Cara Mengatasi WordPress Pharma Hack

Lock WordPress

WordPress terbagi menjadi dua, yaitu WP Blog Builder, dan WP Self Hosting, keduanya memiliki perbedaan yang cukup banyak dari fitur, hingga kelebihan dari keamanan. WordPress Self Hosting jauh lebih mudah dimasuki oleh hacker akibat plugin atau theme yang memiliki celah terbuka, hal ini memiliki banyak faktor yang mengakibatkan WordPress terkena hack oleh orang lain, bisa jadi orang tersebut memanfaatkan servernya dengan cara menyembunyikan backdoor untuk orang itu masuk, atau lebih jauh lagi dari yang dipikirkan. Tentunya mempunyai website sendiri tidak ingin dimasuki orang lain, karena akan tahu gejala yang timbul pada akhirnya.

Macam-macam hal yang membuat situs WordPress terkena hack ialah paling banyak dari Plugin dan Theme. Pada dasarnya WordPress telah memberikan keamanan yang sangat kepada penggunannya sehingga tidak ada hal yang salah diperhitungkan. Contoh yang paling banyak ialah SQL Injection, File Upload (Bypass), dan Download file WP Configurasi (Bypasss). Ada juga yang paling banyak sendiri adalah XSS yang kadang bisa membuat server situs mengalami pengiriman data berlebihan hingga down (Tehnik DDOS). Mungkin dari beberapa hal tersebut bisa diperhitungkan bahwa jika orang telah memasuki server pasti akan bisa mengatur isi-isi file hingga database. Dan jika terlanjur lama, bisa saja orang tersebut menerapkan metode baru yang bernama “Pharma Hack“.

WordPress Pharma Hack ini sebenarnya susah untuk membedakan apakah yang melakukan ini orang atau sebuah robot, karena menimbulkan hal berbau casino, blackjack, dan hal-hal aneh lain. Yang Saya kira hal ini tentu bisa dilakukan oleh keduannya entah itu robot atau manusia. Mengatasinya juga tidak mudah, ada beberapa step yang perlu kamu lakukan dan ini mengenai database dan hal-hal lainnya seperti plugin dan theme. Untuk mengetahui bahwa situs terkena Pharma Hack juga mudah, karena bisa dilakukan dengan google dork. Oke berikut ini beberapa step yang harus kamu lakukan ketika websitemu terkena hack dengan metode “Pharma”.

STEP 1
Pertama – tama ketahuilah beberapa halaman yang telah terkena metode tersebut dengan cara mencari di google dengan dork ini. site:situsmu.com (**ubah situsmu.com menjadi situs yang terkena pharma hack). Di google akan tampil semacam URL yang seperti ini misalnya. “situs.com/?p=casino-online atau situs.com/play-blackjack-online/ dan lain sejenisnya”. Silahkan klik halaman tersebut dan lihat apa yang akan terjadi didalamnya. Jika berisikan postingan (artikel), silahkan lihat perbedaan dari situsmu apakah ada yang berbeda atau tidak, maksud dari berbeda bisa dilihat dari teks recent artikel, komentar, atau link pada archive/category. Jika berbeda berarti ini ada kaitannya dengan cache plugin. Selain itu jika kamu membuka halamnnya dari google tadi dan malah seperti ada iframe/embed dari situs lain, berarti tidak ada hubungannya dengan cache plugin. Untuk mengatasi masalah cache ini silahkan lihat di step 2.

STEP 2
Sekarang untuk mengatasi cache plugin, kamu dapat menuju dimana halaman cache disimpan pada plugin yang kamu gunakan. Contoh pada plugin W3 Total Cache, silahkan menuju directory ini “/public_html/wp-content/cache/page_enhanced/situsmu.com/“. Silahkan lihat pada directory tersebut, maka terdapat folder bernama casino-online dan lain sejenisnya, silahkan hapus semuanya, dan tenang saja, ini hanya file cache, kamu dapat mengatur ulang pada halaman admin menu untuk cache yang baru dengan cara empty cache atau menghapus cache lewat dashboard. Sekarang coba lihat halaman tadi pasti masih ada yaitu seperti sebuah iframe atau embed dari situs lain. Dan hal tersebut ada kaitannya dengan database. untuk mengatasinya silahkan lihat di step 3.

