Kena Lagi.. Kena Lagi..

Sejak beberapa hari lalu, saya sebenarnya menemukan beberapa keanehan di beberapa blog saya yang berbasis WordPress. Jadi, kalau saya bikin link postingan terbaru, lalu saya share link-nya ke Facebook/Twitter, maka orang-orang yang membaca dan mengklik link itu, akan terlempar ke situs lain.

Hal ini juga terjadi pada situs kantor saya (yang juga menggunakan engine blog WordPress). Kalau kita mengklik link situs kantor saya itu di Google, maka akan dilempar ke situs lain. Hmm, saya awalnya berpikir ini masalah di Google, yang mungkin saja salah mengindeks halaman. Beberapa hari kemudian tanda-tanda ini masih saya abaikan, karena pekerjaan kantor yang menumpuk.

Sampai akhirnya saya ada waktu luang untuk mengecek. Saya coba unduh satu blog dulu ke lokal. Daaaan…. betul dong. Ternyata blog WordPress ini tersusupi script malware. Semua file dengan tanda pembuka <?php tersusupi script ini:

eval(base64_decode(“DQplcnJvcl9yZXBvcnRpbmcoMCk7DQ… dst”));

Saya hanya mengambil nafas panjang, lalu mengunduh semua blog dan situs yang menggunakan engine WordPress. Ternyata, semua file dengan ekstensi .php kena semua dengan script itu. Ini pengalaman saya yang ketiga berhadapan dengan hal seperti ini. Pertama kali dulu, blog media-ide.com pernah di-hack dengan ada yang mengganti file index.php di theme-nya. Lalu kedua kalinya, blog ini di-hack juga dengan menyisipkan script serupa di atas, namun saat itu yang kena hanyalah folder theme dan plugin. Kali ini ternyata lebih masif. Yang kena adalah semua file .php.

Dengan sabar dan hati-hati saya hapus semua script malware itu dari semua blog dan situs saya. Makan waktu memang. Akhirnya tinggal 1 blog yang belum saya bersihkan, sampai tiba-tiba pagi tadi Bluehost (penyedia jasa hosting dedicated yang saya pakai) men-suspend domain utama. Daar, mati semua. Nggak ada yang bisa diakses. Bluehost lalu menginformasikan kalau file-file yang ada di server disusupi malware. Ini harus dibersihkan dulu, sebelum nanti Bluehost mengakhiri suspend-nya.

Ternyata oh ternyata… Yang kena bukan hanya situs berbasis WordPress saja. Lebih tepatnya semua file dengan ekstensi .php di server terkena. Untunglah semua berhasil diselamatkan. Sekalian pula saya sapu bersih-bersih file dan aplikasi yang tak lagi terpakai.

Dugaan saya sih, injeksi script malware ini masuk melalui timthumb.php (yang memang terpasang di beberapa blog saya). Dari sini lalu berkembang melebar ke lainnya. Caranya bagaimana? Saya pun nggak tahu pastinya. Sudah kayak semacam virus saja, yang melebar menginfeksi semua file yang berada di akun server yang sama.

Sebenarnya sejak kejadian terkena hack kedua kalinya itu, saya sudah pasang pengamanan yang lumayan kencang di blog saya. Meski sayangnya saya hanya pasang di satu blog, padahal bisa saja si malware ini masuk dari blog lainnya. Akhirnya hari ini, semua situs dan blog dengan engine WordPress yang aktif di server ini sudah saya lengkapi dengan plugin-plugin ini:

1. TAC (Theme Authenticity Checker)

Ini untuk mengecek apakah file theme yang kita pakai terinjeksi script yang mencurigakan atau tidak.

2. Timthumb Scanner

Ini untuk mengecek apakah timthumb.php yang saya gunakan ini sudah versi terbaru atau belum. Kalau belum, maka plugin ini akan langsung meng-update secara otomatis.

3. Exploit Scanner

Ini untuk mengecek total semua file .php yang berada di dalam blog. Plugin ini akan menandai semua file yang dianggap mencurigakan. Harus berhati-hati saat membaca laporan hasil pindah plugin ini, karena tidak semua yang terpindai itu adalah script malware. Ada banyak file yang sebenarnya aman, tapi ikut terbaca oleh plugin ini.

4. WordPress Firewall 2

Plugin ini akan menyetop semua aksi injeksi terhadap URL blog, lalu akan mengirimkan laporannya ke email kita setiap kali terjadi serangan. Saya sudah lama pakai ini dan karena ini saya pun tahu kalau blog saya pernah diserang bertubi-tubi oleh bot. Baca emailnya memang bisa bikin keringat dingin sih. Namun justru setiap email yang saya terima itu adalah pertanda kalau plugin ini telah berhasil menyetop serangan yang terjadi.

5. WSD Security

Ini plugin wajib yang juga perlu ada. Melalui plugin ini saya bisa memahami kelemahan apa saja yang ada di engine WordPress, dan plugin ini memberi petunjuk langkah-langkah apa yang harus diantisipasi, seperti misalnya: mengganti user login dengan apapun selain “admin” atau mengganti penamaan table di database, supaya tidak standar dan lebih aman terhadap serangan.

6. BPS Security

Saya baru tahu ada plugin ini. Dua faktor utama yang membuat blog WordPress rentan terhadap serangan adalah timthumb.php (kalau ada) dan .htaccess. Standar .htaccess dari WordPress belum bisa dibilang aman. Plugin ini akan membantu manajemen .htaccess di folder root dan di folder wp-admin. Plugin ini yang akan menjaga serangan terhadap blog dari IP address yang tidak bertanggung jawab. Karena saya pun nggak paham banget cara membaca .htaccess, jadi ya saya pakai saja versi default yang ditawarkan plugin ini (dan itu panjang banget isi .htaccess-nya).

Nah, apakah setelah ini blog saya aman dari serangan? Hihihi, kita tunggu saja ya. Susahnya menggunakan WordPress itu ya memang harus rajin update, dan jangan sampai terlambat. Ya tapi kalau sudah dengan cara ini, masih diserang juga ya berarti memang penyerangnya yang jago banget.

8 thoughts on “Kena Lagi.. Kena Lagi..”

  1. Aku punya WP tapi belum pernah di aktifkan dan di go-public kan…
    Semacam belum pede aja, terus kalau melihat tulisan Pitra yang kayak gini kok jadi agak makin keder ya.. Aku nda pahaaammm yang disebut-sebut di atas XD XD
    Natalia recently posted..Kembali BerlariMy Profile

Leave a Reply

Your email address will not be published. Required fields are marked *

CommentLuv badge