Panduan ini dibuat khusus untuk jenis peretasan yang menambahkan halaman nonsens dengan kata kunci ke situs Anda, yang akan kita sebut sebagai peretasan penyelubungan kata kunci dan link. Panduan ini dirancang untuk pengguna Sistem Pengelolaan Konten (CMS) populer, tetapi panduan ini berguna sekalipun Anda tidak menggunakan CMS.
Kami ingin memastikan panduan ini benar-benar bermanfaat bagi Anda. Berikan masukan untuk membantu kami meningkatkan kualitas.
Mengidentifikasi jenis peretasan ini
Peretasan kata kunci dan link terselubung secara otomatis membuat banyak halaman yang berisi teks, link, dan gambar yang tidak masuk akal. Halaman ini terkadang berisi elemen template dasar dari situs asli, sehingga secara sekilas, halaman mungkin terlihat seperti bagian normal situs hingga Anda membaca kontennya.
Halaman yang diretas dibuat untuk memanipulasi faktor peringkat Google. Peretas sering kali mencoba memonetisasi hal ini dengan menjual link di halaman yang diretas ke pihak ketiga yang berbeda. Sering kali halaman yang diretas juga akan mengalihkan pengunjung ke halaman yang tidak terkait tempat peretas dapat memperoleh uang.
Mulailah dengan memeriksa alat Masalah Keamanan di Search Console untuk melihat apakah Google telah menemukan halaman yang diretas ini di situs Anda. Terkadang, Anda juga dapat menemukan halaman seperti ini dengan membuka jendela Google Penelusuran dan mengetik site:_your site url_, dengan URL tingkat root situs Anda. Langkah ini akan menampilkan halaman situs Anda yang telah diindeks oleh Google, termasuk halaman yang diretas. Buka beberapa halaman hasil penelusuran untuk melihat apakah Anda menemukan URL yang tidak biasa. Jika Anda tidak melihat konten yang diretas di Google Penelusuran, gunakan istilah penelusuran yang sama dengan mesin telusur lain. Berikut
contohnya:
Biasanya, saat Anda mengklik link ke halaman yang diretas, Anda akan dialihkan ke situs lain, atau melihat halaman yang penuh dengan konten nonsens. Namun, Anda mungkin juga melihat pesan yang menunjukkan bahwa halaman tersebut tidak ada (misalnya, error 404). Jangan terkecoh! Peretas akan mencoba menipu Anda agar berpikir bahwa halaman tersebut telah hilang atau diperbaiki, padahal masih diretas. Mereka melakukan ini dengan cara penyelubungan konten. Periksa apakah peretas menggunakan penyelubungan dengan memasukkan URL situs Anda di Alat Inspeksi URL. Alat Ambil sebagai Google memungkinkan Anda melihat konten tersembunyi yang mendasarinya.
Jika Anda melihat masalah ini, kemungkinan besar situs Anda terpengaruh oleh jenis peretasan ini.
Perbaiki peretasan
Sebelum memulai, buat salinan offline dari setiap file sebelum menghapusnya, jika Anda perlu memulihkannya nanti. Lebih baik lagi, cadangkan seluruh situs Anda sebelum memulai proses pembersihan. Anda dapat melakukannya dengan menyimpan semua file yang ada di server ke lokasi di luar server atau mencari opsi cadangan terbaik untuk Sistem Pengelolaan Konten (CMS) yang Anda gunakan. Jika Anda menggunakan CMS, cadangkan juga basis data tersebut.
Periksa file .htaccess Anda (3 langkah)
Peretasan kata kunci dan link terselubung menggunakan file .htaccess Anda untuk secara otomatis
membuat halaman terselubung di situs Anda. Memahami dasar-dasar .htaccess di situs resmi Apache dapat membantu Anda lebih memahami pengaruh peretasan terhadap situs Anda, tetapi tidak wajib.
Langkah 1
Temukan file .htaccess di situs Anda. Jika Anda tidak tahu tempat menemukannya,
dan Anda menggunakan CMS seperti WordPress, Joomla, atau Drupal, telusuri
"lokasi file htaccess" di mesin telusur beserta nama CMS Anda.
Bergantung pada situs Anda, Anda mungkin melihat beberapa file .htaccess.
Buat daftar semua lokasi file .htaccess.
