WordPress adalah salah satu CMS terpopuler di dunia sekaligus paling sering dijadikan target utama serangan hacker, malware bahkan spammer. Bukan tidak aman, tapi alasannya karena WordPress berlisensi open source. Dengan kata lain, semua orang bebas memakai, melihat, memodifikasi atau mengembangkannya. Dan banyak juga orang-orang yang tau tentang kode-kode di dalam CMS WordPress.
Itulah alasannya mengapa sangat penting untuk mengambil tindakan mulai dari sekarang, dan memastikan website Anda tetap aman.
Kenapa Pemindaian Rutin Penting Dilakukan?
Jika Anda membaca semua panduan di blog ini, sebelumnya kita telah membahas bagaimana mengamankan WordPress dari hacker dan malware. Tapi yang masih jadi pertanyaan, bagaimana cara kerja seorang hacker dan Malware?
Sebenarnya tujuan dari sebagian besar hacker adalah untuk menginfeksi website Anda dengan malware. Ancaman malware ini secara umum meliputi :
- Phishing – Percobaan untuk memperoleh informasi sensitif seperti username, password. Alamat email atau kode tertentu.
- Pharma Hacks – Melakukan spam ke website Anda bisa lewat database atau file.
- Backdoors – Memungkinkan hacker untuk memperoleh hak akses ke website dengan cara menyisipkan file backdoor ke dalam file website Anda. Akses disini bisa berupa masuk ke akun FTP atau masuk admin WordPress.
- Database Injection – menyisipkan kode berbahaya didalam database untuk melakukan hal-hal yang mengancam keberlangsungan website.
- Malicious Redirection – Mengalihkan para pengunjung yang sedang mengunjungi website Anda menuju halaman website hacker kemudian menyesatkan pengunjung untuk melakukan tertentu. Bisa berupa download file yang terinfeksi malware. Dan masih banyak lagi.
Semakin lama Anda tidak menyadari website Anda terinfeksi, semakin lama juga mereka bisa menggunakan website Anda untuk hal-hal buruk seperti mengirim email spam dan menginfeksi pengunjung lainnya.
Bahkan website WordPress dengan segala settingan keamanan yang paling ampuh juga dapat terinfeksi tanpa kita ketahui. Itulah sebabnya sangat penting untuk melakukan pemindaian rutin dan mengetahui website Anda terdapat malware atau tidak.
Upaya untuk mengamankan website dari hacker dan malware sebenarnya adalah pencegahan sedangkan pada panduan kali ini, kami akan menjelaskan kepada Anda bagaimana cara mengetahui malware tersebut, apakah sudah menginfeksi website Anda atau belum.
Cara Mendeteksi Malware Pada Website WordPress
Berikut cara mengetahui malware pada situs berbasis CMS WordPress. Silahkan baca secara perlahan dan teliti ya!
1. Menggunakan Tool Online Scan Malware
Memakai tool Online Scanner adalah langkah awal yang terbaik untuk mengetahui website Anda sudah terdapat malware atau belum.
Tapi perlu Anda ingat, layanan ini hanya memindai website secara langsung saat dimuat apakah secara otomatis mengunduh file berbahaya atau tidak. Selain itu, tool ini juga dapat mengetahui apakah website Anda sudah terkena blacklist oleh beberapa search engine atau belum.
Beberapa tool yang direkomendasikan :
- Sucuri
- VirusTotal
Cara menggunakannya juga sangat mudah, Anda cukup memasukan url domain ke dalam form yang disediakan kemudian klik Scan dan tunggu beberapa saat sampai hasilnya dapat ditampilkan. sayangnya, karena tool ini hanya memindai secara langsung saat dimuat.
Tentu saja untuk pemindaian file tersembunyi seperti di dalam admin WordPress tidak dapat dilakukan. Tapi setidaknya ini bisa dijadikan pemeriksaan awal jika ada kecurigaan bahwa website Anda suda terinfeksi malware.
Baca Juga:
2. Memindai Dengan Bantuan Plugin
Pada direktori WordPress.org tersedia lebih dari 43.000 plugin yang bisa Anda gunakan. Dan kabar baiknya, disini juga tersedia banyak plugin keamanan untuk memindai website Anda dari malware.
Umumnya plugin seperti ini hanya melakukan scanning untuk mendeteksi kode dan malware berbahaya, tapi beberapa plugin juga memiliki kemampuan untuk membandingkan file core WordPress, theme dan plugin yang terinstall ke sumber aslinya.
Jadi, jika terdeteksi ada perbedaan isi kode setelah membandingkan file ke sumber asli maka hasilnya akan segera diberitahukan ke pemilik website. Fitur ini dapat dinikmati jika Anda memakai plugin WordFence yang sekaligus digunakan juga pada blog Nooblasto.com.
Dengan WordFence, Anda bisa mengetahui website Anda sudah terinfeksi malware atau belum dan mencegahnya terjadi. Lamanya proses scanning juga tergantung isi website Anda apakah mempunyai banyak file, plugin atau theme didalamnya. Yang tidak kalah penting, jangan lakukan scanning saat jam-jam website ramai visitor, apalagi untuk Anda yang memakai hosting dengan resource standar.
