Setelah selesai menginstal WordPress, langkah penting berikutnya adalah memastikan situsmu aman dari ancaman siber. Banyak pemula langsung fokus membuat tampilan website tanpa memperhatikan aspek keamanan, padahal tips keamanan awal setelah instalasi WordPress sangat penting untuk mencegah situs diretas, disusupi malware, atau kehilangan data. WordPress memang sistem manajemen konten (CMS) yang kuat dan fleksibel, namun karena popularitasnya, platform ini juga menjadi target utama hacker. Artikel ini akan membahas langkah-langkah dan praktik terbaik yang bisa kamu lakukan segera setelah instalasi agar situs WordPress kamu tetap aman dan terlindungi.
Mengapa Keamanan WordPress Itu Penting
Setiap hari, ribuan situs WordPress diserang oleh bot otomatis dan hacker yang mencari celah keamanan. Serangan bisa berupa pencurian data, injeksi kode berbahaya, atau spam posting otomatis. Jika kamu mengabaikan keamanan WordPress, dampaknya bisa fatal: kehilangan data, reputasi buruk, bahkan penalti dari mesin pencari seperti Google.
Dengan menerapkan tips keamanan awal setelah instalasi WordPress, kamu bisa meminimalkan risiko tersebut sejak awal dan menjaga situs tetap stabil serta terlindungi dari ancaman.
Ubah Username Administrator Default
Secara default, WordPress sering menggunakan nama pengguna “admin”. Ini membuat situsmu lebih rentan karena hacker bisa dengan mudah menebak username tersebut.
Langkah aman:
-
Buat akun baru dengan role Administrator menggunakan username unik (contoh:
owner_yourweb). -
Login dengan akun baru tersebut.
-
Hapus akun “admin” lama agar tidak bisa digunakan untuk login lagi.
Dengan begitu, kamu menghilangkan setengah dari informasi login yang bisa ditebak oleh pihak tidak bertanggung jawab.
Gunakan Password yang Kuat dan Unik
Gunakan kombinasi huruf besar, kecil, angka, dan simbol dalam password. Hindari password umum seperti 123456, admin123, atau password!.
Contoh password kuat:
@Wpress#2025_Safe
Tips tambahan:
-
Gunakan password manager seperti Bitwarden, 1Password, atau LastPass untuk menyimpan dan mengelola kata sandi.
-
Ganti password secara berkala (misalnya setiap 3 bulan).
Ubah URL Login WordPress
Secara default, halaman login WordPress ada di:
domainkamu.com/wp-login.php
atau
domainkamu.com/wp-admin
Hacker sering memanfaatkan URL standar ini untuk serangan brute force. Untuk mencegahnya, ubah alamat login menjadi URL unik menggunakan plugin seperti:
-
WPS Hide Login
-
iThemes Security
-
All In One WP Security & Firewall
Contohnya:
domainkamu.com/masuk-adminku
Dengan cara ini, kamu menyulitkan bot untuk menemukan halaman login.
Aktifkan HTTPS dengan SSL
SSL (Secure Socket Layer) adalah lapisan keamanan yang mengenkripsi data antara server dan pengunjung situsmu. Situs dengan SSL memiliki alamat:
https://domainkamu.com
bukan http://.
Manfaat SSL:
-
Melindungi data login dan transaksi pengguna.
-
Meningkatkan kepercayaan pengunjung (ikon gembok di browser).
-
Meningkatkan peringkat SEO di Google.
Sebagian besar hosting sekarang menyediakan SSL gratis dari Let’s Encrypt. Aktifkan melalui cPanel atau hubungi penyedia hosting kamu.
Perbarui WordPress, Tema, dan Plugin Secara Berkala
Banyak serangan terjadi karena situs masih menggunakan versi lama WordPress, tema, atau plugin yang sudah memiliki celah keamanan.
Langkah yang disarankan:
-
Cek pembaruan secara rutin di Dashboard → Updates.
-
Aktifkan auto-update jika memungkinkan.
-
Hapus plugin atau tema yang tidak digunakan.
Dengan selalu memperbarui sistem, kamu menutup celah keamanan yang bisa dimanfaatkan hacker.
Batasi Upaya Login (Login Attempt Limit)
Hacker sering mencoba ribuan kombinasi username dan password untuk menebak akses login (brute force attack). Untuk mencegah hal ini, batasi jumlah percobaan login menggunakan plugin seperti:
-
Limit Login Attempts Reloaded
-
Login LockDown
-
Wordfence Security
Misalnya, kamu bisa membatasi hanya 3 kali percobaan login dalam 15 menit. Setelah itu, IP pelaku akan otomatis diblokir.
