Kemarin sempat agak kaget ketika dapat PM dari teman di kaskus. Dia bilang salah satu situs klient web
toko online saya di hack. Setelah saya cek, ternyata benar. Tampilan website yang tadinya dinamis menjadi gambar anonymous dengan backgroud hitam. Setelah saya benahi, alhamdulillah gak sampai 1 jam situs berhasil saya kembalikan lagi menjadi normal.
Website dengan platform WordPress kadang memang menjadi targed empuk para hacker/defacer. Kebanyakan dari kasus hack WP menggunakan cara ”Brute Force Login” yaitu akses login ke wp-admin dengan menggunakan metode password acak.
Pada umumnya, hacker yang berhasil masuk kemudian akan melakukan beberapa hal yang bisa menjadi pertimbangan anda dalam menganalisis website yang terkena hack:
1. Mengubah data login WP, misalnya password login . kadang database dan bahkan FTP. Kalau sampai kena hack cpanelnya.. :nangis:
2. Memasukkan file spam, malware, virus, dan sejenisnya. Biasanya dalam bentuk injeksi SQL, javascript packer, base64, atau software yang lainnya.
3. Mengubah/mengganti file-file index, baik pada admin, theme, dan file-file indeks lainnya (index.php) dan menambahkan file-file lain yang nanti akan merubah total tampilan website.
Sebenarnya masih banyak cara deface WP, tap tiga hal diatas adalah metode yang biasa dipakai
Bagaimana cara mengatasi situs wordpress yang kena hack/deface?
Berikut saya shareng pengalaman kemarin waktu membenahi web klient saya.
Recovery PassWord
Kasus pertama yang saya hadapi adalah admin kehilangan akses ke dashboard WP.
Cara mengatasi yang model seperti ini:
1. Buka login WP anda. Klik lost you password, masukkan email anda. Klik Get New Pasword.
2. Cek email. Lalu klik link yang dikasih dalam email.
3. Masukkan password baru yang lebih kuat. Usahakan pakai kombinasi angka & huruf di tambah beberapa karakter lainnya seperti -#*+)(/(@);:=* dll.
4. Masuk ke WP admin anda. segera cek menu USER. Pastikan disitu tidak ada user/email lain yang terdaftar.
5. Cek themes yang lagi aktif, masuk kebagian editor. Biasanya para h*cker merubah file function.php / index.php.
6. Kalau anda gak punya backupan file themes, coba instal themes WP yang lain. Kalau website sudah normal, berarti masalah selesai. Dan hacker cuma merubah Home page situs anda.
Bagaimana kalau password tidak dapat direset & email login admin sudah diubah?
Jika anda tidak bisa login maka lakukan langkah-langkah dibawah ini:
1. Ubah password cPanel. Ini untuk mengantisipasi langkah lanjutan dari si hacker.
2. Ubah Password FTP/Database, tujuannya sama dengan di atas. Jangan lupa mengedit password dan login name database di wp-config.php dengan password dan database name yang baru. Akses file wpconfig melalui cPanel > File Manager > Public HTML > WP Admin > klik edit pada wp-config.php > ganti password dan name database > save.
3. Untuk mengubah/reset password login WP yang sudah diubah hacker, perlu dilakukan beberapa langkah. Anda tidak bisa mengubah begitu saja di PHPMyAdmin. Ini juga untuk mengantisipasi brute force lain ke depannya.
a. Masuk ke PHPMyAdmin dari CPanel.
b. Lihat di menu sebelah kiri. Identifikasi database yang digunakan untuk WordPress anda (misalnya jika digenerasikan dengan softaculous, biasanya akan mengandung wp ), kemudian klik.
c. Cari table wp_users , dan klik Browse .Kemudian lihat pada data user, biasanya jika anda tidak mengubah login user, maka username yang digunakan adalah admin . Klik gambar pensil untuk mengedit dan reset password.
d. Pada poin nomer 1 (bidang value password), dapat dilihat bahwa terdapat banyak karakter acak. Untukkeamanan WOrdPress menggunakan MD5 Hash ketimbang menampilkan teks secara plain. Ini artinya anda tidak dapat begitu saja mengganti password dalam bentuk teks biasa, tapi harus dalam bentuk MD5 Hash.
