Blog Hosting Guru Tips Mengatasi HACK dan BADWARE pada “WORDPRESS”

Tips Mengatasi HACK dan BADWARE pada “WORDPRESS”

Bagaimana cara mengatasi atau memperbaiki website atau blog wordpress yang sudah terkena hack atau badware dan tanda website Yang Terkena Hack dan Badware, disini saya akan menuliskan pengalaman mengenai bagaimana caranya mengatasi atau mengembalikan beberapa website atau blog yang telah terkena oleh hack dan badware supaya bisa kembali kepada keadaan semula, dan mungkin hal ini akan sangat berguna bagi anda yang mengalami hal serupa.

Cara mengatasi website yang terkena hack dan badware yang bisa kita lakukan adalah sebagai berikut:

1. Pada saat disusupi oleh hacker
Karena pengalaman saya pada saat itu hackernya hanya mengubah salah satu artikel di blog (WordPress.org) tanpa menyerang database serta menghapus file-file di server hosting, maka kita cukup:

* Mengubah password akun (account) untuk masuk ke cPanel hosting.
* Mengubah password akun (account) untuk masuk ke dashboard WordPress.
* Mengembalikan artikel yang telah diubah oleh hacker tersebut kepada keadaan semula.
* Menginstal beberapa plugin “pengaman” wordpress.

2. Pada saat terinfeksi HTML Script Injection, PHP Script Injection dan Java Script Injection
HTML Script Injection, sesuai dengan namanya maka tentu saja menyerang pada file-file hosting yang berekstensi .html. Kode script yang telah diinjeksikan ke banyak file .html adalah seperti ini:

src=http://jeremyjacksonevents.com/celebs/rumble66.php>

PHP Script Injection, sesuai dengan namanya maka tentu saja menyerang pada file-file hosting yang berekstensi PHP. Kode script yang telah diinjeksikan ke beberapa file .php adalah menggunakan kode Eval seperti berikut:

eval(base64_decode(‘aWYoxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PuAnJangBangedddddddddKodenyaaaaaaaaaaaaaaaaaaaaaaaA
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxJ10pKTs=’)); ?>

Java Script Injection, sesuai dengan namanya juga, maka tentu saja menyerang file hosting yang berekstensi JS. Kode script yang telah menginfeksi file .js menggunakan kode Eval yang sama/mirip seperti yang menyerang pada file-file berektensi PHP.

*Catatan:  x = sengaja kode-kode tersebut saya ganti dengan huruf “x” ini, karena kalau tidak, maka halaman blog saya ini akan dicuriga sebagai halaman blog atau website yang mengandung perangkat lunak yang membahayakan bagi pengguna internet (dicurigai mengandung malicious scripts/malware atau secara umum disebut dengan istilah badware)

Injeksi sript tersebut bertujuan untuk menanamkan backlink kepada halaman situs jeremyjacksonevents.com/celebs/rumble66.php secara ilegal. Dan setiap kali kita membuka halaman website/blog kita, maka link ke halaman situs tersebut ikut terbaca pada saat loading.

Cara mengatasinya kasus nomor 2 ini adalah dengan memeriksa satu persatu file-file hosting berektensi .HTML, .PHP, dan .JS di server hosting, lalu kita hapus script beserta kode-kode aneh yang dideteksi sebagai badware pada file-file tersebut. Misalnya kalau pada kasus yang saya alami badware tersebut menginfeksi file-file seperti index.html, readme.html, googlegooglef130xxxx29ffa9ed.html (kode verifikasi Google), serta file-file berektensi .html dan .htm lainnya, index.php, wp-setting.php, wp-config, sampel.php, wpconfig.php, postinfo.html, functions.php, page-index.php, script.js, dan penambahan file berekstensi .php di folder images yaitu bernama gifimg.php yang bisa langsung dihapus.