STEP 3
Sekarang silahkan buka PHPMyadmin lewat cPanel dan, buka table wp_options dan cari row client_data_run berdasarkan field option_name. Jika ada silahkan hapus dengan mengeksekusi kode dibawah ini.

DELETE FROM `wp_options` WHERE `option_name` = 'client_data_run';

Masih belum selesai silahkan hapus option_name 1 juga karena memiliki kode berbentuk base64 digabung rot13 didalamnya. Untuk menghapusnya silahkan mengeksekusi kode dibawah ini.

DELETE FROM `wp_options` WHERE `option_name` = ‘1’;

STEP 4
Ini adalah step terakhir dimana kamu harus mencari file berbentuk png (pseudo) yang biasanya tidak jauh pada file function.php di theme yang kamu gunakan. Paling banyak ditemukan memiliki nama file social.PNG, silahkan koreksi satu persatu dan lihat didalam filenya, jika ketemu maka segera hapus.

Silahkan untuk melakukan keempat cara diatas secara teliti. Meskipun terdapat file berbentuk png, file tersebut bisa menjadi hal yang buruk pada websitemu nantinya karena didadalam file itu terdapat kode-kode yang akan dimasukan di database pada bagian wp_options pada option_name “1”. Dan penamilan dari iframe atau embed dari situs tadi bisa dilihat pada value di table wp_options, pada option_name “client_data_run” disana akan terdapat semacam kode HTML untuk penampilan pada halaman yang dimanipulasi. Jika kamu tidak menonaktifkan error_log, silahkan lihat pada file error_log dan akan ada aktivitas mencurigakan dari database yang menyisipkan kode encoding yang banyak sekali. Segeralah untuk mengatasi hal ini, karena halaman yang terkena metode tersebut juga bergantung pada SERP. Saya menyarankan untuk melakukan cepat karena Saya sendiri sudah pernah mengalaminya diblog WP Saya yang lain akibat server yang Saya gunakan diretas oleh orang lain. Jika ada yang ingin ditanyakan tentang diatas silahkan berkomentar.

Semoga bermanfaat dan Selamat mencoba

8 comments
  1. Sangat bermanfaat gan, btw punya saya masih muncul gan beberapa padahal sudah saya ikuti tutorial ini sempet juga saya matikan dengan cekal robot.txt selama 2 bulan, cuma beberapa masih belum ilang juga. Mohon pencerahanya bagian .PNG karena kebanyakan yang di acak acak gambar nya. Thanks, mohon respon baiknya.

    1. Saya lebih menyarankan untuk melakukan instal ulang wordpressnya gan. Tapi sebelum itu full backup terlebih dulu. Jika segalanya sudah di-restore, silakan instal juga plugin keamanan dan konsultasikan sama pihak hostingnya, karena tentunya mereka punya alat untuk scan celah pada situsnya.

      Kemungkinan besar template atau plugin agan sudah terinfeksi, jadinya sulit hilangkannya.

  2. website saya sepertinya kena pharma hack seperti yang disebut diatas. malah 1 hosting terkena hal yang sama. terdapat folder yang isinya code encrypt dan bahasa2 code seperti ini :
    $V29($V2(“\x30x\35”).$Y2($V29(“\X35\X30)

    mohon bantuannya

    1. Boleh diinfokan kira-kira folder tersebut ada di direktori mana ya? Jika ada di direktori lain yang tak menyangkut wp-admin atau wp-content sebaiknya hapus seluruh berkas yang ada didalamnya.

    1. Silahkan cari pada bagian theme yang digunakan saat ini. Cek file .png yang ada. Didalam file .png adalah kode yang bisa autogenerate halaman yang mengandung casino itu.

    1. Banyak keuntungannya, Bisa mengacak acak tampilan, memanfaatkan SEOnya dan lain-lain. Pokoknya segera dihapus supaya tidak lebih parah dari sebelumnya.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *