Mengatasi Redirect Berbahaya di WordPress: Kasus wppanel.icu

/ Leave a Comment

Beberapa waktu lalu saya mengalami masalah cukup serius pada salah satu situs WordPress yang saya kelola di shared hosting. Setiap kali saya membuka halaman depan, tiba-tiba browser langsung diredirect ke domain mencurigakan https://www.wppanel.icu/.

Awalnya saya kira hanya error kecil di theme atau plugin, ternyata setelah saya telusuri, ini adalah serangan injeksi malware yang cukup rapi.

Menemukan Sumber Masalah

Langkah pertama yang saya lakukan adalah masuk ke database, tepatnya tabel wp_options. Di sana saya menemukan satu entry aneh:

48492
core_update_helper_url
https://www.wppanel.icu/
yes

Row ini jelas tidak seharusnya ada di WordPress standar. Saya langsung menghapusnya.

Kenapa berbahaya? Karena domain wppanel.icu ternyata berisi halaman palsu yang meniru update Chrome. Kalau sampai pengunjung mengklik dan mendownload, otomatis mereka akan mendapatkan file berbahaya (malware).

JavaScript Mencurigakan di Halaman Depan

Setelah menghapus row tersebut, saya cek lagi source code homepage. Masih ada script asing yang mencoba load resource dari domain lain.

Saya kembali ke wp_options dan menemukan setting lain:

148496
core_update_helper_csp_domains
https://abounour.com https://randsopskwn.site
yes

Saya hapus juga baris ini.

File Palsu di Folder Plugin

Masalahnya, setelah semua dihapus, redirect masih belum hilang. Saya kemudian melakukan pencarian string domain berbahaya (wppanel.icu, abounour.com, dll) ke seluruh file WordPress.

Ketemu file asing di:

wp-content/plugins/core-update-helper/core-update-helper.php

Uniknya, plugin ini tidak muncul di dashboard WordPress, artinya memang disembunyikan dari daftar plugin aktif. Saya langsung hapus folder tersebut.

Cache Menyimpan Script Jahat

Setelah beberapa kali hapus file dan cek ulang, script mencurigakan masih saja muncul. Ternyata masalahnya ada di plugin cache.

Karena cache masih menyimpan versi lama halaman yang sudah terinfeksi, script berbahaya tetap muncul. Setelah saya nonaktifkan plugin cache, akhirnya redirect benar-benar hilang.

Langkah Pencegahan

Dari pengalaman ini, ada beberapa hal penting yang bisa dijadikan pelajaran:

  1. Rajin cek tabel wp_options – kadang malware menanamkan URL berbahaya di sana.
  2. Periksa semua file plugin – jangan hanya percaya pada daftar plugin di dashboard, karena ada plugin hantu yang tidak muncul.
  3. Jangan lupa clear / disable cache – supaya perubahan benar-benar terlihat.
  4. Hapus plugin yang tidak terpakai – semakin sedikit plugin, semakin kecil permukaan serangan.
  5. Gunakan proteksi tambahan – misalnya Cloudflare dengan proxy aktif dan rules tambahan. Tapi ingat, Cloudflare + Imunify360 saja tidak cukup kalau kita tidak rajin cek manual.

Penutup

Serangan seperti ini semakin sering terjadi, terutama di WordPress yang populer digunakan. Jadi jangan sampai lengah. Jangan hanya mengandalkan firewall atau plugin keamanan. Sesekali cek manual database, source code, dan struktur file WordPress.

Ingat bro, keamanan itu bukan sekali setting lalu aman selamanya.

Spread the love

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.