Cara Menemukan dan Memperbaiki Situs Di Hack Melalui Backdoor

Ketika kita menyadari bahwa situs kena hack, biasanya sudah terlambat karena para hacker telah mengacaubalaukan situs dan para hacker juga bisa kembali jika kita tidak membersihkan dan memperbaiki situs yang telah kena bajak tadi dengan benar atau kita tidak tahu bagaimana cara memperbaikinya. Banyak kasus terjadi, dimana sebuah Backdoor telah dibuat oleh para hacker sehingga mereka bisa membypass otentifikasi yang biasa kita lakukan sehari-hari ketika masuk ke situs. Pada tulisan ini akan membahas bagaimana cara mengetahui bahwa sebuah situs telah dibajak melalui Backdoor dan memperbaikinya.

Pengertian Backdoor

Backdoor diartikan sebagai sebuah metode untuk membypass otentifikasi normal sehingga mereka bisa mengakses server tanpa terdeteksi. Para hacker yang pintar selalu membuat backdoor terlebih dahulu sebelum membajak sebuah situs. Dengan demikian mereka bisa mengakses secara berulang kali walaupun anda telah menemukan file mencurigakan dan menghapusnya. Cara backdoor ini tidak akan berpengaruh terhadap upgrade yang dilakukan oleh WordPress dan pluginnya sekalipun mereka bisa memasukkan kembali virusnya ketika server melakukan upgrade hingga anda bisa memperbaikinya secara keseluruhan.

Cara backdoor paling sederhana ini bisa membuat username admin tanpa terlihat. Walaupun banyak backdoor yang lebih kompleks seperti mereka bisa melakukan eksekusi terhadap kode PHP yang dikirim melalui browser, dan yang lainnya bisa memiliki akses penuh UI sehingga mereka bisa mengirim email sebagai server, mengeksekusi kueri SQL, dan hal lain yang mereka inginkan.

Tempat Persembunyian Kode Backdoor

Kode tersebut akan disembunyikan pada:

  1. Tema. Biasanya mereka tidak meletakkan pada tema yang sedang anda gunakan. Hacker ingin kode itu bisa bertahan terhadap update. Maka jika anda menyimpan tema yang tidak digunakan dan tidak pernah ada updatenya lagi atau tidak diupdate secara berkala di direktori, ini merupakan tempat paling ideal untuk menempatkan kodenya. Makanya sangat disarankan untuk menghapus tema tidak aktif tersebut.
  2. Plugin. Plugin merupakan tempat paling disukai untuk menyembunyikan kode mereka. Ada tiga alasan kenapa para hacker menyukainya, yaitu, pertama biasanya kita tidak akan terlalu mempedulikan plugin. Kedua karena kebanyakan pemilik situs tidak mengupgrade plugin tersebut sehingga kode ini bisa bersembunyi disana. Ketiga, dari sekian banyak plugin, ada beberapa plugin yang pengkodeannya tidak bagus.
  3. Direktori Upload. Sebagai seorang blogger, tentu kita tidak pernah memeriksa dengan teliti direktori tempat kita mengupload file. Biasanya kita mengupload sebuah gambar, kemudian menggunakannya di postingan dan setelah itu tidak memeriksanya lagi. Seiring dengan berlalunya waktu, barangkali anda telah memiliki ratusan gambar yang telah diupload ke folder tersebut. Dengan demikian, para hacker dapat menyembunyikan file virusnya diantara ratusan atau mungkin jutaan gambar, ditambah lagi anda tidak pernah memeriksanya secara berkala.
  4. Wp-config.php. File inipun merupakan salah satu target paling disukai oleh para hacker.
  5. Folder include. Folder /wp-includes/ adalah salah satu tempat menyimpan file virus oleh para hacker. Biasanya mereka akan meninggalkan lebih dari satu file backdoor ini. Jika mereka telah berhasil menyimpan satu file saja, mereka akan menambahkan file lagi sebagai backup untuk memastikan mereka bisa mengakses dikemudian hari. Folder inipun jarang diperiksa oleh blogger.

Kasus

Di kebanyakan kasus, backdoor akan disamarkan sehingga mirip dengan file WordPress standar. Sebagai contoh: ada sebuah kasus dimana backdoornya diletakkan pada folder wp-includes. File tersebut diberi nama wp-user.php (file wp-user.php tidak pernah ada pada instalan normal). Memang ada file user.php pada folder /wp-includes/ di instalan normal WordPress, tetapi tidak wp-user.php. Pada contoh lainnya, bisa juga mereka mengupload file dengan nama hello.php pada folder upload, sehingga kita akan terkecoh karena menganggap itu merupakan salah satu file dari plugin Hello Dolly.

Dia juga menggunakan nama file seperti wp-content.old.tmp, data.php, php5.php, atau sebentuk lainnya. File tersebut berakhiran PHP bukan karena ada kode PHP di sana. Jenis filenya berbentuk .zip. Di kebanyakan kasus, file ini telah terkode dengan kode base64 yang biasanya menunjukkan seluruh rangkaian operasi (seperti menambahkan tautan spam, menambahkan halaman tambahan, meredirect situs ke situs spam, dan lain sebagainya).

