Checklist Cara Merawat Situs WordPress yang Wajib Dilakukan

Plugin update tersedia sudah tiga minggu, tapi Anda tunda terus karena takut merusak tampilan. Lalu suatu sore, halaman website Anda menampilkan konten ca**no dengan tulisan asing di header.

Bukan cerita rekaan. Ini pola yang terjadi berulang pada ribuan situs WordPress setiap bulannya — termasuk pada situs yang sudah berjalan bertahun-tahun tanpa masalah sebelumnya.

WordPress adalah platform yang powerful justru karena ekosistemnya besar: ribuan plugin, ratusan tema, pembaruan core yang rutin. Tapi kebesaran ekosistem itu juga berarti lebih banyak titik yang perlu dijaga. Checklist ini ditulis untuk membantu Anda menjaganya secara sistematis — bukan reaktif setelah kerusakan terjadi.

Sebelum Apapun: Backup

Ini bukan item yang “juga penting”. Ini fondasi dari semua tindakan perawatan lainnya.

Sebelum mengupdate satu plugin pun, sebelum menyentuh database, sebelum mengubah konfigurasi apapun — pastikan backup terbaru sudah ada dan valid. Update bisa konflik. Perubahan bisa merusak. Dan tanpa backup, proses pemulihan bisa memakan hari, bukan jam.

Beberapa pilihan yang terbukti bekerja dengan baik di WordPress:

• UpdraftPlus — backup otomatis terjadwal langsung ke cloud (Google Drive, Dropbox, Amazon S3)
• BackupBuddy — solusi premium dengan fitur restore yang lebih granular dan migrasi situs
• Backup via cPanel/Plesk — backup di level hosting, mencakup file dan database sekaligus dalam satu paket

Yang paling penting dan paling jarang dilakukan: uji proses restore-nya. Backup yang tidak pernah dicoba restore adalah ilusi keamanan. Setidaknya sekali per kuartal, coba restore ke environment staging dan pastikan situs berfungsi normal dari hasil backup tersebut.

Update Core WordPress, Plugin, dan Tema

Ini item nomor satu penyebab situs WordPress diretas: versi outdated yang kerentanannya sudah dipublikasikan secara terbuka.

Ketika sebuah kerentanan ditemukan di plugin populer, informasinya menyebar cepat — termasuk ke pihak-pihak yang tidak bertanggung jawab. Sementara Anda menunda update, bot sudah men-scan jutaan situs mencari yang belum ditambal. Jendela waktu antara “kerentanan dipublikasikan” dan “situs dieksploitasi” bisa hitungan jam.

Prosedur update yang aman dan tidak menimbulkan kekacauan:

1. Backup dulu, tanpa pengecualian
2. Jika ada staging environment, update di sana terlebih dahulu
3. Cek changelog — ada breaking changes atau konflik yang dilaporkan pengguna lain?
4. Update plugin satu per satu, bukan serentak — lebih mudah melacak penyebab jika ada yang bermasalah
5. Uji fungsionalitas kritis setelah update: form, proses login, halaman checkout jika ada

Untuk update minor WordPress core, aktifkan automatic update — ini aman dan direkomendasikan secara resmi oleh tim WordPress. Untuk update major (misalnya dari WordPress 6.5 ke 6.6), selalu lakukan secara manual dengan persiapan penuh.

Untuk memantau kerentanan yang baru ditemukan pada plugin yang Anda gunakan, WPScan Vulnerability Database adalah referensi yang diperbarui setiap hari oleh komunitas keamanan WordPress.

Hapus Plugin dan Tema yang Tidak Terpakai

Ada anggapan yang berbahaya: “Plugin itu sudah saya nonaktifkan, jadi aman.”

Tidak. Plugin yang dinonaktifkan tapi masih terinstall tetap menyimpan filenya di server. Jika versinya outdated dan mengandung kerentanan, celah itu tetap ada — meski plugin tidak aktif. Begitu pula dengan tema yang tidak digunakan.

