Strategi Update & Keamanan WordPress
Challenge: Punya Rencana Update
Video ini bukan soal coding — ini soal big picture memelihara website WordPress live.
Fakta Penting
- WordPress sangat aman — selama terus di-update
- WordPress yang outdated = hampir 100% pasti akan di-hack
- Bukan pertanyaan "apakah" tapi "kapan" di-hack
- WordPress menguasai ~28% seluruh web → target utama hacker
- Source code open-source → dipelajari 24/7 oleh developer baik DAN hacker
Dua Strategi Update
Plan A: Auto Update (Direkomendasikan 99% Kasus)
| Aspek | Detail |
|---|---|
| Cara kerja | Biarkan WordPress auto-update di server live |
| Risiko update merusak fitur | ~1-10% |
| Risiko di-hack jika outdated | ~99-100% |
| Direkomendasikan oleh | Instruktur DAN dokumentasi resmi WordPress |
| Cocok untuk | Hampir semua proyek |
Default WordPress:
- Minor updates → otomatis
- Major updates → perlu klik manual di dashboard
Opsional — enable auto major updates (kontroversial):
php
// Tambahkan di wp-config.php atau functions.php
define('WP_AUTO_UPDATE_CORE', true);Plan B: Manual Update (Hanya untuk Kasus Khusus)
| Aspek | Detail |
|---|---|
| Cara kerja | Disable auto-update, test dulu di local, lalu push manual |
| Syarat | Budget besar + ada dedicated person yang selalu on-top |
| Risiko | Jika telat update sehari/seminggu → sangat tinggi chance di-hack |
| Direkomendasikan | Hanya jika punya tim maintenance yang sangat responsif |
Peringatan: WordPress resmi sangat melarang disable auto-update. Bahkan jika website outdated hanya 1 hari, risiko hack sudah sangat tinggi.
Analisis Risiko
| Skenario | Risiko |
|---|---|
| Auto-update aktif, fitur rusak | 1-10% — bisa diperbaiki dalam 1-2 hari |
| Auto-update mati, lupa update 1 minggu | 99-100% — website di-hack, malware, data breach |
| Website rusak sementara | Reputasi sedikit terganggu |
| Website di-hack | Brand image hancur, kehilangan kepercayaan user |
Struktur Git Berdasarkan Update Plan
Plan A (Auto-Update) — Git Hanya untuk Theme
git-repo/
└── wp-content/
└── themes/
└── your-theme/ ← Hanya ini di version controlAlasan: File WordPress system (wp-admin, wp-includes) di-maintain otomatis oleh server. Tidak perlu masuk Git.
Alternatif:
- Seluruh WP installation di Git, tapi deploy tool hanya deploy folder tertentu (theme)
- Atau exclude wp-admin dan wp-includes dari deployment
Plan B (Manual Update) — Git untuk Semua
git-repo/
├── wp-admin/
├── wp-includes/
├── wp-content/
│ ├── themes/
│ └── plugins/
├── wp-config.php
└── index.phpKesimpulan
Tidak ada cara yang objektif benar atau salah — yang penting structure Git dan deploy tool sinkron dengan update plan yang dipilih.
Rekomendasi kuat: Gunakan Plan A (auto-update) kecuali ada alasan sangat kuat dan tim dedicated untuk Plan B.