Tetapi karena file-file tersebut tentu saja akan banyak jumlahnya, dan kita pun akan kerepotan untuk memeriksa satu persatu, maka cara yang bisa dilakukan adalah dengan:

* Untuk keamanan, gantilah terlebih dahulu password akun cPanel hostingnya.

* Untuk blog di WordPress.org, ganti pula password untuk masuk ke dashboarnya.

* Pastikan di komputer terpasang antivirus yang updated, dan pastikan komputer telah terbebas dari virus.

* Download semua folder dan file dari server hosting ke komputer (bisa menggunakan FileZilla)

* Untuk mengetahui file apa saja yang terinfeksi,  maka scan semua folder dan file yang telah didowload, dan jangan sampai file-file yang terdeteksi mengandung badware tersebut langsung dihapus/didelete oleh antivirus, tetapi biarkan masuk ke chest/quarantine, supaya nanti kita bisa melihat file-file manakah yang terinfeksi dan harus kita perbaiki.

* Setelah scanning selesai, maka periksa chest/quarantine.  Lihat file-file apa saja yang terinfeksi dan harus diperbaiki atau dihilangkan badwarenya tersebut.

* Untuk menghilangkan badware di file-file tadi, kita bisa merestore satu persatu file dari chest/quarantine ke folder asalnya untuk kemudian dihilangkan kode-kode badwarenya lalu diupload pada folder yang sama di server. Tetapi kalau takut akan resiko komputer terinfeksi atau antivirus selalu mengembalikannya ke chest/quarantie, maka kita bisa langsung menghapus kode-kode badware di file-file yang sama di server hosting.

* Jika menemukan file-file asing yang sebelumnya tidak ada di server seperti gifimg.php atau yang lain, maka Anda hapus saja file tadi.

* Setelah semuanya selesai, maka silahkan akses kembali halaman blog atau website yang kita miliki.  Jika antivirus sudah tidak membloknya, maka website kita telah terbebas dari badware. Bila masih membloknya atau masih ada peringatan darinya, berarti masih ada file yang belum bersih dari kode-kode badware.

Bila antivirus sudah tidak membloknya, tetapi beberapa browser atau search engine mungkin masih tetap memblok atau memberikan peringatan kepada pengunjung untuk tidak membuka website kita, maka untuk mengatasinya kita harus meminta review ke Google Webmaster Tools dan StopBadware.org.  Setelah mereka mereviewnya serta memastikan website/blog kita telah terbebas dari badware, maka biasanya hanya dalam beberapa jam saja website/blog kita sudah terbebas dari pemblokan serta tidak dianggap membahayakan lagi oleh browser dan search engine.

3. Pada saat pengunjung blog dialihkan (redirecting) dari mesin pencari ke sebuah situs tertentu.
Cara mengatasi redirecting seperti ini sangat mudah, yaitu:

* Cek kode-kode pada file HTACCES dan wp-config.php di server hosting menggunakan Filezilla versi terbaru. Dan tidak perlu memeriksanya di melalui cPanel, karena biasanya kode-kode badwarenya disembunyikan (hidden).

* Bila pada file tersebut terdapat kode-kode badware seperti kode Eval tersebut di atas, maka hapuslah kode tersebut.

* Kunjungi blog kita melalui search engine. Bila kita benar-benar telah berhasil menghapus kode badwarenya, maka blog kita pun telah terbebas dari redirecting.
Semoga Bisa Membantu… 🙂

37 Comments

  • Hm..terima kasih bos atas tips nya, jadi tambah deh wawasanku..he..he.!tpi kalo pake CMS mah tgl backup databasenya, kemudian install ulg dengan cms versi terbarunya baru kemudian drop database yg baru dg yang lama. tpi yg perlu dibackup jk pk WP adalah folder WP-contentnya saja jgn sampe ke hapus..

