Cegah Hacker Mengincar WordPress Anda!

Anda memiliki blog bermesin WordPress? Pernah mendengar bahwa ada yang bisa meng-hack blog berbasis WordPress? Atau Anda pernah melihat secara langung situs favorit Anda –yang masih berbasis WordPress- di-hack? Anda pernah menjadi korban si Hacker?

Ok, sebelum terjadi kesalah-pahaman, Saya hanya ingin mengklarifikasi, sebenarnya istilah Hack (predikat) atau Hacker (subjek) kurang cocok; karena Hack memiliki artian luas, meskipun masyarakat awam mengganggap bahwa Hack atau Hacker selalu ke arah konotasi negatif. Bahkan, Bill Gates -sang pendiri Microsof- pun bisa disebut Hacker.

Dalam artikel ini, Hack/Hacker memiliki arti negatif dan tidak baik. Sepakat? Loh? Koq jadi membahas masalah Hack/Hacker? Baiklah, sekarang kita ke pendahuluan 😀

Masih ingat saat banyak media memberitakan bahwa blog si A atau si B kena hack? Masih ingat tulisan “Please Update Now” di bagian Dashboard WordPress Anda jika terdapat versi baru? Anda sudah mengupgrade versi WordPress Anda? Belum? Hanya masalah waktu sampai blog Anda juga di hack =))

Malangnya, untuk sebagian blogger yang telah mengupgrade, mereka terkadang terlambat mengantisipasi. Sang hacker malah lebih dulu mengetahui seluk-beluk blog kita (perhatian! Ini bukan BloG kiTa yang ini 😛 ) dan (mungkin) telah meletakkan BackDoor (apa itu? Monggo dicari di om google 😛 ).

Apa yang harus Anda lakukan jika Blog WordPress Anda kena Hack?

  1. Segera upgrade WordPress Anda ke versi yang paling baru.
  2. Yakinkan tidak ada BackDoor atau Malicious Code di sistem Anda. Terkadang sang Hacker meletakkan script baru atau bisa juga merubah file standar WordPress. Cek juga file theme yang Anda gunakan.
  3. Ganti Password lama Anda setelah upgrade selesai. Yakinkan bahwa Hacker tidak membuat admin/user lain di WordPress Anda.
  4. Edit file wp-config.php dan ubah atau buatlah sebuah SECRET_KEY. SECRET_KEY biasanya memiliki format:

define(‘SECRET_KEY’, ‘07081987’)

silakan dirubah angka-angka di atas dengan kreasi Anda sendiri 😉

Kode Tersembunyi oleh Hacker

Biasanya, para Hacker menggunakan beberapa cara untuk merusak blog WordPress Anda, diantaranya dengan:

  1. Menyembunyikan kode jahat di script php Anda. Jika direktori blog dan file Anda berstatus Writeable oleh WebServer, sang hacker bisa leluasa menanam kode-kode yang menguntungkan mereka. Contoh yang paling sering menjadi sasaran empuk adalah wp-blog-header.php. File theme yang digunakan juga beresiko. Saat Anda meng-upgrade WordPress Anda, file theme Anda tidak ikut berubah, jadi silakan cek sekali lagi. Apalagi jika Anda menemukan file ter-decode, seperti:

< ?php $seref=array("google","msn","live","altavista","ask","yahoo","aol","cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER[‘HTTP_REFERER’]),$ref)!==false){ $ser=”1″; break; }if($ser==”1″ && sizeof($_COOKIE)==0){ header(“Location: https://”.base64_decode(“YW55cmVzdWx0cy5uZXQ=”).”/”); exit; }?>< ?php
DST (kalau ditulis lengkap, ntar disalah gunakan 😛 )

Untuk melihat berbagai macam bentuk script yang mungkin berbahaya, bisa melihat di sini.

