Horeee … Blog Saya Di-Hack!
blog saya di-HACK!
GEJALA
INDENTIFIKASI
PEMULIHAN
Ketika sebulan lalu trafik blog saya down dan sering tidak bisa diakses, saya hanya menyangka bahwa itu gara-gara diaktifkannya algoritma Google Caffeine yang memang memengaruhi trafik web di seluruh dunia. Saya bahkan tidak terpikir untuk mengecek di Google Search Console (GSC), itu kesalahan pertama. Kesalahan kedua, saya mematikan Jetpack dan tidak menggunakan perlindungan jenis apa pun. Akibatnya, ribuan komen SPAM menumpuk. Every single fucking day.
Saat itu saya belum tahu bahwa blog saya diretas.
Tanggal 25 November 2017, saya memutuskan untuk pindah server dari Singapura ke Indonesia. Ini penting saya ceritakan untuk mengidentifikasi sumber masalahnya dan kapan peretasan terjadi. Setelah pindah server itu, saya menginstal ulang WordPress (yang otomatis menghapus semua plugin), menganti theme, dan mengunggah konten dari awal.
Saya baru sadar bahwa blog saya diretas setelah ngecek GSC lalu menemukan banyak sekali page not found , server error, dan URL dengan domain blog saya tapi judulnya asing seperti dalam gambar di bawah ini. Page not found wajar untuk blog yang baru diinstal ulang karena ada beberapa permalink yang berubah, tapi tidak wajar jika URL nof found berisi URL yang tidak saya tulis. Harap diingat bahwa Crawl Errors di GSC berasal dari internal link, bukan internal dan eksternal link seperti di Broken Link Checker. Seseorang telah menginjeksikan URL-URL ini ke dalam blog saya.
GEJALA BLOG ANDA DIRETAS
Ketika mendengar kata "diretas", atau "di-hack", pertanyaan pertama yang sering terlintas di benak orang-orang adalah, "Siapa?" atau "Mengapa?". Mungkin Anda berpikir bahwa blog Anda sengaja diretas oleh musuh-musuh politik atau mantan yang sakit hati. Tapi, peretasan tidak selalu bermotif personal. Web berbasis CMS (WordPress, Drupal, Joomla, dll.) memang lebih rentan diretas jika dibandingkan dengan platform lainnya. Peretasnya pun tidak selalu manusia langsung, tapi bot. Setiap harinya, ribuan situs web diretas. Kita hanya bagian dari statistik. Do not take it too personally.
Memang apa sih bahayanya kalau blog kita diretas? Well, dari mulai di-blacklist oleh semua search engine sampai tidak bisa diakses dan dijadikan botnet (komputer zombie). Dalam beberapa kasus, bisa menginfeksi device, data-data Anda dicuri atau hilang sama sekali.
GEJALA UMUMTergantung jenis peretasan dan metode yang digunakan oleh cracker (peretas jahat), gejalanya bisa berbeda-beda. Ini yang paling umum:
Blog jadi lambat.Sering terjadi gagal move on loading, server error, atau tidak bisa diakses yang gejalanya mirip dengan gangguan internet.Meningkatnya jumlah Crawl Errors di GSC, berasal dari URL blog biasa atau URL asing seperti dalam contoh yang saya berikan di atas.Menurunnya trafik untuk query atau keyword yang biasanya mengantarkan trafik paling banyak ke blog Anda. Sebaliknya, trafik meningkat yang berasal dari query atau keyword aneh. Lihat di Google Analytics dan GSC, jangan lihat PV di dasboard blog. Google Search Console >> Dashboard >> Search Traffic >> Search Analytics.Terdapat backlink dari situs yang mencurigakan. Untuk mengecek baclink, jangan gunakan Moz karena tidak akan terdeteksi, tetap gunakan GSC. Google Search Console >> Dashboard >> Search Traffic >> Links to Your Site.Untuk kasus yang parah, Anda akan mendapatkan "surat cinta" dari Google yang mengabarkan bahwa blog Anda terinfeksi malware. Lebih seringnya sih Anda tidak akan mendapatkan peringatan apa-apa, tapi Google diam-diam menurunkan peringkat blog Anda dari SERPs. Mirip-mirip ama pacar yang enggak ngasih tahu kesalahan kita apa, tahu-tahu selingkuh aja.Terjadi penambahan atau modifikasi file di cPanel yang bukan dilakukan oleh Anda atau hosting provider. Coba cek di search engine dengan metode >> site:namablog.com. Contoh: site:langitamaravati.com. Kalau masih ada, kita masih punya kesempatan untuk memperbaiki hubungan ini (eh, gimana?), kalau hilang sama sekali, berhenti baca blog post ini lalu segera cari bantuan ahli. Lihat sampai ke halaman paling ujung, perhatikan judul, URL, dan snippet (deskripsi). Kalau ada judul post/page yang bukan ditulis oleh Anda, blog Anda positif diretas.
