WordPress itu sederhananya adalah sistem manajemen konten atau CMS yang digunakan untuk membuat dan mengelola situs web dengan mudah, tanpa perlu banyak menulis kode secara manual. Jadi, kalian gak perlu koding lagi di awal untuk mendapatkan website kalian sendiri.
WordPress ini juga menjadi CMS paling populer di dunia. Lebih dari 40% website di internet dibuat menggunakan CMS ini. Namun, selain popularitasnya yang besar karna di gunakan oleh banyak orang. WordPress juga menjadi salah satu CMS yang paling sering di bobol oleh para peretas. Banyak serangan yang terjadi bukan karena sistem WordPress itu lemah atau buruk, tetapi karena kelalaian para penggunanya, plugin yang rentan atau tidak di update, dan konfigurasi keamanan yang buruk.
💡 Apa sih itu WordPress?
Baca selengkapnya di sini »
Nah, bagi kalian yang masih baru atau sudah lama menggunakan WordPress. Kalian wajib tau kerentanan apa saja yang biasa ada pada WordPress dan bagaimana cara mengatasinya agar tidak kebobolan.
Apa saja kerentanannya dan apa solusinya?
Berikut adalah beberapa kerentanan, dampak dan solusi untuk mengamankannya:
1. Brute Force Attack
Brute force attack adalah serangan di mana peretas mencoba login ke panel admin WordPress dengan menebak kombinasi username dan password secara berulang. Karena halaman login default WordPress adalah /wp-login.php atau /wp-admin, banyak bot otomatis yang memanfaatkan celah ini.
Peretas biasanya menggunakan wordlist yang berisi username dan password acak. Wordlist ini biasanya berisi ratusan atau bahkan miliyaran username dan password yang biasanya digunakan oleh admin untuk login.
Dampaknya:
‐ Jika berhasil, maka peretas bisa masuk dan akun admin bisa diambil alih.
- Serangan ini juga bisa membuat server down karna terlalu banyak permintaan login.
Cara mengatasinya:
- Gunakan username unik, jangan “admin” atau “administrator”.
- Gunakan password kompleks, misalnya R@mdoM!Pass_2025.
- Pasang plugin Limit Login Attempts Reloaded untuk membatasi percobaan login berulang terus menerus.
- Ubah URL login dengan WPS Hide Login, misalnya dari /wp-login.php menjadi /alanalogin.
- Aktifkan reCAPTCHA di halaman login agar bot tidak bisa masuk.
2. Plugin dan Tema Rentan
Banyak plugin atau tema pihak ketiga memiliki celah keamanan yang bisa dimanfaatkan oleh para peretas untuk mengunggah file berbahaya atau menjalankan perintah di server. Plugin atau tema yang jarang di update biasanya memiliki celah keamanan yang bisa digunakan oleh para peretas untuk menyusup. Plugin yang biasanya rentan jika tidak di perbarui, misalnya: filemanager, revslider, contact-from-7, dan lainnya.
Dampaknya:
- Situs dapat diubah tampilannya seperti hacked by anonimous.
- File berbahaya seperti backdoor bisa diupload.
- Data pengguna bisa dicuri.
Cara Mengamankannya:
- Instal plugin dari developer terpercaya seperti WordPress.org
- Hindari plugin yang tidak diperbarui atau di update. Apalagi celah keamanannya memiliki CVE atau sudah terekspos di exploit-db
- Hapus saja plugin yang sudah tidak digunakan.
- Gunakan Wordfence atau iThemes Security untuk pemindaian file berbahaya atau file mencurigakan.
3. Cross-Site Scripting (XSS)
XSS adalah serangan di mana peretas menyisipkan kode JavaScript berbahaya ke form atau kolom komentar. Jadi filter bagian form seperti email, username, dan komentar.
Dampaknya:
- Pengunjung bisa diarahkan ke situs phishing atau situs yang tidak aman.
- Kredibilitas situs jadi menurun.
Cara mengatasinya:
- Gunakan plugin keamanan seperti Wordfence.
- Batasi atau filter input HTML di form.
- Tambahkan header XSS Protection di .htaccess:
Yang berisi:
Header set X-XSS-Protection "1; mode=block"
4. SQL Injection
Walau pun sekarang sudah jarang, tapi jika tidak di update maka serangan ini masih bisa digunakan oleh para penyerang. Dulu ada banyak situs WordPress yang memiliki celah seperti ini. SQL Injection itu seperti memungkinkan para penyerang memanipulasi query database untuk mencuri data atau membuat akun admin baru. Para peretas bisa mendapatkan akun login admin dengan mudah, misalnya melalui parameter.
Cara Mengamankannya:
- Gunakan plugin dan tema yang terpercaya.
- Tambahkan firewall (WAF) seperti Wordfence. Jika ada tindakan yang mencurigakan, maka waff ini akan mencegahnya.
- Update PHP dan MySQL ke versi terbaru.
5. Directory Listing
Directory listing itu seperti menampilkan isi folder di server jika tidak ada file index.php, sehingga peretas bisa tahu struktur direktori situsmu.
Misalnya, saat folder wp-content/uploads di akses oleh browser. Maka seluruh folder dan file yang ada di dalamnya akan langsung terlihat. Padahal seharusnya, saat folder itu di akses menampilkan blank (halaman putih) atau 403 forbidden.
Solusinya:
- Tambahkan kode ini di .htaccess:
Yang berisi:
Options -Indexes
6. Ada Form Register
Di beberapa situs, terkadang ada form register di bagian form login admin. Padahal, seharusnya hanya ada form login dan forgotpassword saja.
Misalnya: wp-login.php?action=register
Maka user biasa bisa meregistrasikan dirinya sendiri, dan saat user tersebut login dia langsung mendapatkan akses sebagai admin. Ini konfigurasinya salah dan sangat buruk.
Solusi:
- Non-aktifkan form register jika sudah tidak di perlukan.
- Jika memang di butuhkan, setting agar admin dan user memiliki izin yang berbeda.
- Bedakan form register dan login user dengan form login admin, jangan di wp-login.php nya.
7. Tidak Ada Backup
Tanpa backup, situs bisa hilang total jika diretas atau crash. Kalian akan repot untuk mengaturnya kembali.
Solusinya:
Gunakan plugin seperti: UpdraftPlus, Jetpack Backup, atau Duplicator.
Atur backup otomatis ke Google Drive atau Dropbox biar aman. Jadi, saat situs kalian rusak, kalian masih bisa mengembalikannya lagi seperti semula.
Kesimpulan:
Keamanan WordPress bukan hanya soal plugin, tapi kedisiplinan bagi kalian pemilik situs. Perbarui plugin secara rutin, awasi aktivitas mencurigakan, dan pastikan juga konfigurasi server kalian aman.
Dengan langkah-langkah di atas, kamu bisa mengurangi risiko diretas.
Ingat: keamanan adalah proses berkelanjutan, bukan tugas sekali selesai.
Sekian penjelasan dari saya.
Wassalamualaikum.
Ada pertanyaan? Tulis di kolom komentar atau klik dibawah ini ...