WAF

Diperbarui: 15 Juli 2026
By Willya Randika

WAF (Web Application Firewall) adalah lapisan filter di depan aplikasi web yang memeriksa request HTTP sebelum sampai ke PHP atau CMS. Tujuannya memblokir pola serangan umum: injeksi, XSS, pemindaian berbahaya, brute force login, dan bot yang agresif.

WAF bisa berupa layanan cloud (sering lewat Cloudflare), modul di web server, atau plugin aplikasi. Ia melengkapi — bukan menggantikan — update software, password kuat, hak akses yang benar, dan backup yang teruji.

Analogi Sederhana

Jika website adalah kantor, WAF seperti satpam di lobi yang menolak tamu membawa peralatan mencurigakan. Satpam tidak menggantikan kunci ruangan server atau patch keamanan aplikasi, tetapi mengurangi orang asing yang masuk liar dan mengacak-acak resepsionis.

Apa yang Biasanya Difilter

  • Pola SQL injection dan XSS di query string atau body
  • User-agent atau IP yang dikenal sebagai scanner
  • Rate limit pada login, XML-RPC, dan endpoint API sensitif
  • Geo-blocking atau filter ASN sesuai kebijakan bisnis
  • Path admin atau file sensitif yang tidak seharusnya publik

Manfaat dan Salah Kaprah

Manfaat: mengurangi noise serangan, menurunkan beban entry processes dari bot, dan memberi waktu reaksi saat ada kampanye exploit. Salah kaprah: mengira WAF membuat plugin usang “aman selamanya”. False positive juga nyata — form kontak atau checkout sah bisa diblokir jika rule terlalu ketat tanpa uji.

Yang Perlu Anda Perhatikan

  • Mulai mode monitor atau log sebelum memblokir agresif
  • Whitelist webhook payment gateway dan API partner
  • Uji checkout, login, dan webhook setelah rule baru
  • Jangan andalkan WAF tanpa patch CMS dan plugin
  • Catat siapa di tim yang mengubah rule agar audit jelas

FAQ

WAF sama dengan firewall server?

Tidak selalu. Firewall jaringan memfilter port dan IP; WAF membaca pola pada lapisan aplikasi HTTP.

Apakah Cloudflare WAF cukup?

Untuk banyak situs kecil hingga menengah, ya sebagai lapisan depan. Origin tetap harus dikunci dan diperbarui.

WAF memperlambat situs?

Overhead biasanya kecil dibanding manfaatnya. Rule buruk lebih sering jadi masalah daripada latency murni.

Pengunjung sah terblokir — apa yang dilakukan?

Cek event log WAF, longgarkan rule terkait, atau whitelist path dan IP yang sah.

Disclaimer: Artikel WikiHosting disusun untuk tujuan edukasi dan referensi. Teknologi hosting terus berkembang, sehingga beberapa informasi teknis mungkin berubah seiring waktu.