Cara mengidentifikasi situs WordPress yang diretas

Diterbitkan: 2017-04-14

Situs WordPress yang diretas sering kali menunjukkan beberapa gejala. Dalam posting ini kami akan menjelaskan gejala-gejala itu, dan memberi Anda beberapa alat untuk mengidentifikasi apakah situs web Anda terpengaruh oleh salah satu atau semuanya.

Gejala situs WordPress yang diretas

Sebagian besar gejalanya melibatkan situs web Anda yang berperilaku aneh, serta file dan kode HTML yang tampak aneh mulai muncul di kiri dan kanan. Mari kita lihat satu per satu!

1. Situs web Anda mulai mengirim spam

Meskipun jauh lebih mudah untuk mengidentifikasi spam yang masuk daripada yang keluar, ada beberapa hal yang dapat Anda lakukan untuk melihat apakah seseorang menggunakan situs Anda untuk mengirim spam:

  • Periksa log email Anda (biasanya di bawah /var/log). Melihat jumlah email yang tidak biasa diblokir dengan 550 Pengirim yang dilarang oleh pesan kesalahan SPF dianggap mencurigakan. Terutama jika Anda memiliki data SPF yang dikonfigurasi untuk domain Anda. Maka itu pasti bendera merah.
  • Ada berbagai situs web, seperti MXToolbox dan UltraTools RBL Database LookUp yang dapat memberi tahu Anda apakah situs Anda telah masuk daftar hitam sebagai sumber spam. Ada beberapa dari mereka yang tersedia, dan Anda perlu mencari sebanyak yang Anda bisa temukan. Tidak masuk daftar hitam tidak berarti Anda 100% jelas.

2. Situs web Anda mengarahkan Anda ke tempat lain.

Ini mungkin gejala yang paling mudah dikenali. Ketika Anda mengunjungi situs web Anda, alih-alih melihat halaman web Anda, Anda akan diarahkan ke suatu tempat yang aneh. Pertama-tama, periksa untuk melihat apakah catatan DNS Anda telah berubah, dan sekarang arahkan ke alamat IP yang berbeda.

 Jika catatan DNS Anda tampak baik-baik saja, kemungkinan besar ada sesuatu di halaman HTML Anda yang menyebabkan pengalihan itu. Coba nonaktifkan dukungan Javascript browser Anda, dan lihat lagi apakah situs web Anda mengarahkan Anda. Jika pengalihan terus berlanjut, maka itu adalah tanda bahwa area lain di situs web Anda kemungkinan besar telah dirusak (baik database, file .htaccess situs web, atau konfigurasi server web Anda).

3. Situs web Anda berisi iframe yang mencurigakan.

Iframe adalah dokumen HTML "tertanam" di dalam HTML lain, yang digunakan untuk menampilkan konten dari sumber lain, biasanya iklan. Iframe yang terlihat mudah dikenali, namun, sebagian besar sangat kecil (terkadang hanya membutuhkan beberapa piksel!) sehingga Anda dapat dengan mudah melewatkannya. Buka file HTML Anda di editor dan cari tag <iframe> yang mencoba menyambung ke URL yang tidak dikenal atau tampak mencurigakan. Beri komentar mereka dengan meletakkannya di dalam tag komentar HTML <!–. Anda tidak boleh berhenti di situ, karena mungkin jika Anda memiliki file HTML yang dirusak, itu berarti situs web Anda pasti disusupi dan mungkin ada tempat lain di mana situs web Anda dirusak.

4. Situs web Anda membuka pop-up saat dimuat.

Ini juga merupakan tanda yang mudah dikenali. Situs web Anda memuat jendela sembul yang jelas-jelas tidak pada tempatnya. Beberapa dari mereka, yang disebut pop-under, lebih berbahaya. Ini tidak terlihat saat Anda mengunjungi situs web Anda tetapi dimuat di latar belakang. Namun, jika Anda meminimalkan browser, Anda akan langsung melihatnya, biasanya menghabiskan sebagian besar layar Anda.

