Membersihkan Website WordPress yang Terinfeksi Pharma Hack

Jadi ini berawal dari seseorang yang menjadi client saya yang tiba-tiba menghubungi via WhatsApp dan mengatakan bahwa websitenya ada keanehan. Berdasarkan keterangan darinya, websitenya seringkali error tidak jelas dan kembali ke seperti semula lagi ketika mereka sudah melakukan perubahan.



Setelah diberikan alamat website yang dicurigai sedang tidak baik-baik saja, saya periksa ternyata website tersebut menggunakan WordPress. Pertama kali yang terpikirkan oleh saya adalah : Mereka menggunakan nulled theme atau nulled plugin.

Salah satu keanehan yang saya temui adalah ketika dicari di Google, maka hasil pencarian tersebut akan seperti ini :

Ketika dicari di Google menggunakan keyword diatas atau yang berhubungan dengan website tersebut, title dan description yang ditampilkan tidak sesuai dengan website yang menjadi korban. Setelah itu saya memeriksa website tersebut dan benar bahwa title dan description website tersebut tidak berubah dan tidak seperti yang ditampilkan di Google.



Setelah itu saya baru tau bahwa serangan seperti ini dikenal sebagai Pharma Hack. Website yang terinfeksi akan menampilkan title dan description yang berhubungan dengan obat pembesar kemaluan dan obat-obatan terlarang lainnya. Ini juga merupakan strategi SEO, lebih spesifik ke Blackhat SEO.

Memeriksa file yang terinfeksi

Entah kenapa saya masih sangat yakin bahwa penyebab website tersebut terinfeksi Pharma Hack karena menggunakan nulled theme atau nulled plugin. Karena malas menghabiskan banyak waktu, saya langsung memulai melakukan pencarian file yang terinfeksi atau bahkan mungkin ada backdoor yang bersembunyi.

Setelah login ke server, saya mulai melakukan pencarian.

Pencarian pertama :

Hasil pertama tidak membuahkan. Setelah itu saya ingin spesifik mencari menggunakan kata kunci “viagra”.

Pencarian kedua :

Walaupun hasil pencarian kedua tersebut memunculkan penemuan di direktori backup files, saya langsung memeriksa direktori production langsung.




Direktori yang saya periksa adalah sebagai berikut :

Hasilnya benar saja, pada line 1 – 123 berisi kode jahat. Berikut untuk kodenya :

Setelah temuan ini, saya mencoba mencari menggunakan kata kunci yang lebih spesifik untuk menemukan file jahat yang lain.



Proses Pembersihan

Saya lebih menyarankan untuk melakukan proses pencarian dan pembersihan secara manual dibandingkan harus menggunakan plugin dari pihak ketiga. Karena hasilnya tidak akan akurat.

Untuk proses pembersihan, saya menghapus kode jahat yang menginfeksi file-file wordpress di website tersebut. Setelah yakin pembersihan total sudah dilakukan, proses selanjutnya adalah kita harus mengakses Google Webmaster. Kita harus request index untuk mengembalikan hasil pencarian Google dan menghilangkan kata-kata viagra tersebut.

Hasilnya seperti berikut :

Walaupun gambar diatas disensor semua, tapi yang cuma bisa saya katakan, hasil pencarian dari Google sudah menampilkan title dan description yang sesuai dengan website tersebut.



Ini adalah salah satu cara yang bisa dilakukan jika website kita terinfeksi oleh kata-kata yang mengandung viagra dan lain-lain.

Sekian dari saya, semoga bermanfaat.

Salam,
Teguh Aprianto

Leave a Reply

Your email address will not be published. Required fields are marked *

Daftar Newsletters

Dapatkan update terbaru dari Bukan Coder

You May Also Like

Menemukan IP dibalik Cloudflare dan Bypass WAF by CloudFlare

Beberapa bulan yang lalu saya dihubungi oleh salah satu manager bank BUMN…