  1. Merubah file .htaccess. Cek file .htaccess yang berada di bagian root direktori blog Anda. Jika Anda tidak pernah mengubahnya, maka seharusnya Anda akan melihat kode-kode berikut:

# BEGIN WordPress
<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</ifmodule>
# END WordPress

Mungkin juga Anda akan mendapati tambahan kode (biasanya akibat program uploader yang Anda gunakan), seperti:

<ifmodule mod_security.c>
<files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</files>
</ifmodule>

  1. Memasukkan kode PHP namun disamarkan dengan file berformat jpeg ke direktori upload Anda dan menambahkan beberapa file yang bertugas untuk mengaktifkan beberapa plugin yang mereka kehendaki. Hal ini sulit dideteksi ataupun ditemukan. Namun, bukan hal yang mustahil. Silakan coba cara ini:

Buka PHPMyAdmin dan masuklah ke options table. Cari data active_plugins

Edit data tersebut. Anda akan menemukan tulisan-tulisan “aneh” dan panjaaaaaaaaaaaaaaaang sekali. Carilah teks seperti “../uploads/2009/08/07/xzvrtgfhjks.jpg” (perhatikan nama file *.jpg nya. Ingat-ingat apa Anda pernah mengupload file jpg dengan nama aneh begitu? 😀 ). Hapus teks tersebut dan pastikan Anda juga membasmi serialized array information. Hapus juga active_plugins record dan aktifkan semua plugin Anda sekali lagi

Periksa direktori upload untuk file jpg tersebut. Hapuslah.

Jika binggung, silakan lihat video ini. Hanya saja, dalam video tersebut ada proses penghapusan rss_* database record. Saya rasa ini tidak terlalu penting (bagi Saya yang awam). Atau ada yang ingin menjelaskan mengapa rss_* juga harus dihapus? 🙂

Ubah Password WordPress Anda

Setiap Anda mengupgrade dan yakin bahwa proses installasi berjalan lancar dan tidak terdapat jejak penyusup, pastikan Anda:

1. Merubah SELURUH password user yang ada dalam sistem WordPress Anda

2. Yakinkan bahwa sang Hacker tidak memiliki akun yang dapat digunakan untuk login suatu saat nanti.

Install Plugin Pendeteksi Hack

Sebagai langkah pengamanan, ada baiknya Anda menginstall WordPress Exploit Scanner yang akan membantu Anda dalam menemukan file/script yang berbahaya yang Ada dalam blog WordPress Anda.

Semoga tulisan sederhana ini akan mengurangi angka pengrusakan situs, khususnya blog bermesin WordPress. Jika ada kesalahan dalam pemaparan, tolong bantu Saya memperbaikinya 😉

Blogger yang Baik adalah Blogger yang Merawat dan Menjaga Blog-nya.

*sekedar informasi, WordPress yang paling sering kena hack adalah versi 2.6 ke bawah. So, segera upgrade ya! 2.8.6 lho yang sekarang 🙂

Jimmy Ahyari
Jimmy Ahyari
Seorang Apoteker yang menyukai dunia internet dan SEO. Mulai ngeblog sejak 2008. -Berbagi Tidak Pernah Rugi-

Tulisan ini dipublish pertama kali pada: 

  1. PertaMaaaxxx…..

    nyimak dulu..,mantep dah…..kaga paham (belum) bhasa PHP…:-B

    jadi kalo dah diupgrade ke versi terbaru, apakah yakin aman ?? :-w
    .-= iyoong´s last blog ..Give Them The Spirit alive =-.

  2. Wah thank's infonya…
    aku punya tambahan 1 point, selalu backup database website.
    kadang kalo sudah kecolongan, dan data2 kita dirusak satu langkah kecil ini yang bisa menyelamatkan artikel2 kita.
    .-= Irawan´s last blog ..Secangkir Kopi Pahit =-.

  3. ngeri juga kalo wordpress bisa di hack.. secara blog ane semua pake wordpress.. terima kasih infonya manteb.. langsung praktek..

    ups sekalian numpang promosi
    iklan baris gratis
    :-bd :-bd

  4. Mau tanya nih sob, kalau upgrade WP, settingan theme dan pluginnya masih tetap seperti semula ga?
    .-= Bisnis Online´s last blog ..Dengan Sepuluh Dollar Dapat Seratus Domain Gratis =-.