Gunakan Plugin Keamanan WordPress
Beberapa plugin keamanan bisa membantu memantau aktivitas mencurigakan dan melindungi situs dari malware.
Rekomendasi plugin terbaik:
-
Wordfence Security – Melindungi dari brute force, malware, dan scanning file.
-
Sucuri Security – Menyediakan firewall dan monitoring situs.
-
iThemes Security – Menawarkan banyak opsi perlindungan termasuk 2FA (Two-Factor Authentication).
Plugin ini bisa mengirim notifikasi ke email jika ada aktivitas login mencurigakan.
Backup Data Secara Berkala
Backup adalah penyelamat utama saat situs diretas atau mengalami error. Pastikan kamu memiliki salinan data situs dan database.
Cara backup:
-
Gunakan plugin seperti UpdraftPlus atau All-in-One WP Migration.
-
Simpan hasil backup di cloud (Google Drive, Dropbox) atau server terpisah.
-
Jadwalkan backup otomatis mingguan atau harian, tergantung seberapa sering kamu memperbarui situs.
Dengan backup, kamu bisa memulihkan situs hanya dalam beberapa menit jika terjadi masalah.
Hapus Plugin dan Tema yang Tidak Digunakan
Setiap plugin atau tema yang terpasang bisa menjadi titik masuk serangan jika tidak diperbarui. Oleh karena itu, hapus plugin dan tema yang tidak kamu pakai, bahkan yang hanya “di-nonaktifkan”.
Langkah aman:
-
Buka Appearance → Themes atau Plugins → Installed Plugins.
-
Hapus semua yang tidak aktif.
-
Pastikan hanya menyisakan plugin penting dan tema aktif.
Gunakan Prefix Database Unik
Secara default, WordPress menggunakan prefix tabel wp_ di database. Hacker sering memanfaatkan ini untuk melakukan serangan injeksi SQL.
Saat instalasi WordPress baru, ubah prefix menjadi sesuatu yang unik, misalnya:
wpabc_ atau wpxyz_
Jika sudah terlanjur diinstal dengan prefix wp_, kamu bisa mengubahnya secara manual di file wp-config.php dan di database (melalui phpMyAdmin), tetapi lakukan backup dulu sebelum mengedit.
Nonaktifkan File Editor di Dashboard
WordPress memungkinkan admin mengedit file tema atau plugin langsung dari dashboard (menu Appearance → Theme Editor). Namun fitur ini berisiko jika situs diretas.
Untuk menonaktifkannya, buka file wp-config.php, lalu tambahkan kode berikut:
define('DISALLOW_FILE_EDIT', true);
Dengan cara ini, hacker tidak bisa menyisipkan kode berbahaya lewat editor bawaan WordPress.
Gunakan Two-Factor Authentication (2FA)
Two-Factor Authentication menambahkan lapisan keamanan ekstra selain password, biasanya berupa kode OTP yang dikirim ke email atau aplikasi seperti Google Authenticator.
Plugin yang mendukung 2FA:
-
Google Authenticator – Two Factor Authentication
-
Wordfence Login Security
-
MiniOrange 2FA
Jadi meskipun hacker mengetahui password, mereka tetap tidak bisa login tanpa kode verifikasi kedua.
Lindungi File Penting WordPress
Pastikan beberapa file penting tidak bisa diakses publik, terutama:
-
wp-config.php -
.htaccess
Tambahkan kode berikut di file .htaccess untuk melindungi wp-config.php:
<files wp-config.php> order allow,deny deny from all </files>
Kesimpulan
Menerapkan tips keamanan awal setelah instalasi WordPress adalah langkah penting untuk menjaga situs tetap aman sejak awal. Jangan menunggu situs terkena serangan baru mulai memperkuat keamanan. Mulailah dari hal sederhana seperti mengganti username admin, membuat password kuat, memperbarui sistem, dan menginstal plugin keamanan. Setelah itu, aktifkan SSL, backup rutin, dan 2FA untuk lapisan perlindungan tambahan. Dengan menjaga keamanan sejak awal, kamu tidak hanya melindungi situs dari serangan, tapi juga meningkatkan kepercayaan pengunjung serta performa jangka panjang website WordPress kamu.