Yang perlu dilakukan secara rutin:

• Hapus plugin yang sudah tidak digunakan — bukan hanya dinonaktifkan
• Sisakan maksimal satu tema cadangan (tema default WordPress terbaru sebagai fallback sudah cukup)
• Untuk plugin dengan fungsi tumpang tindih, pilih satu dan hapus sisanya
• Perhatikan plugin yang tidak diupdate selama 12 bulan atau lebih — pertimbangkan alternatif yang aktif dipelihara

Efek samping positifnya: semakin sedikit plugin aktif, semakin ringan beban server, dan semakin cepat loading time situs Anda.

Periksa User Role dan Hak Akses Admin

Buka menu Users di dashboard WordPress sekarang. Berapa banyak akun dengan role Administrator yang terdaftar? Apakah semua benar-benar masih aktif? Apakah ada akun yang dibuat untuk kontraktor atau freelancer yang proyeknya sudah lama selesai?

Akun dengan privilege lebih dari yang dibutuhkan adalah risiko yang tidak perlu ada. Yang perlu dicek secara rutin:

• Hapus atau downgrade akun yang tidak lagi aktif
• Berikan role sesuai kebutuhan minimum — editor tidak perlu jadi Administrator. Pelajari detail setiap role di dokumentasi resmi WordPress Roles and Capabilities
• Aktifkan autentikasi dua faktor (2FA) untuk semua akun Administrator
• Ganti password admin secara berkala, terutama setelah ada pergantian tim
• Pastikan tidak ada username “admin” — ini target utama serangan brute force

Jika Anda menggunakan plugin audit log seperti WP Activity Log atau Simple History, manfaatkan datanya. Pola login dari lokasi yang tidak biasa atau di jam yang aneh sering jadi tanda awal ada yang tidak beres.

Optimasi Tabel Database WordPress

WordPress menyimpan hampir segalanya di database — dan banyak dari yang disimpan itu adalah sampah yang menumpuk tanpa disadari.

Empat sumber paling umum pembengkakan database WordPress:

• Post revisions — setiap kali menyimpan draft, WordPress membuat revision baru. Situs yang aktif bisa menyimpan ribuan revision yang tidak pernah diperlukan lagi
• Transients kedaluwarsa — data cache sementara yang tersimpan di tabel wp_options tapi sudah expired dan tidak pernah dibersihkan
• Komentar spam — jika tidak dihapus rutin, ini menumpuk cepat dan memperlambat query
• Autoloaded data berlebihan di wp_options — ini yang paling sering luput dan paling berdampak langsung pada performa, karena data ini dimuat pada setiap request halaman

WP-Optimize atau Advanced Database Cleaner bisa mengotomasi proses pembersihan ini secara terjadwal. Jika nyaman dengan phpMyAdmin, Anda juga bisa jalankan query langsung untuk identifikasi tabel yang paling membengkak.

Satu peringatan yang tidak boleh diabaikan: selalu backup database sebelum menjalankan operasi pembersihan. Tidak semua yang tampak seperti sampah aman untuk dihapus — beberapa plugin menyimpan konfigurasi penting di tabel yang tampaknya tidak relevan.

Monitor Error Log WordPress

Error log adalah catatan masalah yang terjadi di situs Anda setiap hari — dan sebagian besar pemilik situs tidak pernah membukanya sampai situs sudah bermasalah besar.

