Anda Menggunakan Themes/ Plugins Bajakan? Hati-hati Malware!

Ditulis oleh Wiro W.

Kebanyakan themes/plugins bajakan bebas tersedia untuk diunduh dari berbagai website karena sudah di-inject oleh backdoor, malware dan black-hat SEO spam

Baru-baru ini ketika saya sedang berkunjung ke rumah kakak saya, saya bingung karena website saya yang berbasis WordPress tiba-tiba ke-redirect ke website lain yang isinya tidak jelas. Ini tidak pernah terjadi ketika saya mengakses website saya di rumah sendiri, jadi saya berusaha cuek dan berpikir bahwa mungkin komputer kakak saya yang bermasalah. Namun tetap saja saya merasa penasaran, jadi setibanya di rumah saya langsung menyalakan komputer untuk mengakses website saya dan ternyata website tersebut baik-baik saja.

Sedikit lega tapi saya tidak berhenti sampai situ saja, saya berusaha memastikan dengan cara meng-scan website saya untuk melihat adanya malware atau tidak. Dan benar saja, ternyata website saya sudah terinfeksi oleh malware. Jujur saya tidak tahu sejak kapan malware ini ada karena selama ini saya tidak pernah mendapatkan masalah apa-apa.

Redirection

Singkatnya, malware tersebut hanya menyebabkan redirection untuk sebagian pengunjung. Untuk pengguna desktop biasanya akan di-redirect ke hxxp://online-news . us/work-from-home-report/ dan pengguna smartphone ke hxxp:/ /link .clickdirected .com/tracking202/redirect/dl.php?t202id=553&t202kw= atau hxxp:/ /bangkokboy .791 .a .clickbetter .com.

Tidak semua pengunjung akan di-redirect, inilah yang menyebabkan saya tidak sadar bahwa website saya telah terjangkit malware.

Sebelum kita lanjut, saya mengakui dulu bahwa saya (dulunya) memang menggunakan plugins bajakan. Namun sejak kejadian ini saya menjadi kapok dan langsung beli yang aslinya.

Script jQuery Palsu

Malware ini disamarkan sedemikian rupa seperti ini:

JQuery Palsu

jQuery Palsu

Awalnya saya tidak ngeh, namun jika Anda memperhatikan lebih lagi, Anda akan melihat beberapa kejanggalan:

  1. www . wpquery . org bukanlah domain dari jQuery yang asli
  2. WordPress sudah dilengkapi dengan jquery.js nya sendiri jadi tidak perlu lagi membuat link ke website ketiga
  3. Pemanggilan scriptnya sendiri adalah random seperti yang dapat Anda lihat di kode berikut: if (now%2 == 0)
  4. Script akan mengunduh file jquery.min.js atau jquery.js tergantung dari requestnya mempunyai referrer atau tidak

Cara Membersihkan

Pertama: jika Anda merasa website Anda terkena malware, atau jika Anda menggunakan themes/plugins WordPress bajakan, saya sarankan mengunjungi Sucuri untuk meng-scan website Anda. Servis yang ditawarkan gratis jadi jangan kuatir harus membayar.

Kedua: Jika positif terkena malware, maka selanjutnya Anda harus tarik nafas dalam-dalam dan jangan panik. Saatnya Anda mencari darimana malware tersebut berasal. Malware jenis ini biasanya berada di dalam themes/plugins bajakan.

Buka FTP Anda lalu ke wp-content dan ubah nama folder plugins Anda menjadi plugins.backup. Jangan takut, semua settingan plugins Anda aman. Ini hanya untuk mematikan semua plugins Anda untuk mengecek jika malware tersebut berada di dalam salah satu plugins Anda.

Ketiga: Jika website Anda sudah bersih ketika Anda meng-scan lagi berarti malware tersebut memang berada di salah satu plugins Anda. Anda dapat mematikan plugins satu demi satu sampai menemukan yang bermasalah. Saya sarankan langsung hapus plugin tersebut.

Keempat: Jika malware tetap ada meski semua plugins telah dimatikan, maka malware tersebut dapat berada di core files WordPress Anda, themes ataupun database.

Artikel ini sengaja dibuat untuk pengetahuan Anda dan memang tidak ditulis secara detil. Jika Anda masih membutuhkan bantuan, segera beri komentar di bawah ini dan saya akan berusaha membantu Anda.