Coba buka log akses server Anda. Jika situs sudah berjalan beberapa bulan tanpa perlindungan khusus, hampir pasti Anda akan menemukan ratusan — kadang ribuan — baris percobaan login yang tidak pernah Anda lakukan sendiri. Bot-bot itu menyerang wp-login.php tanpa henti, bergantian mencoba kombinasi username dan password dari daftar panjang yang sudah mereka siapkan sebelumnya.
Itulah brute force. Bukan hacker jenius dengan laptop di ruangan gelap — tapi skrip otomatis yang berjalan 24 jam sehari, tujuh hari seminggu.
WordPress jadi sasaran favorit karena kombinasi yang tidak menguntungkan: URL login default yang seragam di semua instalasi, popularitas username “admin” yang masih tinggi, dan fakta bahwa WordPress dipakai oleh lebih dari 40% website di seluruh dunia. Kalau Anda ingin menyerang banyak target sekaligus dengan satu skrip, WordPress adalah pilihan paling efisien.
Kabar baiknya: hampir semua serangan brute force bisa dicegah. Bahkan oleh pemilik situs yang bukan developer sekalipun.
Yang Sebenarnya Terjadi Saat Login Anda Diserang
Bot brute force bekerja dengan prinsip sederhana: coba terus sampai berhasil. Ada dua varian yang paling sering dijumpai — dictionary attack (menggunakan daftar password umum seperti “password123”, “admin2024”, atau “qwerty”) dan credential stuffing (memanfaatkan kombinasi email + password yang bocor dari pelanggaran data di platform lain).
Satu hal yang sering tidak disadari pemilik situs: WordPress secara default tidak membatasi jumlah percobaan login. Bisa 100 kali, 5.000 kali — tidak ada yang menghentikan bot kecuali Anda sendiri yang memasang batasnya.
Dampaknya tidak hanya soal akun yang berhasil dibobol. Serangan massal ke halaman login bisa membebani server secara signifikan — efeknya mirip serangan DDoS skala kecil yang membuat situs melambat atau bahkan tidak bisa diakses. OWASP mengkategorikan brute force sebagai salah satu vektor serangan paling umum yang menarget autentikasi aplikasi web — dan tidak ada tanda serangan ini akan berhenti dalam waktu dekat.
Contoh data yang kami miliki:
- 8100 percobaan login melalui SSH hanya dalam waktu 1 minggu (memang tidak terkait WordPress tapi ini penting Anda tahu betapa masivenya serangan itu)
- 15K lebih mencoba akes wp-login.php data dari Cloudflare
Jangan anggap remeh itu semua karena efeknya bisa membuat website lemot dan atau mahal berhasil di bobol.
Batasi Percobaan Login — Langkah Pertama yang Tidak Bisa Dilewati
Kalau Anda hanya punya waktu untuk satu hal dari panduan ini, lakukan yang ini dulu.
Membatasi percobaan login gagal langsung memotong rantai serangan brute force. Setelah 3–5 percobaan gagal dari IP yang sama, akses ke halaman login diblokir sementara. Bot tidak bisa melanjutkan. Serangan terhenti.
Plugin paling umum untuk keperluan ini adalah Limit Login Attempts Reloaded — gratis, tersedia di repositori resmi WordPress.org, dan konfigurasinya lugas: tentukan berapa percobaan yang diizinkan, durasi lockout, dan apakah Anda ingin notifikasi email saat ada lockout terjadi.
Tapi sebelum memilih plugin terpisah, pertimbangkan dulu apakah Anda sudah atau berencana memasang solusi keamanan yang lebih lengkap. Baca dulu tentang plugin keamanan WordPress yang kami rekomendasikan — karena plugin all-in-one seperti Wordfence sudah menyertakan fitur limit login bawaan, jadi tidak perlu install dua plugin untuk fungsi yang bisa ditangani satu.