Host situs web Anda dengan Pressidium

GARANSI UANG KEMBALI 60 HARI

LIHAT RENCANA KAMI

5. File PHP kacau dan tampak aneh.

Menemukan file PHP yang tampaknya tidak dapat dipahami seperti contoh berikut selalu merupakan tanda peringatan yang pasti bahwa seseorang telah merusak situs web Anda:

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Istilah teknis untuk jenis file ini adalah "dikaburkan". Kebingungan adalah teknik umum yang digunakan oleh peretas untuk menyembunyikan sumber kode yang biasanya jahat atau membuatnya sangat sulit untuk dibaca dan dipahami fungsinya.

6. Pintu belakang, kulit web, akun admin

Webshell adalah program yang dapat digunakan oleh peretas untuk terhubung dari jarak jauh dan mendapatkan akses administratif penuh ke situs web Anda. Program-program ini memungkinkan akses web jarak jauh ke shell server Anda (karenanya disebut webshell) sehingga siapa pun yang terhubung dengannya dapat menjalankan perintah. Kemungkinannya adalah jika Anda menemukan file PHP yang dikaburkan di suatu tempat, itu adalah webshell.

Peretas juga dapat membuat akun dengan hak administratif untuk menggunakannya sebagai pintu belakang. Ini relatif mudah ditemukan karena terlihat di backend WordPress, atau di database Anda.

Alat untuk membantu Anda mengidentifikasi aktivitas mencurigakan

Ada beberapa alat yang dapat membantu Anda mengidentifikasi apakah situs web Anda telah dirusak. Jika Anda merasa telah disusupi atau terinfeksi, ada baiknya Anda memeriksa situs web Anda dengan menggunakan semuanya. Dengan begitu, Anda akan mendapatkan tampilan yang lebih bulat, karena tidak semua layanan ini memeriksa hal yang sama. Semua sumber daya di bawah ini gratis untuk digunakan dan Anda hanya perlu mengetikkan URL situs web Anda.

Secara khusus, jika Anda merasa terinfeksi dengan iframe, popup, pengalihan, dan binatang javascript berbahaya lainnya, situs web berikut akan segera memberi tahu Anda:

  1. SiteCheck Sucuri dan unmaskparasites . Ini akan memeriksa malware yang dikenal, apakah situs web Anda masuk daftar hitam dan banyak lagi.
  2. Laporan Transparansi Google . Ini akan menunjukkan kepada Anda apakah situs web Anda dianggap "berbahaya untuk dikunjungi" menurut Google.
  3. VirusTotal adalah layanan gratis yang dapat menganalisis URL dan file untuk melihat apakah mereka mengandung konten berbahaya.
  4. Pemindai Malware Situs Web Online Gratis oleh Risiko PC. Menelusuri situs Anda untuk "" kode berbahaya, iframe tersembunyi, eksploitasi kerentanan, file yang terinfeksi, dan aktivitas mencurigakan lainnya.
  5. Pemindai Malware Situs Web Gratis Quttera . Menelusuri situs Anda untuk "skrip mencurigakan, media berbahaya, dan ancaman keamanan web lainnya yang disembunyikan ke dalam konten yang sah dan terletak di situs web". Ini menghasilkan laporan keamanan, dengan setiap temuan dikategorikan menurut tingkat ancaman.

Ada juga beberapa plugin WordPress yang membantu Anda menjaga keamanan situs WordPress Anda. Pastikan juga untuk memeriksa panduan luar biasa ini untuk 7 Plugin keamanan WordPress terbaik oleh InfoSec.

Sangatlah penting untuk membersihkan situs Anda segera setelah Anda menemukan konten berbahaya dan menambal kerentanannya. Situs web yang disusupi berarti pemadaman atau perilaku abnormal yang dapat dan pada akhirnya akan memengaruhi mata pencaharian bisnis Anda!