WordPress menyimpan error di file debug.log jika WP_DEBUG diaktifkan, atau di error log server yang bisa diakses via cPanel atau panel hosting Anda. Error yang paling perlu diperhatikan:

• PHP Fatal Error — bisa menyebabkan halaman putih atau fungsionalitas kritis tiba-tiba tidak berjalan
• Memory exhausted — ada proses yang mengonsumsi resource berlebihan, biasanya dari plugin yang tidak efisien
• Deprecated function warnings — sinyal bahwa ada kode yang tidak kompatibel dengan versi PHP atau WordPress terbaru
• Plugin conflict error — biasanya muncul setelah proses update

Catatan penting untuk environment produksi: jangan aktifkan WP_DEBUG secara langsung karena akan menampilkan pesan error ke layar pengunjung. Gunakan kombinasi WP_DEBUG_LOG = true dan WP_DEBUG_DISPLAY = false di wp-config.php agar error tersimpan di log tanpa terekspos ke frontend. Dokumentasi lengkap konfigurasi debugging tersedia di WordPress Developer Resources — Debugging in WordPress.

Review error log minimal seminggu sekali. Banyak masalah serius bisa dicegah jauh lebih awal jika Anda membaca peringatan kecil sebelum berkembang menjadi fatal.

Scan Keamanan dan Cek Integritas File

Update rutin dan manajemen akses yang ketat mengurangi risiko, tapi tidak menghilangkannya sepenuhnya. Scan keamanan berkala adalah lapisan verifikasi bahwa situs Anda memang bersih — bukan hanya terasa aman.

Wordfence Security (versi gratis sudah mencukupi untuk sebagian besar kasus) menyediakan scanner yang membandingkan file situs Anda dengan repository resmi WordPress.org. Jika ada file core yang dimodifikasi — baik oleh plugin, tema, atau pihak tidak dikenal — Wordfence akan mendeteksinya.

Sucuri SiteCheck adalah pilihan alternatif yang populer, dengan keunggulan scanner eksternal yang mengecek situs dari perspektif pengunjung. Ini berguna untuk mendeteksi injeksi konten yang hanya terlihat dari luar tapi tidak terdeteksi dari dashboard admin.

Jadwalkan full scan minimal sebulan sekali. Jika Anda baru saja menginstall plugin dari sumber tidak resmi atau memperbarui tema secara manual — scan segera setelahnya, jangan tunggu jadwal rutin.

Cek Performa: Cache, Gambar, dan Core Web Vitals

Performa situs bukan urusan sekali konfigurasi lalu selesai. Ia bisa turun perlahan seiring waktu — konten bertambah, plugin bertambah, traffic bertambah. Yang dulu cepat bisa jadi lambat tanpa Anda sadari, sementara Google sudah mencatatnya.

Yang perlu dicek secara bulanan:

• Jalankan Google PageSpeed Insights di halaman utama dan beberapa halaman penting
• Pastikan plugin caching (WP Rocket, LiteSpeed Cache, atau W3 Total Cache) masih aktif dan berfungsi — cache kadang tiba-tiba tidak bekerja setelah update
• Cek gambar yang diupload tanpa dikompres — plugin seperti ShortPixel atau Imagify bisa mengotomasi kompresi secara otomatis
• Pantau laporan Core Web Vitals di Google Search Console — halaman mana yang skornya mulai merah?

Kalau situs tiba-tiba lebih lambat tanpa perubahan yang jelas, periksa dulu ukuran autoloaded data di tabel wp_options. Ini sering jadi penyebab tersembunyi yang lolos dari deteksi tool performa biasa.

Audit Broken Link dan Konten yang Sudah Kedaluwarsa

Link yang mengarah ke halaman 404 merusak navigasi, membuang crawl budget, dan memberi sinyal negatif ke Google tentang kualitas situs. Di WordPress, broken link paling sering muncul setelah menghapus halaman tanpa redirect, mengubah permalink structure, atau link ke sumber eksternal yang sudah tidak aktif.

Plugin Broken Link Checker bisa memonitor ini di latar belakang dan mengirim notifikasi email setiap ada broken link baru ditemukan. Alternatifnya, Screaming Frog SEO Spider (gratis hingga 500 URL) memungkinkan audit menyeluruh seluruh struktur link situs dalam satu kali crawl.