Satu catatan praktis: pastikan IP Anda sendiri masuk ke daftar whitelist. Kalau batas percobaan terlalu ketat tanpa whitelist, Anda bisa terkunci dari situs Anda sendiri gara-gara typo password tiga kali berturut-turut.
Ubah URL Login Default — Langkah Kecil, Dampak Besar
Ini yang disebut security through obscurity. Bukan solusi tunggal, tapi efektif sebagai lapisan tambahan. Kalau bot tidak bisa menemukan halaman login Anda, mereka tidak punya tempat untuk mulai menyerang.
WordPress menempatkan login di yourdomain.com/wp-login.php secara default. Semua bot sudah hafal URL ini. Mengubahnya ke slug unik seperti /portal-masuk atau /akses-admin-xyz langsung mengurangi volume serangan secara drastis — karena mayoritas bot tidak akan meluangkan waktu untuk “menebak” URL login Anda.
Plugin WPS Hide Login menangani ini tanpa menyentuh kode apapun. Setelah aktivasi, atur slug baru dari Settings → WPS Hide Login. URL lama otomatis dialihkan ke halaman 404 atau halaman kustom pilihan Anda.
Update plugin WordPress anda yang butuh update! jangan di tunda. Menunda berarti resiko.
Catat URL login baru Anda di tempat yang aman — ini sering diabaikan dan berujung pada situasi yang tidak perlu: pemilik situs tidak bisa login ke websitenya sendiri.
Pastikan juga login Anda berjalan di atas SSL. Login tanpa HTTPS sama artinya dengan mengirim password Anda lewat kartu pos terbuka — siapa saja di jaringan yang sama bisa membacanya.
Autentikasi Dua Faktor: Satu Lapisan yang Mengubah Segalanya
Bayangkan skenario terburuk: password admin Anda berhasil ditebak. Tanpa 2FA, situs Anda sudah menjadi milik mereka dalam hitungan detik. Dengan 2FA aktif, mereka masih perlu kode dari perangkat fisik Anda — yang tidak ada di tangan mereka.
Autentikasi dua faktor adalah lapisan pertahanan terkuat kedua setelah password yang baik. Bahkan password yang relatif biasa pun menjadi jauh lebih sulit dieksploitasi kalau 2FA aktif, karena penyerang butuh sesuatu yang hanya ada secara fisik pada Anda.
Di WordPress, plugin seperti WP 2FA atau Two Factor dari WordPress.org memudahkan setup ini. Prosesnya tidak rumit: install plugin, scan QR code dengan aplikasi authenticator di ponsel (Google Authenticator, Authy, atau Microsoft Authenticator), dan mulai sekarang setiap login memerlukan kode 6 digit yang berubah setiap 30 detik.
Untuk situs yang dikelola tim, wajibkan 2FA untuk semua akun dengan role Editor ke atas. Akun Subscriber yang jumlahnya ratusan tidak harus — tapi admin dan editor yang punya akses ke dashboard, tidak ada alasan untuk melewatinya.
Di Codefid, setiap WordPress yang kami bangun sudah dikonfigurasi dengan lapisan keamanan dasar ini sebelum diserahkan ke klien — termasuk 2FA untuk akun admin. Bukan fitur tambahan opsional, tapi bagian standar dari setiap proyek.
CAPTCHA: Cara Paling Efisien Memisahkan Bot dari Manusia
Bot brute force adalah program. Program tidak bisa menjawab tantangan perseptual manusia dengan andal. CAPTCHA memanfaatkan kelemahan mendasar ini.
Untuk WordPress, reCAPTCHA v3 dari Google adalah pilihan yang paling tidak mengganggu pengalaman pengguna — tidak ada teka-teki yang harus dipecahkan, karena ia bekerja di latar belakang menganalisis pola perilaku dan memberikan skor. Skor rendah berarti kemungkinan besar bot; skor tinggi berarti manusia.