    • Ya, terima kasih kembali 🙂 mengenai cara itu juga bagus, pada intinya memang kita perlu menjaga setiap yang kita miliki apapun caranya. Karena tidak setiap orang bisa teliti dalam menjaga yang dimiliki. Lebih baik waspada sejak dini sebelum terlanjur 😀

  • wah.. berulang ulang kali web saya disusupin kode jahat seperti itu.. tapi dari bantuan pihak google bisa teratasi walau harus delete semua dan mengganti file back up. hampir semau halan disususpi kode jahat.. nah yg sekarang saya gak tahu di mana letak kode jahat.. soalnya di McAfree kedetect tanda tanya.. padahal bukan dari wordpress blog saya.. tapi cuma kode html manual.

    • hanafi

      backup menjadi penting saat terjadi seperti itu

  • Terima kasih atas tipnya,semoga bermanfaat buat semuanya.

    • @MJI, terima kasih… semoga bermanfaat bagi kita semua. Sudah kewajiban kita untuk melindungi apa yang kita miliki.

  • awas loh banyak hacker sekarang yang belajar masalah wordpresss

  • Terima kasih pengetahuan yang diberikan. Ijin share untuk teman-teman.

  • bagus tipsnya gan, tapi ane usul kalo diberi video tutorialnya gan coz ane pemula, thanks sbmlnya semoga mafaat, sukses!

  • Trims banget nih masbro atas ilmunya sangat bermanfaat sekali.

  • aku dapat masalah yg ketiga bos, tiap kali saya coba buka blog dari google selalu saja mengalami redirect ke website lain, ini dah berlangsung cukup lama, sekitar 3 bulanan. tapi saya bingung ngatasinnya, karena saya msih baru. akhirnya saya dapat tips ini, tetapi saya juga bingung, karena ketika mengikuti tips ini, saya tidak mendapatkan apa-apa. sya sudah pake filezilla terbaru (2011), pas saya cek di HTACCES dan wp-config.php, kode yg mencurigakan (eval….) tidak ditemukan. kalo mas Ifan berkenan (dan saya akan berterima kasih banget), Mas bantu aku kirimi tipsnya yang lengkap ke imel saya ya, makasih banyak

    • hanafi

      @Gustie, kami cek iniluarbiasa.com sudah mengarah ke hosting batavia1.hostingceria.com.

  • Malam ini saya akan beranikan diri untuk mencoba memberantas Malware diblog tokoonlinebaru saya, semoga berhasil mohon do’anya dan terima kasih tips yang diberikan pak admin!

  • relo

    mas mau tanya, maaf newbie, aq baru design web dgn format PHP, web standar tidak melibatkan database, nah kira2 itu bisa dirusak g ya web aq, webku g ada isian form sama sekali, jadi cuma tampilan web.. terus cara agar direktori dalam web kita g kliatan gimananya ya ? ada tips g hosting di jogjacamp ini.
    contoh saja : http://www.eko-oke.com/index.php
    nah itu diubah direktorynya jd http://www.eko-oke.com, aja
    atau caranya hilangin format HTML/PHP di-address bar, biar yg keliatan cuma artikelnya aja tanpa berakhiran Html/PHP bisa g ya ? makasi maaf kpanjangan..hehehe

    • hanafi

      Bila file di dalam public_html bernama file index.php /.html / .htm maka langsung bisa diakses misal eko-oke.com saja.
      Adapun desain website yg menggunakan html, memang akan tampil .html

  • relo

    makasi mas, oiya kira2 kalo file PHP tanpa menggunakan database, ato tampilan web standar aja, itu cara ngamankan nya gimana ya mas ?? dalam artian biasanya penyusup mencari celah lewat inputan FORM atau peta direktori file, nah disini web saya hanya standar tanpa input form maupun database, kira2 titik kelemahannya dimana ya mas ?? atau cara amankan direktori filenya gmn ya ? makasi.. mhn pencerahannya mas, maaf saya newbie baru mo cari tempat hosting …

    • hanafi

      @relo kalau dari sisi hosting, asal permission file tidak terbuka (777) maka aman

  • relo

    Mas, di Jogjacamp support file berekstensi PHP3 atau SHTML g ? contoh file : index.shtml atau index.php3 tampil di browser, hehehe… makasi boz responnya cepat.