Langkah 2
Buka file .htaccess untuk melihat isi file. Cari baris kode yang terlihat seperti berikut:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
Variabel pada baris ini dapat berubah. cj2fa dan tobeornottobe dapat
berupa campuran huruf atau kata apa pun. Yang penting adalah mengidentifikasi .php
yang direferensikan dalam baris ini.
Tulis file .php yang disebutkan dalam file .htaccess. Dalam contoh tersebut,
file .php diberi nama injected_file.php, tetapi sebenarnya nama filenya tidak
akan jelas. Kumpulan ini biasanya berupa kumpulan kata-kata tidak berbahaya seperti
horsekeys.php atau potatolake.php secara acak. Sepertinya ini adalah file .php berbahaya yang
harus kita lacak dan hapus nanti.
Langkah 3
Ganti semua file .htaccess dengan versi file .htaccess bersih atau default. Anda biasanya dapat menemukan versi default file .htaccess dengan menelusuri "file .htaccess default" dan nama CMS Anda. Untuk situs dengan beberapa
file .htaccess, temukan versi bersih dari masing-masing file dan lakukan penggantian.
Jika .htaccess default tidak ada dan Anda belum pernah mengonfigurasi file .htaccess di situs, file .htaccess yang Anda temukan di situs mungkin berbahaya.
Simpan salinan file .htaccess secara offline untuk berjaga-jaga dan file tersebut
dari situs Anda.
Menemukan dan menghapus file berbahaya lainnya (5 langkah)
Mengidentifikasi file berbahaya bisa jadi rumit dan menghabiskan banyak waktu. Luangkan waktu Anda saat memeriksa file Anda. Jika belum melakukannya, inilah saat yang tepat untuk mencadangkan file di situs Anda. Lakukan penelusuran Google untuk "mencadangkan situs" dan nama CMS untuk menemukan petunjuk tentang cara mencadangkan situs.
Langkah 1
Jika Anda menggunakan CMS, instal ulang semua file inti (default) yang ada dalam distribusi default CMS, serta semua yang mungkin telah Anda tambahkan (seperti tema, modul, plugin). Tindakan ini membantu memastikan bahwa file tersebut bebas dari konten yang diretas. Anda dapat menelusuri "instal ulang" dan nama CMS Anda di Google untuk menemukan petunjuk penginstalan ulang. Jika Anda memiliki plugin, modul, ekstensi, atau tema, pastikan juga untuk menginstal ulang semuanya.
Langkah 2
Mulailah dengan mencari file .php yang Anda identifikasi dalam file .htaccess sebelumnya. Bergantung pada cara Anda mengakses file di server, Anda
akan memiliki beberapa jenis fungsi penelusuran. Cari nama file
yang berbahaya. Jika Anda menemukannya, pertama-tama buat salinan cadangan dan simpan di
lokasi lain untuk berjaga-jaga jika Anda perlu mengembalikannya, lalu hapus dari situs.
Langkah 3
Cari file berbahaya atau file yang telah disusupi. Anda mungkin telah menghapus semua file berbahaya dalam dua langkah sebelumnya, tetapi sebaiknya ikuti beberapa langkah berikut jika ada lebih banyak file yang disusupi di situs Anda.
Jangan merasa kewalahan dengan berpikir bahwa Anda harus membuka dan memeriksa setiap file PHP. Mulailah dengan membuat daftar file PHP mencurigakan yang ingin Anda selidiki. Berikut adalah beberapa cara untuk mengetahui file PHP mana yang mencurigakan:
- Jika Anda telah memuat ulang file CMS, lihat hanya file yang bukan bagian dari file atau folder CMS default Anda. Cara ini akan menyingkirkan banyak file PHP, dan menyisakan beberapa file saja.
- Urutkan file di situs Anda berdasarkan tanggal perubahan terakhir. Cari file yang diubah dalam beberapa bulan sejak Anda pertama kali mengetahui bahwa situs Anda diretas.
- Urutkan file di situs Anda berdasarkan ukurannya. Cari file yang terlampau besar.
Langkah 4
Setelah Anda memiliki daftar file PHP yang mencurigakan, periksa apakah file tersebut berbahaya. Jika Anda tidak terbiasa dengan PHP, proses ini dapat menghabiskan waktu lama, jadi pertimbangkan untuk mempelajari kembali beberapa dokumentasi PHP. Jika Anda baru mengenal coding, sebaiknya dapatkan bantuan. Sementara itu, ada beberapa pola dasar yang dapat Anda cari untuk mengidentifikasi file berbahaya.