  5. artikel yang sangat bermanfaat bagi para pemakai wp, thanks kawan, blon bisa dihafal nih… jd saya bookmark dulu… 🙂
    .-= intermezo´s last blog ..Kontes SEO Astaga.com =-.

  6. wew. . .keren kang tipsnya. mesti bnyk belajar disini nih kyknya 😀
    .-= Ngobrol Seputar Bisnis Online´s last blog ..Daftar Pemenang Kontes Mengembalikan Jati Diri Bangsa =-.

  7. belum pernah dengar wordpress bisa di hack? klau pun bisa itu mungkin karena keteledoran kita saja dalam menyimpan password dll
    .-= liudin´s last blog ..4 Alasan Utama Untuk Mulai Menulis =-.

    Kalau Saya pernah melihat secara langsung (lupa alamat blognya). Sepertinya bukan masalah menyimpan password, tetapi akibat inject sql

  8. tapi kalo blog seperti blog saya ngga bakal dah ada hacker tertarik buat ngejahilin..biasanya blog2 gede tuh..hehehehe..salam kenal mas 😀
    .-= topanz´s last blog ..Selamat Jalan Gus Dur =-.

  9. kau pernah kena hack tuh….untung gak parah banget….
    .-= yanti tukang kerupuk´s last blog ..Energi kita adalah kerja keras =-.

  10. wah makasih banget nih informasinya….
    sangat membantu saya…
    thanks.. ➡
    .-= Alam´s last blog ..Spesifikasi Kamera Digital Pentax K-7 =-.

  11. sekarang banyak sekali blog2 yang kena hack…salah satunya temen saya

    aku coba tutorialnya…mudah2an bermanfaat ini :angel:
    .-= Nowgoogle.com Adalah Multiple Search Engine Popular´s last blog ..By: Khairuddin syach =-.

  12. Makasih informasinya mas, sangat membantu nich soalnya saya termasuk pendatang baru di Dunia WordPress
    .-= Putra Blambangan´s last blog ..Seo Google Oleh Team Ajib =-.

  13. beberapa minggu yang lalu, blog saya juga kena hack
    sayangnya saya belum baca tutorial ini
    🙁
    .-= nayantaka´s last blog ..Penyebab Adsense di banned | Autocontent | Autoblog =-.

  14. selamat siang mas,..
    saya tertarik dengan content blog ini, RSS feed ahyari[dot]com, saya pasang di widget. Supaya kalau ada berita baru, saya bisa segera tahu
    .-= nayantaka´s last blog ..Penyebab Adsense di banned | Autocontent | Autoblog =-.

    Selamat malam menjelang dini hari 😀 Waah.. terimakasih sudah bersedia meletakkan RSS Feed saya.. sukses selalu untuk Anda..

  15. Wah takut juga ini setelah baca artikelnya, cuma jujur aja masih belum paham ma yang di jelas disini.X_X perlu mempelajari lebih dalam ni sepertinya.

  16. tipnya mantep gan… makasih atas tips ama sarannya…
    oh ya mau nggak gan tukeran link
    .-= fansbook´s last blog ..The role of SEO for Internet business =-.

  17. Apakah wordpress yang bisa diserang cuman wp yang berbayar ya? 😕

    Tidak juga.. Beberapa waktu yang lalu, pernah ada yang kena.. tapi sifat serangan tentu berbeda.. biasanya sih gara2 password yang terjerat program semacam keylogger

  18. dulu sih sempet pake mesin wordpress yg gratisan..
    tapi sekarang udah beralih ke blogspot…soalnya wordpress gratisan gak fleksibel…

    Betul.. WordPress gratisan memang tidak seflexibel blogspot.. namun, jika punya dana, wordpress yang diinstall sendiri, lebih POWERFULL; seperti blog ini =))

