Saya diminta tolong untuk membersihkan situs LIA Pramuka yang terserang malware. Situs tersebut saat dibuka, akan muncul peringatan bahwa situs telah diserang, sehingga pengguna akan dihadapkan pada pilihan untuk menutup halaman tersebut, atau tetap melanjutkan dengan siap menerima risiko.
Peringatan ini merupakan bagian dari sistem StopBadware, sebuah organisasi anti-malware nirlaba yang berbasis di Cambridge, Massachusetts.
Organisasi ini bekerja sama dengan beberapa perusahaan, antara lain Google dan Mozilla, sehingga setiap kali peramban menemukan kode-kode berbahaya, peramban akan melaporkan situs ini ke StopBadware untuk ditandai dan selanjutnya saat ada pengunjung lain mengunjungi situs ini, peramban akan memberi peringatan.
Dari mana malware berasal? Malware biasanya disusupkan oleh peretas ke situs-situs yang mempunyai celah keamanan. WordPress merupakan salah satu platform yang sering disasar karena penggunanya yang berlimpah.
Dan benar, situs yang saya tangani ini terserang oleh malware yang biasanya berupa penyisipan kode-kode berawalan eval(base64_decode(
pada file theme.
Langkah pertama tentu membersihkan kode-kode ini. Bisa dengan cara find and replace satu per satu, atau menggunakan skrip. Saya menggunakan perintah yang dijalankan melalui comand line pada direktori theme yang terinfeksi. Perintah itu adalah:
find . ( -name "*.php" ) -exec grep -Hn "[t]*eval(base64_decode(.*));" {} ; -exec sed -i -e 's/[t]*eval(base64_decode(.*));//g' {} ;
Perintah ini akan mencari file-file PHP yang terinfeksi, dan membersihkannya. Namun, periksa kembali hasilnya, karena pola regex yang digunakan bisa berbeda.
Setelah bersih, perketat keamanan situs. Pertama, perbarui versi WordPress yang digunakan, dan pasang plugin-plugin keamanan yang banyak tersebar. Beberapa di antaranya yang populer adalah Better WP Security dan OSE Firewall.
Kini saatnya melaporkan situs yang sudah dibersihkan tersebut ke StopBadware supaya blacklist yang diberikan ke situs dicabut. Cukup ikuti perintah-perintah yang ada di halaman tersebut, lalu tunggu.
Selain StopBadware, kita perlu melaporkan ini ke Google. Google mempunyai mekanisme sendiri saat menemukan sebuah situs diserang malware. Google akan menandai situs ini dan memberi peringatan pada hasil pencarian.
Pelaporan ini menggunakan Google Webmaster Tools. Situs yang hendak dibersihkan harus sudah terdaftar. Jika belum, ikuti langkah-langkah menambahkan situs ke Google Webmaster Tools.
Setelah meminta peninjauan, kita hanya bisa menunggu. Setelah Google menyatakan situs kita bebas dari malware otomatis, peringatan yang muncul akan dihilangkan.
Langkah-langkah permintaan peninjauan ini sangat mudah. Yang menyebalkan adalah saat membersihkan situs dari kode-kode jahat.
Tips, selalu buat backup file theme WordPress yang digunakan. Sehingga jika ada infeksi lagi, tak perlu melakukan pembersihan. Cukup mengembalikan file yang sudah bersih dan menimpanya.