Mengelola WordPress memang menyenangkan, tapi risiko keamanan tetap harus diwaspadai. Saat membuat website menggunakan WordPress, banyak celah rentan yang sering jadi sasaran serangan, seperti file xmlrpc.php, spam komentar, dan brute force login.

Serangan ini bisa mengganggu performa dan keamanan situs kamu. Oleh karena itu, penting memahami teknik proteksi yang tepat supaya situs tetap aman dan stabil. Dengan langkah yang benar, kamu bisa mengurangi risiko serangan dan menjaga reputasi website.

Di artikel ini, kita akan membahas masalah umum yang sering muncul di WordPress serta solusi praktis yang bisa langsung kamu terapkan agar website lebih aman dan bebas dari gangguan.

1. xmlrpc.php: Celah Kecil, Masalah Besar

File xmlrpc.php di WordPress itu ibarat pintu samping. Secara teknis, dia berguna buat fitur seperti remote publishing, aplikasi mobile WordPress, dan trackback. Tapi sayangnya, pintu ini sering jadi target empuk untuk serangan brute force dan DDoS.

Kenapa xmlrpc.php Bisa Jadi Masalah?

Masalah utamanya ada di fungsinya yang terlalu terbuka. Fitur system.multicall bisa dimanfaatkan buat mencoba login berkali-kali dalam satu permintaan. Ini yang bikin xmlrpc rawan disalahgunakan buat brute force attack WordPress, bahkan lebih parah dari wp-login.php karena bisa lewat satu request aja.

Selain itu, xmlrpc juga sering jadi alat bantu dalam serangan DDoS WordPress pingback. Hacker bisa nyuruh puluhan situs WordPress buat nge-ping balik ke satu target, hasilnya server target bisa tumbang.

Cara Menangani xmlrpc.php

Kalau kamu nggak pakai aplikasi mobile atau publish lewat tools eksternal, lebih aman file ini dimatikan total. Cukup tambahkan kode berikut di .htaccess:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Buat yang masih butuh akses terbatas, bisa batasi lewat IP address, atau gunakan plugin seperti Disable XML-RPC.

Kalau pakai plugin keamanan seperti Wordfence atau iThemes Security, biasanya sudah ada opsi untuk blokir xmlrpc secara otomatis. Cek pengaturannya biar optimal.

Sebagai langkah lanjutan, jangan lupa untuk selalu update WordPress ke versi terbaru, karena kadang patch keamanan juga menyentuh bagian ini.

Untuk pembahasan seputar brute force login WordPress, bisa lanjut ke poin berikutnya tentang wp-login.php.

2. Spam Komentar di WordPress: Masalah yang Bikin Ribet

Spam komentar atau spam comment WordPress itu bukan cuma bikin database kamu penuh dengan sampah, tapi juga berisiko merusak reputasi situs dan SEO. Bot spam otomatis mengirim ribuan komentar berisi link spam atau kata-kata tidak relevan ke form komentar di wp-comments-post.php. Kalau dibiarkan, bisa bikin website kamu terlihat tidak profesional dan berpotensi jadi sumber malware.

Kenapa Spam Komentar Bisa Terjadi?

Form komentar WordPress default terbuka untuk semua orang, tanpa filter ketat. Bot bisa dengan mudah mengirim komentar massal lewat script otomatis. Selain itu, jika kamu pakai tema atau plugin yang kurang aman, bot bisa mengeksploitasi celah ini untuk masuk.

Spam komentar juga sering dimanfaatkan untuk SEO negatif dengan menanam backlink ke situs lain yang tidak jelas kualitasnya. Ini bisa menurunkan ranking kamu di mesin pencari.

Cara Mengatasi Spam Komentar

Pertama, kalau kamu memang tidak butuh komentar, opsi terbaik adalah nonaktifkan komentar di seluruh situs lewat menu pengaturan.

Kalau tetap ingin mengizinkan komentar, aktifkan moderasi komentar agar semua komentar harus disetujui dulu sebelum tampil.

Gunakan plugin anti-spam seperti Akismet yang sangat populer atau alternatif seperti Antispam Bee. Plugin ini bisa secara otomatis mengenali dan memfilter komentar spam.

Penting juga untuk menambahkan Google reCAPTCHA di form komentar supaya bot sulit melewati verifikasi.

Untuk pencegahan ekstra, kamu bisa menambahkan aturan .htaccess untuk memblokir request kosong ke form komentar:

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{REQUEST_METHOD} POST
  RewriteCond %{REQUEST_URI} ^/wp-comments-post\.php$
  RewriteCond %{HTTP_USER_AGENT} ^$
  RewriteRule ^(.*)$ - [F,L]
</IfModule>

Ini memblokir spam yang dikirim tanpa user-agent, biasanya dari bot kasar.