Jika Anda menggunakan CMS, dan tidak terbiasa mengedit file tersebut secara langsung, bandingkan file di server Anda dengan daftar file default yang dikemas dengan CMS serta plugin dan tema apa pun. Cari file yang tidak seharusnya, serta file yang lebih besar dari versi defaultnya.
Pertama, pindai file mencurigakan yang telah Anda identifikasi untuk mencari
blok teks yang besar dengan kombinasi huruf dan
angka yang tampak campur aduk. Blok teks besar biasanya didahului dengan kombinasi fungsi PHP seperti base64_decode, rot13, eval, strrev, atau gzinflate.
Berikut adalah contoh tampilan blok kode tersebut. Terkadang semua kode ini akan dimasukkan ke dalam satu baris teks yang panjang, sehingga terlihat lebih kecil daripada yang sebenarnya.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Terkadang kodenya tidak campur aduk dan hanya terlihat seperti skrip normal. Jika Anda tidak yakin apakah kode tersebut buruk atau tidak, kunjungi Forum Bantuan Webmaster kami tempat sekelompok webmaster berpengalaman dapat membantu Anda memeriksa file tersebut.
Langkah 5
Setelah mengetahui file yang mencurigakan, buat cadangan atau salinan lokal dengan menyimpannya di komputer untuk berjaga-jaga jika ada file yang tidak berbahaya, dan hapus file yang mencurigakan dari situs.
Periksa apakah situs Anda bersih
Setelah selesai menyingkirkan file yang diretas, periksa apakah kerja keras Anda terbayar. Ingat laman nonsens yang Anda identifikasi sebelumnya? Gunakan lagi alat Fetch as Google untuk melihat apakah file tersebut masih ada. Jika Fetch as Google merespons, kemungkinan situs Anda telah berfungsi cukup baik dan dapat melanjutkan untuk memperbaiki kerentanan di situs Anda.
Bagaimana supaya saya tidak diretas lagi?
Memperbaiki kerentanan di situs Anda merupakan langkah penting terakhir untuk memperbaiki situs. Sebuah studi baru-baru ini menemukan bahwa 20% situs yang diretas akan diretas lagi dalam satu hari. Mengetahui secara persis bagaimana situs Anda diretas akan sangat membantu. Baca panduan metode yang paling sering digunakan pengirim spam untuk meretas situs untuk memulai penyelidikan. Namun, jika tidak dapat mengetahui bagaimana situs Anda diretas, berikut adalah checklist tentang hal-hal yang dapat dilakukan untuk mengurangi kerentanan di situs Anda:
- Memindai komputer secara rutin: Gunakan pemindai virus populer untuk memeriksa virus atau kerentanan.
- Mengubah sandi secara rutin: Mengubah sandi secara rutin untuk semua akun situs seperti penyedia hosting, FTP, dan CMS dapat mencegah akses tidak sah ke situs Anda. Penting untuk membuat {i>password<i} yang kuat dan unik untuk setiap akun.
- Gunakan Autentikasi Dua Faktor (2FA): Pertimbangkan untuk mengaktifkan 2FA pada layanan apa pun yang mengharuskan Anda untuk login. 2FA menyulitkan peretas untuk login meskipun mereka berhasil mencuri sandi Anda.
- Mengupdate CMS, plugin, ekstensi, dan modul secara rutin: Semoga Anda telah melakukan langkah ini. Banyak situs diretas karena menjalankan perangkat lunak usang. Beberapa CMS mendukung update otomatis.
- Mempertimbangkan berlangganan layanan keamanan untuk memantau situs: Ada banyak layanan hebat di luar sana yang dapat membantu Anda memantau situs dengan biaya yang kecil. Pertimbangkan untuk mendaftar agar situs Anda tetap aman.
Referensi lainnya
Jika Anda masih mengalami masalah dalam memperbaiki situs, ada beberapa referensi lain yang dapat membantu Anda.
Program berikut ini memindai situs Anda dan mungkin dapat menemukan konten yang bermasalah. Selain VirusTotal, Google tidak menjalankan atau mendukung program lainnya.
Ini hanyalah beberapa alat yang mungkin dapat memindai situs Anda untuk menemukan konten bermasalah. Perlu diingat bahwa pemindai ini tidak dapat menjamin bahwa mereka akan mengidentifikasi setiap jenis konten yang bermasalah.
Berikut adalah resource tambahan dari Google yang dapat membantu Anda: