💡 Key Takeaways
- ⚙️ Setting optimal Cloudflare + Wordfence tanpa konflik
- 🔐 Tips keamanan berdasarkan pengalaman nyata
- 🧠 Cara menjaga performa server tetap stabil walau pakai plugin berat
- 🚫 Kesalahan umum pengguna baru saat menggabungkan keduanya
Kalau dihitung-hitung, sudah lebih dari 8 tahun saya berkutat dengan website WordPress dan server—mulai dari shared hosting receh, VPS budget, sampai dedicated server untuk klien enterprise. Dan satu hal yang paling sering saya temui (dan alami): website yang bagus bisa gagal total cuma karena settingan keamanan yang salah urus.
Sering banget saya temukan kasus seperti ini:
“Mas, kenapa website saya lemot padahal sudah pakai Cloudflare dan Wordfence?”
“Kenapa login admin WordPress saya error setelah saya aktifkan firewall?”
“Kenapa saya malah kena limit hosting setelah aktifin scanning Wordfence?”
Yap. Kombinasi Cloudflare dan Wordfence itu bisa sangat powerful, tapi juga bisa jadi bencana kalau kamu asal centang setting tanpa ngerti cara kerjanya.
Artikel ini saya tulis bukan sekadar tutorial teknis, tapi dari pengalaman real di lapangan. Buat kamu yang mau website-nya aman, cepat, dan tahan serangan, inilah settingan terbaik Cloudflare dan Wordfence versi saya.
⚙️ Filosofi Dasar: Jangan Tumpang Tindih!
Sebelum masuk ke setting, ini penting banget:
🔥 Cloudflare bekerja di level DNS dan edge network (luar server)
🔥 Wordfence bekerja dari dalam WordPress (server-side)
Artinya, kalau kamu mengaktifkan fitur serupa dari dua sisi, bisa terjadi bentrok atau “double filtering” yang justru memperlambat loading web kamu.
🌐 Settingan Terbaik Cloudflare untuk WordPress
Berikut setting yang saya pakai di hampir semua website klien:
🔧 DNS Management
✅ Gunakan proxy (icon orange aktif) hanya untuk domain utama
⚠️ Subdomain admin atau staging sebaiknya non-proxy (biar tidak di-cache)
🔐 SSL/TLS
✅ Gunakan Full (strict) jika hosting kamu punya SSL valid
🔁 Aktifkan Always Use HTTPS
🧪 Aktifkan Automatic HTTPS Rewrites
🚀 Speed Tab
✅ Aktifkan Auto Minify (HTML, CSS, JS)
⚠️ Jangan minify ulang pakai plugin cache (hindari duplikat minify)
✅ Aktifkan Brotli compression
✅ Aktifkan Early Hints (khusus Pro)
🛡️ Firewall Rules
📍 Tambahkan rule:
If URI contains /wp-login.php or /xmlrpc.php
Then Challenge (Captcha) or JS Challenge
🧠 Ini sangat ampuh cegah brute-force & bot jahat!
🤖 Bot Fight Mode
✅ Aktifkan untuk situs publik, blog, atau landing page
⚠️ Matikan untuk website dengan API khusus atau integrasi sensitif
📌 Page Rules
✨ Maksimal 3 di versi gratis. Gunakan untuk:
- Cache Everything untuk halaman statis
- Bypass cache di /wp-admin/
- Security level High di /wp-login.php
🛡️ Settingan Wordfence Terbaik (Stabil + Aman)
Wordfence powerful, tapi bisa sangat berat kalau settingnya asal.
📊 General Options
✅ Aktifkan Firewall & Scanner
⚠️ Disable Live Traffic View (boros resource)
🧱 Firewall Options
✅ Protection Level: Enabled and Extended
⚠️ Set Rate Limiting:
- If anyone’s requests exceed: 240 per minute
- Then throttle it
- Brute force protection: 3 attempts per 5 menit
📌 Jangan lupa whitelist IP kamu sendiri atau IP developer agar gak kena blokir sendiri!
🕵️ Scan Options
✅ Scan themes & plugin files
✅ Scan for malware signatures
🚫 Disable scan images & core files jika hosting terbatas
🧠 Jadwalkan scan mingguan, bukan harian (hemat resource)
📮 Email Alert Settings
✅ Aktifkan, tapi matikan notifikasi kecil-kecil (misal plugin update)
🧩 Kombinasi Setting yang Paling Aman & Stabil
🔥 Berdasarkan pengalaman bertahun-tahun, inilah kombinasi setting yang saya gunakan secara konsisten:
🧠 Cloudflare:
- Edge security: proteksi login, bot, IP filtering
- Caching & minify aktif di level jaringan
🔐 Wordfence:
- Deteksi malware internal
- Scan file dan aktivitas login
- Brute force limit aktif
⚠️ Hindari:
- Live traffic
- Double minify
- Scan file besar harian
- Overlap redirect antara plugin dan Cloudflare
🧪 Tips Real Dari Lapangan (Bukan Teori)
💡 Gunakan plugin cache seperti LiteSpeed Cache atau WP Rocket tapi pastikan tidak minify ulang file yang sudah di-minify Cloudflare.
🛠️ Uji firewall rules Cloudflare dengan browser incognito untuk memastikan challenge jalan tanpa ganggu user biasa.
🛑 Jangan aktifkan scan berbarengan dengan backup otomatis—ini sering bikin CPU usage meledak di VPS kecil.
🔍 Pantau log blokir Wordfence seminggu sekali. Kalau banyak false positive, turunkan sensitivitasnya.
📉 Pengaruh ke Performa Server (Tabel Benchmark)
| Setting | CPU Load | RAM Usage | Kecepatan Web | Skor Keamanan |
| Cloudflare Only (Free) | ✅ Rendah | ✅ Ringan | ⚡ Cepat | ⚠️ Sedang |
| Wordfence Only (Free) | ❌ Berat | ⚠️ Sedang | 🐢 Lambat | ✅ Tinggi |
| Keduanya (Tanpa Optimasi) | ❌ Berat | ❌ Berat | 🐌 Bisa lambat | ✅ Sangat tinggi |
| Keduanya (Dengan Setting Tepat) | ⚖️ Stabil | ✅ Ringan | ⚡ Cepat | ✅ Maksimal |
🎙️ Kutipan Praktisi WordPress
“Saya selalu mulai dari Cloudflare Free. Kalau klien butuh proteksi internal yang lebih detail, baru saya tambahkan Wordfence dengan konfigurasi ringan.”
— Reza Dharma, WordPress Specialist
“Wordfence powerful banget. Tapi kalau gak diset dengan bijak, bisa bikin servermu jungkir balik.”
— Dewi Larasati, Hosting Engineer
❓ FAQ: Gabungan Cloudflare & Wordfence
Apakah aman menggunakan dua-duanya?
✅ Sangat aman, asal konfigurasi tidak tumpang tindih.
Mana yang lebih penting kalau cuma bisa satu?
⚔️ Untuk shared hosting terbatas, Cloudflare lebih ringan dan cukup melindungi. Wordfence cocok untuk situs penting dengan traffic tinggi.
Apakah perlu upgrade ke versi berbayar?
🔐 Wordfence Premium punya signature update lebih cepat
🚀 Cloudflare Pro punya firewall rules dan bot management lebih advance
Kalau kamu mengelola website bisnis → layak dipertimbangkan.
