--- title: WAF description: Web Application Firewall memfilter request HTTP berbahaya sebelum sampai ke aplikasi — melengkapi update dan backup, bukan menggantikannya. canonical: https://penasihathosting.com/wikihosting/waf type: wiki locale: id updated: 2026-07-15 author: Willya Randika --- # WAF Web Application Firewall memfilter request HTTP berbahaya sebelum sampai ke aplikasi — melengkapi update dan backup, bukan menggantikannya. **WAF** (Web Application Firewall) adalah lapisan filter di depan aplikasi web yang memeriksa request HTTP sebelum sampai ke [PHP](/wikihosting/php) atau CMS. Tujuannya memblokir pola serangan umum: injeksi, XSS, pemindaian berbahaya, brute force login, dan bot yang agresif. WAF bisa berupa layanan cloud (sering lewat [Cloudflare](/wikihosting/cloudflare)), modul di [web server](/wikihosting/web-server), atau plugin aplikasi. Ia melengkapi — bukan menggantikan — update software, password kuat, hak akses yang benar, dan [backup](/wikihosting/backup-hosting) yang teruji. ## Analogi Sederhana Jika website adalah kantor, WAF seperti **satpam di lobi** yang menolak tamu membawa peralatan mencurigakan. Satpam tidak menggantikan kunci ruangan server atau patch keamanan aplikasi, tetapi mengurangi orang asing yang masuk liar dan mengacak-acak resepsionis. ## Apa yang Biasanya Difilter - Pola SQL injection dan XSS di query string atau body - User-agent atau IP yang dikenal sebagai scanner - Rate limit pada login, XML-RPC, dan endpoint API sensitif - Geo-blocking atau filter ASN sesuai kebijakan bisnis - Path admin atau file sensitif yang tidak seharusnya publik ## Manfaat dan Salah Kaprah Manfaat: mengurangi noise serangan, menurunkan beban [entry processes](/wikihosting/entry-processes) dari bot, dan memberi waktu reaksi saat ada kampanye exploit. Salah kaprah: mengira WAF membuat plugin usang “aman selamanya”. False positive juga nyata — form kontak atau checkout sah bisa diblokir jika rule terlalu ketat tanpa uji. ## Yang Perlu Anda Perhatikan - Mulai mode monitor atau log sebelum memblokir agresif - Whitelist webhook payment gateway dan API partner - Uji checkout, login, dan webhook setelah rule baru - Jangan andalkan WAF tanpa patch CMS dan plugin - Catat siapa di tim yang mengubah rule agar audit jelas ## FAQ Tidak selalu. Firewall jaringan memfilter port dan IP; WAF membaca pola pada lapisan aplikasi HTTP. Untuk banyak situs kecil hingga menengah, ya sebagai lapisan depan. Origin tetap harus dikunci dan diperbarui. Overhead biasanya kecil dibanding manfaatnya. Rule buruk lebih sering jadi masalah daripada latency murni. Cek event log WAF, longgarkan rule terkait, atau whitelist path dan IP yang sah.