ini, terutama yang menggunakan WordPress. Sebagai sistem manajemen konten (CMS) terpopuler di dunia pada tahun 2025, WordPress mendominasi lebih dari 401 situs web di dunia. Namun, seiring popularitasnya, WordPress juga memiliki risiko: WordPress tetap menjadi target utama serangan siber, mulai dari upaya login paksa hingga kerentanan plugin dan unggahan berbahaya.
Jika Anda mengelola situs WordPress, mengamankan situs web Anda dari peretas bukan hanya praktik terbaik, tetapi juga penting. Panduan teknis namun praktis ini memandu Anda langkah demi langkah untuk mengamankan situs Anda menggunakan strategi keamanan modern yang digunakan oleh para profesional dan tim pertahanan di tahun 2025. Baik Anda seorang pengembang, administrator sistem, atau pemilik agensi, mengikuti praktik-praktik ini akan memperkuat pertahanan situs web Anda secara signifikan.
1. Sembunyikan Versi WordPress dan Nonaktifkan XML-RPC
Penyerang biasanya mengambil sidik jari versi situs Anda untuk menemukan kerentanan.
Hapus versi WordPress dari
<head>menandai:
hapus_tindakan('wp_head', 'wp_generator');Nonaktifkan XML-RPC untuk mencegah serangan brute-force dan pingback:
perintah tolak, izinkan penolakan dari semua
- Atau di
fungsi.php:
tambahkan_filter('xmlrpc_enabled', '__return_false');Alternatif: Gunakan plugin seperti Nonaktifkan XML-RPC-API.
2. Matikan Debugging di Produksi
Debugging akan mengungkap informasi penting bagi penyerang jika dibiarkan aktif.
- Nonaktifkan di
wp-config.php:
3. Amankan File Sensitif
File seperti wp-config.php Dan .htaccess menyimpan kredensial basis data dan aturan server.
Praktik terbaik:
Tetapkan izin aman:
chmod 400 wp-config.php
Blokir akses eksternal melalui
.htaccess:
perintah izinkan, tolak tolak dari semua
4. Terapkan Kata Sandi yang Kuat dan Aktifkan 2FA
Serangan brute-force masih menjadi vektor serangan yang umum.
Tindakan:
Gunakan pengelola kata sandi (misalnya, Bitwarden, 1Password)
Terapkan kata sandi yang kuat di seluruh situs
- Instal plugin 2FA seperti:
Keamanan Login Wordfence
Google Authenticator
- Duo Dua Faktor
5. Batasi Upaya Login dan Batasi Area Admin
Lindungi halaman login Anda dari alat otomatisasi dan akses tidak sah.
Tangga:
Menggunakan Batasi Upaya Login yang Dimuat Ulang
Tambahkan CAPTCHA (Google reCAPTCHA atau Cloudflare Turnstile)
Membatasi
wp-login.phpdengan IP menggunakan.htaccessatau firewall
6. Gunakan Web Application Firewall (WAF)
WAF menyaring lalu lintas berbahaya sebelum mencapai situs Anda.
Direkomendasikan:
Cloudflare WAF (tingkat DNS)
Sucuri Firewall (berbasis Cloud)
ModSecurity + Set Aturan Inti OWASP (Tingkat Server)
7. Nonaktifkan Eksekusi PHP di Direktori Unggahan
Blokir penyerang agar tidak mengeksekusi file PHP berbahaya.
Apache:
11. Aktifkan Pemantauan dan Pencatatan Terpusat
Lacak dan analisis aktivitas di seluruh sistem Anda.
Peralatan:
Log Aktivitas WP (plugin)
Log Apache/Nginx
Kirim log ke SIEM seperti Wazuh, RUSA BESAR, atau Graylog
12. Jadwalkan Pencadangan Terenkripsi
Pencadangan dapat menyelamatkan bisnis Anda setelah serangan.
Praktik terbaik:
Basis data harian + pencadangan penuh mingguan
Enkripsi menggunakan AES-256
Simpan dari jarak jauh (AWS S3, Google Drive)
13. Nonaktifkan Enumerasi Pengguna JSON REST API
Sembunyikan nama pengguna dari pemindaian otomatis.
Kode masuk fungsi.php:
add_filter('rest_endpoints', function($endpoints) { jika (isset($endpoints['/wp/v2/users'])) { batalkan set($endpoints['/wp/v2/users']); } kembalikan $endpoints; });Atau gunakan: Nonaktifkan plugin REST API
14. Integrasikan Intelijen Ancaman dan Reputasi IP
Hentikan pelaku kejahatan yang diketahui sebelum mereka melakukan tindakan berbahaya.
Melaksanakan:
Umpan ancaman Cloudflare
Integrasi AbuseIPDB dan CrowdSec
Aturan firewall khusus untuk memblokir TOR, ASN yang buruk, atau botnet
15. Terapkan Alat Keamanan Berbasis AI
Ancaman modern membutuhkan solusi cerdas.
Saran:
Wordfence Premium (termasuk heuristik berbasis AI)
Mesin deteksi anomali Sucuri
Immunify360 untuk perlindungan tingkat server
16. Pipa CI/CD dan Penyebaran yang Aman
Perkuat proses penerapan Anda.
Alat keamanan:
semgrep– analisis kode statisHal sepele– pemindaian kontainer dan gambarPindai tema dan plugin secara otomatis sebelum penerapan
17. Integrasi SIEM: Wazuh, ELK, Graylog
Tingkatkan visibilitas dan respons melalui agregasi log.
Tangga:
Meneruskan log dengan Filebeat atau Fluent Bit
Konfigurasikan peringatan untuk:
Modifikasi plugin/tema
upaya penyerangan paksa wp-login.php
Aktivitas shell atau sistem file yang mencurigakan
Hubungkan log WordPress dengan log sistem
Buat dasbor visual dengan Kibana atau OpenSearch
Mengapa hal ini penting: Deteksi tanda-tanda awal adanya gangguan dan bertindak sebelum kerusakan terjadi.
Kesimpulan
Mencegah situs WordPress Anda diretas pada tahun 2025 membutuhkan pendekatan berlapis yang menggabungkan praktik terbaik teknis dengan pemantauan waktu nyata dan otomatisasi cerdas. Meskipun tidak ada sistem yang 100% aman, menerapkan strategi di atas akan mengurangi risiko Anda terhadap ancaman siber secara drastis.
Pada QUAPEKami spesialis dalam hosting WordPress yang aman dan terkelola sepenuhnya, serta layanan penguatan situs web khusus. Baik Anda perusahaan, agensi, atau startup, tim kami siap membantu Anda selangkah lebih maju dari penyerang dengan perlindungan canggih, integrasi SIEM, dan pemeliharaan berkelanjutan.
Hubungi kami hari ini untuk mempelajari bagaimana kami dapat melindungi dan mengoptimalkan kehadiran digital Anda.
- Situs web diretas, apa yang harus dilakukan? - 29 September 2025
- 5 Alasan Mengapa Traefik Mengungguli Load Balancer Tradisional - 24 September 2025
- Server Web Terbaik untuk WordPress 2025: Hasil Uji Performa - 4 September 2025