Sebenarnya proses scanning ini cukup banyak memakan resource hosting dan dapat memperlambat website saat sedang ramai dikunjungi. Tapi jika hosting yang Anda pakai memiliki resource besar, maka hal ini tidak perlu dipermasalahkan lagi. Dan ada satu hal lagi yang sangat penting, setelah melakukan scanning mungkin Anda akan menemui peringatan plugin atau tema seperti ini.
Anda tidak perlu panik, karena belum tentu peringatan tersebut adalah indikasi website Anda terkena serangan hacker dan malware dengan bukti ada file yang sudah dirubah. Ini terjadi karena saat developer theme atau plugin melakukan update, plugin dan theme yang terpasang di website Anda ikut melakukan perubahan juga.
Tapi jika plugin atau tema justru belum mendapatkan update tapi memperoleh peringatan seperti ini, maka Anda patut mencurigainya dan sesegera untuk mengecek file tersebut.
Memakai WordFence untuk melakukan scanning website sebenarnya sudah sangat cukup untuk mendeteksi malware. Tapi jika Anda butuh beberapa plugin pendukung lainnya, berikut ini adalah beberapa plugin scanning yang dapat digunakan :
- TAC (Theme Authenticity Checker) : Plugin scanning untuk memeriksa apakah didalam theme Anda terdapat kode berbahaya, link tersembunyi dan beberapa ancaman lainnya.
- Exploit Scanner : Memiliki kemampuan yang lebih baik dari TAC, yaitu dapat scanning database dan file WordPress yang dicurigai mengandung kode berbahaya atau malware.
Baca Juga: Plugin Keamanan WordPress Terbaik
3. Plugin Memantau Aktivitas dan Perubahan File
Sebenarnya plugin jenis ini tidak dapat mendeteksi sebuah website sudah terinfeksi malware atau belum. Tapi fitur yang disediakan sangat bermanfaat untuk memantau aktifitas website.
Plugin yang memiliki fitur tersebut adalah WP Security Audit Log, dengan menggunakannya Anda dapat memantau segala aktivitas di website bahkan sampai ke navigasi yang dilakukan pengguna seperti berpindah dari menu setting ke menu post.
Sekaligus perubahan yang terjadi di dalam dashboard admin WordPress dan didalam plugin atau theme. Semua ini juga dilakukan secara realtime dan dapat dikirimkan notifikasi via email setiap terjadi perubahan.
4. Menggunakan Jasa Keamanan WordPress Terpercaya
Beberapa langkah diatas dapat Anda lakukan sendiri untuk mendeteksi website yang sudah terinfeksi malware. Dan tips terakhir sekaligus paling ampuh mendeteksi malware adalah memaki jasa security website. Dengan menggunakan jasa semacam ini, Anda tidak perlu repot memanage dan secara rutin memantau keamanan karena hal tersebut akan dilakukan oleh para profesional di bidangnya.
Lantas, apakah menggunakan jasa security memang wajib dilakukan sebagai pilihan terbaik? Tentu saja ini tergantung kebutuhan Anda akan keamanan website dan seperti apa website yang Anda miliki. Jika hanya memiliki website sederhana seperti blog dengan traffic sekitar 20.000 pengunjung per hari maka mengatur serta memantau keamanannya bukan hal yang sulit dan Anda bisa mempelajarinya sendiri.
Tapi lain lagi ceritanya dengan traffic yang sangat tinggi lebih dari 500.000 pengunjung per hari, kami rasa memakai jasa keamanan adalah pilihan terbaik dibandingkan melakukannya sendiri. Alasannya supaya website Anda benar-benar aman dan bisa langsung terdeteksi jika ada aktivitas malware.
Untuk perusahaan yang menyediakan jasa seperi ini, kami merekomendasikan Sucuri.net sebagai pilihan terbaik. Selain menyediakan tool online untuk mendeteksi malware secara langsung seperti langkah diatas, Sucuri juga menyediakan jasa keamanan website yang berkualitas.
Tercatat banyak website-website terkenal memakai jasa keamanan mereka seperti WPBeginner.com, iThemes.com, StreetHunters.net dan masih banyak lagi.
Dari segi harga juga cukup terjangkau dibandingkan perusahaan lainnya, mulai dari $16.66 per bulan Anda sudah bisa tenang untuk urusan keamanan website. Selain itu, Sucuri juga secara otomatis akan menghapus file serta kode berbahaya yang terdapat di website Anda.
Baca Juga:
Kesimpulan
Melakukan pengecekan secara rutin untuk mengetahui website Anda terinfeksi malware atau tidak adalah hal mutlak yang perlu dilakukan.
Seiring berkembangnya website Anda, tentu berbagai macam ancaman juga dapat terjadi bahkan lebih serius. Maka dari itu, jangan pernah lupakan tahap ini untuk memastikan website Anda benar-benar aman dan bisa terus berkembang.
Dan kabar baiknya, cara mendeteksi website sudah terinfeksi malware juga sangat mudah dilakukan seperti langkah diatas. Khusus jasa keamanan, Anda dapat menggunakannya jika dirasa memang diperlukan untuk website Anda.