  19. MEMANG HARUS WASPADA …. DAN TERUS MENINGKATKAN KEAMANAN BLOG WORDPRESS … TERUTAMA DARI SISI PENGGUNA/PEMILIK …. SUDAH BANYAK TEMAN2 SAYA KENA HACK PADAHAL SAYA JUGA PERNAH NULIS TTG PENTINGNYA MENJAGA KEAMANAN WORDPRESS TAPI ADA BEBERAPA BANYAK JUGA SAYA CEK MASIH2 SANGAT2 RENTAN UNTUK DISERANG ….
    .-= Alwi´s last blog ..Cari Aplikasi Gratis Lewat ZeuApp =-.

  20. Lha kalau dihack, username dan password tidak bisa dijalankan. Cara mengatasinya bagaimana? Mohon info

    Tinggal masuk ke database, di sana terdapat table informasi “user” yang berisi username dan password 🙂

  21. Bos makasih neh pluginnya…. ribet jg yah kalo blog kita dah bgs… kalo belum mah sapa yg mau ngehack…hehe
    .-= Lyrics´s last blog ..Five For Fighting Nyc Weather Report Lyrics =-.

  22. mantap nih…bener kalau Wp harus sring di upgrate…saya dah kena..dan sekarang dah apgrate tapi masih ada sisa hack..ada link yang masuk di theme tanpa sepengetahuan saya…dah saya bongkar dieditor enggak ada kelihatan dimana dia sembunyi linknya …mohon bantuan nih…gimana cara mengetahui link yang masuk ke theme kita…sementara kita tidak pernah merasa buat link itu..
    .-= syahrizal´s last blog ..Seribuan Umat Lintas-Agama Datangi Istana Siang Nanti =-.

  23. Jadi ribet kayaknya kalo pake wordpress apalagi newbie seperti saya, mending pake blogger aja kali ya?
    .-= Glatica´s last blog ..Cara Mengatasi Keylogger Dengan Software Anti Keylogger =-.

  24. setelah baca postingan diatas jadi khawatir nih.. tapi masih awan nih buat ngerubah kode-kode gituan… maksih infonya.
    .-= Nursohib´s last blog ..Cara Download Video di Youtubecom =-.

Beri Tanggaaapan

Silakan masukkan komentar anda!
Silakan masukkan nama Anda di sini
Captcha verification failed!
Skor pengguna captcha gagal. Silahkan hubungi kami!

spot_img
Mau Punya Blog Tanpa Ribet?

Gunakan jasa kami! Akan kami buatkan blog yang SEO Friendly, cepat dan diajarin sampai bisa posting sendiri!

Baca yang lain?

Membongkar Mitos SEO dengan Jawaban Langsung dari Danny Sullivan

Ahyari.Net - Sumber informasi "utama" bagi para praktisi SEO mungkin akan bermuara di @dannysullivan dan @searchliaison. Baru-baru ini menggelar sesi tanya jawab yang membahas sejumlah isu krusial terkait Google Search. Berikut adalah poin-poin menarik dari diskusi tersebut. 1. Mitos seputar...

Tahun Depan Google Adsense Tidak PPC Lagi, tapi CPM! Apa Artinya?

Ahyari.Net - Dini hari tadi, sekitar 14 jam yang lalu atau tepatnya pukul 03:28, saya mendapatkan email dengan subjek "Evolving how publishers monetize with AdSense" yang isinya kurang lebih:Google AdSense akan merubah cara mereka membayar publisher (penerbit). Mereka akan...

Apa yang Terjadi di Dunia SEO? Rangkuman Pembaruan Terbaru Google Search (Oktober 2023)

Ahyari.Net - Pada episode Oktober Google Search News, John Mueller kembali dengan berita terbaru tentang dunia SEO. Dalam video ini, dia membagikan informasi tentang sejumlah pembaruan penting yang terjadi dalam ekosistem Google Search pada bulan Oktober 2023.Mari kita lihat...
Join Member!

Akses ke artikel premium dan konsultasikan permasalahan website/blog Anda via Whatsapp langsung!