Alternatif yang lebih privacy-friendly adalah hCaptcha, yang tidak mengirimkan data perilaku ke Google. Plugin seperti Login No Captcha reCAPTCHA atau fitur bawaan Wordfence memudahkan integrasi ini tanpa coding.
Pasang CAPTCHA di halaman login, halaman registrasi, dan form kontak sekaligus — ketiganya sering jadi target bot dengan tujuan yang berbeda-beda.
Bagi yang sedang membangun website bisnis dari awal, semua entry point ini seharusnya sudah terlindungi sebelum situs diluncurkan. Kami menyediakan Jasa Pembuatan Website dengan konfigurasi keamanan yang disesuaikan untuk kebutuhan bisnis — bukan sekadar instalasi standar yang diserahkan tanpa pengaturan lanjutan.
Blokir IP Mencurigakan dan Manfaatkan Firewall
Setelah limit login dan 2FA terpasang, saatnya berpikir di level yang lebih tinggi: firewall.
Web Application Firewall (WAF) bekerja sebelum request bahkan sampai ke WordPress Anda. Cloudflare adalah pilihan yang paling accessible — versi gratisnya sudah mampu memblokir bot umum, dan ruleset-nya terus diperbarui berdasarkan data dari jutaan situs yang mereka lindungi secara global.
Di level server, Anda juga bisa memblokir IP tertentu langsung via .htaccess. Plugin seperti Wordfence secara otomatis mencatat IP mencurigakan dan bisa memblokir mereka dengan satu klik dari dashboard — tapi kalau ingin melakukannya manual:
# Blokir IP spesifik via .htaccess (Apache)
<RequireAll>
Require all granted
Require not ip 192.168.1.100
Require not ip 10.0.0.0/8
</RequireAll>Untuk situs yang hanya melayani pasar Indonesia, geo-blocking layak dipertimbangkan — memblokir akses dari negara yang secara statistik paling banyak menjadi sumber serangan ke situs Anda. Cloudflare menyediakan fitur ini di plan berbayar, sementara beberapa plugin keamanan WordPress menawarkan versi sederhananya secara gratis.
Sebelum bereksperimen dengan konfigurasi server, pastikan Anda sudah punya backup WordPress yang bersih dan terbaru. Satu kesalahan kecil di file konfigurasi bisa membuat seluruh situs tidak bisa diakses dalam hitungan detik.
Username “Admin” Adalah Undangan Terbuka untuk Bot
Brute force membutuhkan dua variabel: username dan password. Kalau salah satunya sudah diketahui, pekerjaan bot jadi separuh lebih mudah.
Username “admin” masih dipakai oleh persentase mengejutkan dari pengguna WordPress — sebagian karena itu adalah default instalasi lama, sebagian lagi karena tidak ada yang pernah menjelaskan risikonya. Bot tahu ini. “admin” selalu ada di baris pertama daftar username yang mereka coba. Selalu.
Ganti username admin Anda segera jika masih menggunakan “admin”, “administrator”, atau nama yang sudah terekspos secara publik. WordPress tidak menyediakan UI langsung untuk mengubah username — caranya bisa melalui phpMyAdmin di tabel wp_users, atau menggunakan plugin Username Changer dari repositori resmi.
Satu hal lagi yang sering dilewatkan: jangan gunakan alamat email admin yang sama dengan email yang muncul di halaman publik situs Anda. Kalau email admin terekspos — misalnya di halaman “Tentang Kami” atau footer — penyerang sudah memiliki setengah informasi yang mereka butuhkan.
Update Rutin dan Backup: Kebiasaan yang Lebih Kuat dari Plugin Apapun
Tidak ada plugin keamanan yang bisa menutup semua celah kalau WordPress, plugin, dan tema Anda tidak diperbarui secara rutin. Vulnerabilitas yang sudah dipatch di versi terbaru tetap terbuka kalau Anda tidak segera update plugin dan tema. Database CVE (Common Vulnerabilities and Exposures) mencatat ratusan kerentanan plugin WordPress setiap tahunnya — dan sebagian besar sudah ada patch-nya, hanya saja banyak situs yang tidak memperbaruinya.