Bersamaan dengan audit link, tinjau konten yang sudah lebih dari satu tahun tidak diperbarui. Harga yang berubah, layanan yang sudah tidak tersedia, atau panduan teknis yang sudah obsolete — konten seperti ini lebih berbahaya dari tidak punya konten sama sekali, terutama di halaman layanan atau halaman yang masuk kategori YMYL.

Checklist WordPress: Jadwal yang Realistis untuk Dijalankan Konsisten

Semua item di atas tidak berguna kalau tidak ada jadwal yang jelas. Ini pembagian frekuensi yang realistis dan bisa langsung Anda jadikan acuan:

Harian (otomatis — set once):

• Monitoring uptime aktif
• Backup otomatis terjadwal (harian untuk situs transaksi aktif, mingguan untuk situs yang jarang berubah)

Mingguan:

• Cek update yang tersedia — plugin, tema, core minor
• Review notifikasi dari Google Search Console dan hosting
• Baca error log — ada sesuatu yang baru sejak minggu lalu?
• Hapus komentar spam dan sampah di Trash

Bulanan:

• Scan malware menyeluruh via Wordfence atau Sucuri
• Optimasi database: hapus post revision, transients kedaluwarsa, data sampah
• Audit akun user: hapus yang tidak aktif, review role yang ada
• Cek performa via PageSpeed Insights
• Audit broken link
• Review daftar plugin dan tema: ada yang bisa dihapus?
• Uji proses restore backup

Per kuartal:

• Audit konten kedaluwarsa di halaman-halaman penting
• Update major WordPress core jika tersedia
• Evaluasi performa hosting — resource masih cukup atau perlu upgrade?
• Ganti password admin dan regenerate authentication keys di wp-config.php

Kalau Checklist Ini Terasa Terlalu Besar untuk Ditanggung Sendiri

Membaca list sepanjang ini dan merasa kewalahan adalah reaksi yang wajar. Mengelola situs WordPress yang serius memang butuh waktu, pengetahuan teknis, dan konsistensi yang tidak sedikit.

Untuk bisnis yang benar-benar mengandalkan website sebagai aset utama, menggunakan Jasa Maintenance Website profesional seringkali lebih masuk akal daripada melakukan semuanya sendiri dengan setengah perhatian. Pemeliharaan yang tidak konsisten lebih berbahaya dari tidak ada pemeliharaan sama sekali — karena menciptakan rasa aman yang palsu.

Di Codefid, kami menangani pemeliharaan situs WordPress secara sistematis — update, backup, monitoring keamanan, optimasi performa, semua terdokumentasi dan berjalan sesuai jadwal tanpa Anda harus mengingat-ingatnya. Jika ingin tahu lebih lanjut, silakan hubungi Kami untuk diskusi.

Bagi Anda yang ada di Tangerang dan baru ingin membangun situs WordPress dari awal, layanan Jasa Pembuatan Web Tangerang kami mencakup setup WordPress yang sudah dikonfigurasi dengan praktik terbaik keamanan dan performa sejak hari pertama. Tidak perlu bongkar pasang konfigurasi setelah situs jadi.

Untuk pilihan yang lebih luas, tersedia juga Jasa Pembuatan Website untuk berbagai jenis kebutuhan, Jasa Pembuatan Web WordPress khusus untuk platform ini, dan Jasa Web Development untuk proyek yang lebih custom di luar WordPress.

Jika Anda ingin panduan pemeliharaan yang lebih umum dan tidak terbatas pada WordPress, artikel Cara Merawat Website kami membahas prinsip-prinsip yang berlaku lintas platform.

Checklist terbaik adalah yang benar-benar dijalankan. Mulai dari yang paling sederhana — backup otomatis dan monitoring uptime — lalu bangun ritme dari sana. Konsistensi kecil yang rutin mengalahkan audit besar yang dilakukan setahun sekali karena panik.