Gunakan tool Javascript MD5 ini. Masukkan password dalam bentuk teks biasa, kemudian klik tombol MD5 . Copy hasil generasi MD5, dan ganti teks pada bidang value password seperti pada nomer 1 di atas.
e. Pada poin nomer 2, jelas di situ terdapat email milik hacker, atau emailsiapapun yang digunakan oleh hacker. Ganti dengan email anda, sebagai saran gunakan email lain (baru) untuk mengantisipasi hack ke email anda yang sudah diketahui hacker.
f. Pada poin nomer 3, ganti user login (yang secara default adalah admin dan terkenal cukup vulnerable ).
g. Klik Go untuk menyimpan perubahan.Coba lagi untuk login ke dashboard WP. Jika masih belum bisa (hanya dalam kasus tertentu), gunakan fitur reset password di halaman login.
File Recovery
Sekarang, mari kita selamatkan file-file index dan file lainnya. Ada banyak ciri sebenarnya dan yang dilakukan hacker cukup bervariasi dalam mengacak-ngacak file WordPress . File-file indeks yang biasa diubah ada di beberapa bagian folder, jika anda beruntung biasanya yang diubah hanya file index.php di dalam folder theme (wp content > theme > folder theme yang anda gunakan). Tapi pada beberapa kasus lain, file-file index di dalam folder wp admin, plugins, dan beberapa folder lainnya juga diubah. Untuk menganalisa secara satu persatu akan memakan waktu lama, oleh karena itu cara mudah untuk mengidentifikasi adalah dengan melihat tanggal perubahan, edit, atau, penambahan file.
1. Melalui file manager, cek file-file WordPress di folder public HTML anda. Identifikasi file-file mana saja yang memiliki data tanggal update dekat dengan saat WordPress anda dihack. Dan itulah yang wajib dicurigai. Kedua cek file-file berukuran 0 byte (zero byte files). Lihat apakah ada banyak file-file semacam ini, terutama di dalam folder administrasi (wp-admin).
2. Cek file-file index (index.php) di berbagai folder termasuk folder theme dan plugin) apakah ada perubahan tanggal yang mencurigakan?
3. Jika menemukan file-file yang mencurigakan sudah ditemukan, dan jika anda mendapati halaman homepage web anda berbeda, maka yang perlu diubah pertama kali adalah file index.php di dalam folder theme. Copy file index.php yang masih fresh dari folder theme yang anda simpan di komputer dan upload menggantikan index.php lama. Lalu cek dengan mengakses Website anda apakah sudah kembali seperti semula. Cek semua file index, apabila ada yang mencurigakan (tanggal, zero byte files) ganti dengan file baru.
Download WordPress baru dari WordPress.Org, copy file yang diperlukan dan upload ke folder yang sesuai. Jika anda banyak menemukan zero byte files di dalam wp-admin dan wp-content, anda harus menggantinya, sebab bisa jadi itu cuma blank file yang dimasukkan oleh hacker untuk mematikan fungsi-fungsi WordPress anda. Mungkin akan banyak waktu untuk menggantinya satu persatu. Saran saya adalah dengan menginstal ulang WordPressmelalui fitur reinstall di halaman dashboard update.
Mengubah Secret Key
Mengapa harus mengubah secret key, dan apa itu? WordPress menggunakan secret key dalam format SALT untuk menambahkan sistem keamanan yang menggunakan random string untuk menghadang usaha hacking dalam beberapa lapis. Secret key ini juga menghadang perubahan cookies pada server. Setelah sebuah WordPress dihack dan diganti passwordnya, maka password tersebut (beserta data lainnya) akan tersimpan dalam cookies server, bahkan setelah anda mengubah/reset password tersebut. Oleh karena itu mengubah secret keys adalah hal wajib untuk menghindari akses lanjutan dari hacker yang masih menyimpan password lamanya.
a. Ambil secret key baru dengan mengakses
https://api.wordpress.org/secret-key/1.1/salt/ , setiap akses akan menghasilkan secret key yang berbeda-beda. Copy 6 baris secret keys tersebut.
b. Buka wp-config.php dari file manager> public html > wp admin, dan cari 6 baris secret keys lama.
c. Ganti dengan secret keys baru dan save.
Sekarang password anda sudah benar-benar aman. Jangan lupa, update pasword secara berkala untuk menghindari hal-hal yang tidak diinginkan.
Jakarta Time