Jadikan update sebagai rutinitas mingguan. Atau aktifkan auto-update untuk update minor di dashboard WordPress — cukup aman untuk update patch, meski untuk update major tetap disarankan dilakukan manual setelah dicek changelog-nya.
Soal backup: jadwalkan secara otomatis, simpan di luar server utama (Google Drive, Dropbox, atau S3), dan uji restorasinya sesekali. Backup yang tidak pernah dicoba restore adalah backup yang tidak bisa diandalkan saat benar-benar dibutuhkan.
Untuk perawatan yang lebih terstruktur — monitoring keamanan, update, dan backup dikelola secara profesional tanpa harus Anda urus sendiri — ada baiknya mempertimbangkan Jasa Maintenance Website yang mencakup semua aspek ini, termasuk respons cepat jika ada anomali keamanan yang terdeteksi.
Kalau ingin mengelolanya sendiri dan butuh panduan yang lebih detail, artikel tentang cara merawat situs WordPress bisa jadi titik awal yang praktis.
Ketika Situs Bisnis Anda Sudah Terlanjur Dibobol
Kalau brute force berhasil dan situs Anda sudah diambil alih — atau Anda curiga sedang dalam proses — bergeraklah cepat. Ganti semua password yang terkait: akun WordPress, database, FTP, dan email hosting. Langsung scan dengan plugin malware untuk menemukan file yang dimodifikasi atau backdoor yang mungkin sudah ditanamkan. Cek log akses untuk mengetahui kapan akses tidak sah pertama kali terjadi.
Oleh sebab itu Anda harus mengguankan web developer yang handal. Lihat harga web bukan dari murah atau mahal baca disini panduannya.
Dampak yang paling sering diabaikan bukan kerusakan teknisnya — tapi reputasinya. Sebuah website yang diretas bukan hanya masalah file yang bisa dipulihkan dengan restore backup. Kepercayaan yang hilang dari pengunjung, klien, atau mitra yang melihat situs Anda terinfeksi malware — itu jauh lebih sulit dipulihkan daripada file-nya sendiri. Itulah kenapa Jasa Pembuatan Web Company Profile yang kami kerjakan untuk klien korporat selalu disertai briefing keamanan dan konfigurasi proteksi dari hari pertama — karena website company profile yang dibobol adalah masalah citra merek, bukan hanya masalah teknis.
Google akan memberi tahu Anda melalui Search Console jika mereka mendeteksi malware di situs Anda — tapi pada titik itu, kerusakan mungkin sudah terjadi. Situs yang ditandai berbahaya oleh Google bisa kehilangan traffic organik secara signifikan dalam hitungan hari, dan pemulihan peringkatnya bisa memakan waktu berbulan-bulan.
Penanganan yang dilakukan oleh CoedeFid tergantung dari apa yang terkena serangan itu.
Pada sisi kode jelas kami akan melakukan patch untuk mengganti kode yang terdeteksi bermasalah. Tetapi tentunya setelah melakukan deep scan terlebih dahulu.
Selain itu kita akan cek faktor dan efek negatif lain. Misal apakah attacker mengupload file, menulis post yang isinya spam. Jika ada dan sudah terindex maka solusinya adalah menghapus yang sudah terindex itu.
WordPress yang dibangun dengan benar seharusnya sudah memiliki semua lapisan perlindungan ini sejak hari pertama — bukan ditambal belakangan saat masalah sudah terjadi. Kami menyediakan Jasa Pembuatan Web WordPress yang mencakup konfigurasi keamanan dari awal, bukan afterthought. Investasi di keamanan login itu murah. Biaya memulihkan situs yang sudah dibobol — tidak.