Dengan keterangan di atas, anda mungkin berfikir bahwa platform WordPress tidak terlalu aman karena bisa diretas melalui backdoor. Pada prinsipnya salah, versi terbaru tidak rentan diserang. Backdoor ini bukanlah langkah pertama peretasan. Hal ini biasanya merupakan langkah kedua untuk meretas situs. Seringkali para peretas memanfaatkan plugin pihak ketiga atau skrip yang bisa memberi mereka akses untuk mengupload backdoor. Sebagai contoh, sebuah plugin yang pengkodeannya tidak benar bisa memberikan akses kepada peretas. Jika situs anda merupakan situs dimana semua orang bisa melakukan registrasi, maka peretas bisa melakukan registrasi gratis. Mereka memanfaatkan salah satu fitur di situs untuk bebas berkeliaran sehingga mereka bisa mengupload file yang mereka inginkan. Di kasus lain, barangkali dikarenakan kredensial anda tidak terdaftar. Bisa jadi juga karena anda menggunakan hosting providernya tidak bagus.

Cara Menemukan dan Membersihkan Backdoor

Sekarang anda telah mengetahui tentang backdoor dan dimana menemukannya. Langkah selanjutnya adalah mencoba untuk menemukannya. Membersihkannya sangat gampang sekali karena cukup menghapus file atau kode tersebut. Akan tetapi, bagian tersulitnya adalah menemukannya. Untuk menemukan backdoor yang tersimpan di dalam plugin bisa menggunakan beberapa plugin, yaitu malware scanner WordPress, Exploit Scanner, dan Sucuri. Akan tetapi, kode base64 dan eval juga digunakan di plugin sehingga plugin malware scanner, exploit scanner dan sucuri terkadang bisa salah dalam menentukan apakah sebuah plugin sudah terinfeksi atau belum. Untuk lebih amannya jika anda tidak mengerti dengan pengkodean, saya sarankan untuk menghapus direktori plugin dan instal ulang seluruh plugin yang anda punyai dari awal. Langkah ini lebih gampang dan cepat.

Mencari di Direktori Uploads

Setelah scanner plugin menemukan file bermasalah tadi pada folder uploads, akan tetapi anda tidak familiar dengan SSH, maka anda cukup menuliskan perintah berikut ini di direktori tersebut:

1 find uploads -name “*.php” -print

Hapus Tema Tidak Terpakai

Seperti telah disampaikan di awal tulisan, seringkali tema tidak terpakai merupakan target mereka. Jadi, mulai sekarang silakan anda delet tema yang tidak terpakai dan/atau tidak pernah ada lagi updatenya.

File.htaccess

Terkadang kode redirect diletakkan di file ini. Caranya gampang yaitu hapus saja file .htaccess ini dan WordPress akan membuat ulangnya kembali. Jika tidak dibuat ulang, buka halaman panel admin, Setting > Permalinks kemudian klik tombol save, maka WordPress akan membuat file .htaccess.

File wp-config.php

Bandingkanlah file wp-config.php dengan file wp-config-sample.php. Jika ada kode mencurigakan atau kode tambahan, silakan buang kode tersebut.

Menscan Database

Para peretas biasanya tidak akan meletakkan backdoornya di satu spot saja. Mereka biasanya meletakkan di berbagai tempat. Mereka bisa meletakkan fungsi PHP, akun administratif, tautan spam di database. Jika anda tidak mengerti dengan SQL, silakan pergunakan plugin Exploit Scanner atau Sucuri (versi berbayar).

Periksa Ulang

Jika anda telah melakukan langkah-langkah di atas, jangan puas dulu. Anda harus memeriksa ulang kembali apakah sudah benar-benar aman atau belum. Untuk memeriksanya silakan buka browser dalam mode incognito dan periksa ulang lagi. Atau bisa juga merubah useragent browser anda.

Cara Mencegah Peretasan Untuk Kedepannya

Agar para peretas tidak bisa masuk mengobok-obok situs anda, ada beberapa hal yang bisa dilakukan, yaitu:

  1. Selalu buat cadangan dengan melakukan backup secara berkala.
  2. Passwordnya harus kuat. Untuk mengatur password, bisa gunakan 1Password.
  3. Otentikasi 2 langkah. Cara ini dengan mendaftarkan nomor HP anda, sehingga ketika melakukan login dari browser tidak dikenal, maka WordPress akan mengirim kode ke nomor HP tersebut untuk mengotentikasi.
  4. Mendisable editor tema dan plugin.
  5. Lindungi password WP-admin dengan membatasi akses ke WP-admin berdasarkan IP address.
  6. Disablekan eksekusi PHP pada direktori uploads dan direktori lainnya yang anda inginkan.
  7. Selalu update, baik untuk WordPress maupun plugin.
Free Hit Counters
Web Site Hit Counters

Silakan sampaikan komentar Anda