    • hanafi

      @relo, kami coba di salah satu server kami file index.shtml bisa, demikian juga index.php3

  • relo

    Gan, cara menyembunyikan ekstensi file biar g kelihatan di browser gimana ya ? contoh : http://www.coba.com/index.php jadi http://www.coba.com saja, dan file lainya http://www.coba.com/buku/tutorial-makan-ayam/ jd g ada ekstensi filenya atau tersembunyi. atau http://www.coba.com/secureadmin – tanpa ekstensi PHP, Html dibelakangnya. padahal di fileku terdapat file contoh : secureadmin.php, contact.php dll. makasi atas sharingnya gan.

    • hanafi

      @relo, itu desain websitenya dibuat dengan apa, pakai blog wordpress, joomla atau buat sendiri?

  • relo

    Buat sendiri gan, dengan Dreamweaver, saya buat file PHP dan Xampp untuk Mysql, kira2 gimana ya bang ? kalo misal directory filenya keliatan, maaf bang saya agak newbie tentang Security file PHP, makasi bang hanafi responnya.

  • Terima kasih infonya. beberapa orang teteap mencoba menjebol situs saya. untung sudah dilindungi oleh 3 proteksi plugin security. Alhamdulillah tidak jebol lagi. sebelumnya sudah belasan kail jebol/ kena hack

  • salah satu blog saya 2 hari yang lalu terkena hack dan blog tersebut dialihkan ke halaman lain, akhirnya saya ganti .htaccess, Alhamdulillah dengan ini dah kembali jalan
    terima kasih atas tambahan ilmu di atas

    • hanafi

      @Jefry terima kasih kembali

  • Wah manteps nih penjelasannya, tp mohon bantuannya web saya diredirect ke alamat lain bagaimana solusinya gan..? thx b4

  • shofwan

    Terima kasih atas penjelasannya,
    Tapi saat ini web saya yang di redirect adalah halaman wp-adminnya.
    Mhn solusinya..

    Terima kasih

    • hanafi

      mohon diinfokan nama website anda untuk kami cek

    • Nama website sy
      http://www.softwareindo.commas,mhn solusinya ya mas,

      Terima kasih

    • hanafi

      saya cek softwareindo.com sudah bisa diakses, tidak redirect ke wp-admin

    • Maaf mas, yang kena virus bukan halaman utama atau http://www.softwareindo.com tetapi yang kena adalah halaman adminnya ini linknya http://softwareindo.com/wp-admin

      Itu gmn ya mas, mnt tlg ya mas solusi apa yg hrs sy lakukan..

      Terima kasih sblmnya..

    • hanafi

      backup database dan folder uploads, hapus wordpress lalu install ulang, pakai database yg lama dan imagame2 dari folder uploads, bila perlu backup plugin dan themes-nya

  • Dear,
    Mas Web Aku kena Hack : http://www.jualforedionline.com , http://www.griyapasutri.com dan http://www.sekolahinternetonline.com , solusinya gimana mas saat ini tdk punya backup he he .berarti harus install ulan g ya n posting artikel satu satu dong
    brgds,

    • hanafi

      mohon di infokan kapan dihack ke support@idwebhost.com untuk kami carikan backup sebelum di hack untuk direstore kembali, terima kasih

    • hanafi

      saat ini kami cek dapat diakses dengan baik, bila masih belum bisa diakses silakan kontak ke support@idwebhost.com

  • aduh syangnya q gx pnya akun wordpressme,
    klau bleh tau kelebihan wordpress itu apa to

    • Muh Hanafi

      wordpress simple dan banyak yang pakai

Comments are closed.