3. wp-login.php dan Serangan Brute Force: Titik Rentan yang Harus Dijaga

wp-login.php adalah halaman login default WordPress. Sayangnya, ini jadi sasaran utama untuk serangan brute force WordPress. Hacker mencoba berbagai kombinasi username dan password secara otomatis untuk mendapatkan akses admin. Kalau gak ada batasan percobaan login, risiko ini makin besar.

Mengapa wp-login.php Rentan?

Karena URL-nya standar dan selalu sama, bot dan script otomatis bisa dengan mudah menargetkan halaman ini. Ditambah lagi, WordPress secara default tidak membatasi berapa kali seseorang bisa mencoba login. Kombinasi ini membuka peluang besar untuk pembobolan.

Cara Melindungi wp-login.php dari Brute Force

  1. Ubah URL Login Gunakan plugin seperti WPS Hide Login untuk mengganti alamat login default dari wp-login.php ke URL lain yang susah ditebak. Ini mengurangi serangan bot yang hanya mencari URL standar.
  2. Batasi Percobaan Login Pasang plugin seperti Limit Login Attempts Reloaded untuk membatasi berapa kali login bisa dicoba dalam jangka waktu tertentu. Setelah melewati batas, IP akan diblokir sementara.
  3. Pasang CAPTCHA di Halaman Login Ini membantu memblokir login otomatis yang dilakukan oleh bot. Banyak plugin security yang menyediakan fitur CAPTCHA untuk login WordPress.
  4. Aktifkan Two-Factor Authentication (2FA) Metode autentikasi ganda ini membuat hacker tidak cukup hanya dengan password. Mereka harus punya akses ke perangkat kedua, misalnya smartphone kamu.
  5. Batasi Akses wp-login.php Berdasarkan IP Kalau kamu atau tim admin hanya login dari alamat IP tertentu, bisa blokir akses login dari IP lain lewat .htaccess:
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.123.123.123
</Files>

6. Update Rutin Selalu pastikan WordPress, tema, dan plugin dalam versi terbaru untuk menutup celah keamanan.

4. Hardening WordPress: Langkah Tambahan untuk Keamanan Maksimal

Setelah menangani celah utama seperti xmlrpc.php, spam komentar, dan wp-login.php, kamu perlu memperkuat pertahanan WordPress secara menyeluruh. Proses ini sering disebut hardening WordPress, yaitu konfigurasi dan pengaturan yang memperkecil risiko serangan dan eksploitasi.

Langkah-Langkah Hardening WordPress

  1. Gunakan Plugin Keamanan All-in-One Plugin seperti Wordfence, iThemes Security, atau Sucuri Security menawarkan proteksi lengkap mulai dari firewall, scan malware, hingga pengaturan login. Plugin ini juga memudahkan monitoring aktivitas mencurigakan.
  2. Update Core, Tema, dan Plugin Secara Rutin Versi lama dari WordPress dan komponennya rentan terhadap celah keamanan. Pastikan semua komponen selalu diperbarui untuk mengurangi risiko serangan.
  3. Ganti Prefix Database Default WordPress menggunakan prefix wp_ secara default. Mengubahnya ke nama lain bisa mengurangi serangan berbasis SQL Injection yang menargetkan tabel dengan prefix standar.
  4. Gunakan Password yang Kuat dan Unik Selalu gunakan password yang kombinasi huruf besar-kecil, angka, dan simbol. Hindari menggunakan password yang mudah ditebak.
  5. Batasi Akses Admin dan Editor Beri hak akses hanya sesuai kebutuhan dan nonaktifkan user yang tidak aktif. Audit pengguna secara berkala.
  6. Backup Rutin Selalu punya backup situs lengkap, sehingga kalau terjadi masalah kamu bisa cepat pulih tanpa kehilangan data.
  7. Matikan Fitur yang Tidak Digunakan Seperti XML-RPC (kalau tidak diperlukan), REST API untuk user yang tidak perlu akses, dan komentar jika memang tidak dipakai.

Kesimpulan

Hardening WordPress bukan sekali jalan, tapi proses berkelanjutan yang harus dijaga. Dengan menerapkan langkah-langkah ini, kamu bisa meminimalkan risiko hacker masuk lewat celah yang sering terabaikan.

Untuk referensi lengkap soal keamanan WordPress dari dasar hingga advanced, kamu bisa baca artikel lain yang saya tulis tentang topik ini.