Mengatasi WordPress yang terhack TeamCyberAssassins

Cerita ini terjadi tadi pagi, ketika saya sedang berselancar ria di dunia perfacebook-an di pagi hari. Saat sedang membaca sebuah posting di Grup WordPress Indonesia ada yang meminta tolong untuk membenahi website/situsnya karena tehack oleh orang. Ketika saya coba tanya alamat web nya di kolom komentar yang punya web pun membalas dengan menunjukkan alamat website nya. Setelah saya cek di source page website nya keadaannya istilahnya aman. seperti script2 biasanya tetapi di tampilannya hanya muncul tulisan


TeamCyberAssassins



dan Title website berubah menjadi = Hacked By Imam. Kemudian saya coba cek link-link yang ada di source dan saya pelajari apakah ada yang aneh atau tidak. Pertamanya sih keliatan normal semua dari halaman depan, kategori maupun single page nya.

Karena saya sebelumnya di kasih akses Cpanel oleh si empunya website kemudian saya cek FTP dan lihat database nya. Saya tanya2 sedikit dengan yang punya website akhirnya….. dan tidak ada file-file yang dirubah oleh si hacker. kemudian saya dan satu kawan saya coba cek lagi… dia coba lagi untuk disable semua pluggin yang ada, lalu reinstal wordpress nya…. dan akhirnya…. Sama saja Tulisan masih sama juga.

Kemudian saya teliti ulang script yang ada di website bagian homepage/index nya….. akhirnya saya menemukan ada sebaris script yang di encode menggunakan unescape . Ketika saya menemukan hal ini teman saya juga menemukan hal-hal aneh mengenai hack situs wordpress ini dan yang sangat disayangkan adalah website-website yang terhack ini hampir semua nya hosting di MasterWeb. (Mohon Maaf Untuk pihak hosting saya langsung menyebutkan nama hostingnya disini, karena ini cukup krusial bagi para pengguna hosting anda.) dan ada website yang share cara mengatasi ini dan ternyata memang sesuai dengan kecurigaan saya.

Kemudian saya copy text yang saya curigai ini untuk saya decode dan akhirnya benar, disini ada script untuk merubah Title Website nya….. hasil decode nya menjadi seperti ini

Karena tadi kecurigaan saya script ini berada di sidebar, asumsi dari saya adalah ada di widget. kemudian saya masuk ke halaman wp-admin website nya dan saya cek bagian widget nya dan benar….. saya temukan code yang di encode tadi. setelah saya hapus website pun normal kembali ke halaman semula. [Sudah dengan sedikit pengurangan alur cerita].

 

#Tapi saya curiga dengan server hosting nya…. Apakah server hosting ini sudah di bajak/di hack oleh seseorang/team??? karena sang hacker dapat masuk ke halaman admin website nya dan menambahkan script di widget…. banyak juga yang sampai masuk ke database… mungkinkan root server nya sudah ada di tangan si hacker?? hanya si hacker dan pihak hosting yang mengetaui.

Terima kasih & Semoga Bermanfaat.

Tinggalkan Balasan