URL NORMAL
URL INJECTION
IDENTIFIKASI
JENIS PERETASAN
Oke, setelah memerhatikan gejala dan investigasi awal, blog saya positif diretas, terus gimana? Berikutnya adalah mengidentifikasi jenis peretasannya agar tidak salah diagnosis. Kenapa ini penting? Karena seperti kata Maile Ohye, Developer Programs Tech Lead-nya Google, mengetahui jenis dan metode peretasan akan sangat berguna untuk menentukan langkah-langkah pemulihan.
Berikut saya cantumkan tautan dari Google sebagai bahan referensi Anda:
Identifying and Diagnosing Injected Gibberish URL HackingWebmaster's Guide for Hacked SiteApakah dengan membaca dua tautan itu saja cukup untuk mengambil diagnosis? Terus terang, enggak. Saya membaca banyak sekali artikel dan ngulik sendiri karena menurut saya ini seru. Hitung-hitung sambil belajar.
Oh iya, sebelum kita melangkah lebih jauh, Google mengkategorikan peretasan ke dalam dua tingkatan infeksi: malware dan spam. Keduanya sama-sama berbahaya. Biasanya sama-sama menggunakan malware jenis rootkit/exploit yang dioperasikan oleh bot. Yang berbeda hanya stadiumnya.
Dengan panduan gejala yang saya jelaskan di subbab sebelumnya, ini yang saya lakukan untuk memastikan jenis peretasan:
1. Google search console (GSC) - Security Issues
GSC >> Dashboard >> Security Issues
Ini untuk mengecek apakah saya mendapatkan surat cinta atau tidak, ternyata tidak ada peringatan apa-apa dari Google. Blog saya dinyatakan aman. Iya, aman, sih, tapi ranking dan trafik terjun bebas. Apakah blog saya memang sudah aman dan bebas dari jeratan? Ya, enggak, orang gejalanya makin parah, kok. Nah, beda halnya bila mendapat surat cinta. Kalau Anda mendapatkan surat cinta seperti di bawah ini, segera cari bantuan.
Diagnosis #1:
Kategori: spam (at least bukan malware)
2. SCAN - Sucuri, Quretta, WordFence
Karena alarm Google tidak menyala, saya mencari second opinion dari pihak lain: scanning memakai 3 plugin secara bergantian. Sucuri, Quretta, dan WordFence. Sucuri dan Quretta memberikan hasil negatif. WordFence, meskipun hasil scanning-nya tidak bisa diandalkan, tapi karena ada fitur live traffic jadi cukup peka untuk mendeteksi berbabagi IP address yang berusaha mengakses login dan terus-menerus mengunjungi laman-laman URL injection. FYI, googlebot dan crawler resmi lainnya tidak pernah berusaha mengakes login karena sudah diblok oleh robot.txt dan mereka patuh terhadap itu, sedangkan bot-bot para cracker tidak. Mereka gigih sekali mencari backdoor agar bisa menancapkan taring-taringnya yang tajam. Eh, sori, saya lupa kalau lagi menulis genre tekno, bukan cerpen. 
