Cara Memperbaiki Website WordPress yang Kena Hack

Tidak ada website yang benar-benar aman dari ancaman online, termasuk serangan hacker. Parahnya lagi, kejahatan cyber ini bisa mengakibatkan dampak yang serius. Misalnya saja, website toko online yang diretas bisa berujung pada pencurian data penting milik pelanggan.

Di WordPress, website yang diretas biasanya menunjukkan tanda-tanda tertentu. Dengan memahami indikasi ini, Anda bisa segera mengatasi ancaman dan memulihkan website Anda sebelum timbul masalah lebih lanjut.

Nah, di tutorial WordPress ini, kami akan menjelaskan cara memperbaiki WordPress yang kena hack serta membantu Anda mengidentifikasi ciri-cirinya. Kami juga akan membagikan tips pencegahan agar website Anda terlindung dari para hacker.

Tanda-Tanda Website WordPress Kena Hack

Di bagian ini, kami akan menjelaskan ciri-ciri umum yang menandakan bahwa website WordPress Anda telah diretas oleh hacker.

Tidak Bisa Login ke Dashboard WordPress

Apabila Anda tidak bisa login ke dashboard WordPress meskipun sudah menggunakan kredensial yang benar, website Anda mungkin kena hack.

Hal ini bisa terjadi kalau hacker berhasil mengambil alih akun administrator dan mengubah kredensial login website. Akibatnya, pemilik website tidak bisa mengakses dashboard WordPress untuk mencabut akses dari akun yang tidak sah tersebut.

Pengalihan yang Tidak Diketahui

Ciri-ciri website yang kena hack berikutnya adalah website dialihkan ke halaman lain yang tidak dikenal. Biasanya, penjahat melakukan pengalihan atau redirect ini untuk mengarahkan pengunjung ke website phishing atau website yang dipenuhi virus dan malware untuk melancarkan serangan lebih lanjut.

Pengalihan juga bisa mengarahkan traffic ke website spam untuk mendapatkan keuntungan atau mengganggu peringkat SEO website. Jenis serangan seperti ini banyak dilakukan untuk sekadar menimbulkan kekacauan dan kerusakan di internet.

Perubahan dalam Konten Website

Konten website yang dimodifikasi juga merupakan tanda-tanda website WordPress telah diretas. Sebagai contoh, penyerang mungkin menempatkan link untuk mengarahkan pengunjung ke halaman berbahaya.

Tidak seperti pengalihan yang bisa langsung terlihat, metode ini biasanya cukup mengecoh. Namun, beberapa penjahat cyber terkadang sengaja mengubah seluruh konten website untuk merusaknya atau mengirimkan pesan terkait serangan yang mereka lakukan.

Penurunan Traffic Mendadak

Website WordPress Anda mungkin kehilangan traffic saat kena hack karena redirect yang mengalihkannya ke website lain. Modifikasi konten juga bisa menyebabkan masalah ini karena merusak SEO website.

Selain itu, Google akan mengecualikan website Anda dari hasil pencarian kalau sudah terinfeksi virus atau dimanfaatkan oleh hacker untuk melakukan aktivitas jahat. Akibatnya, traffic organik website pun menurun drastis.

Akun Pengguna Asing dengan Hak Administrator

Selain mengeksploitasi akun pengguna yang sudah ada, hacker yang berhasil membobol website WordPress bisa membuat akun baru dengan hak akses administrator. Mereka kemudian menggunakan akun ini untuk memanipulasi halaman website dari back-end.

Untuk mengetahui apakah ada akun pengguna asing yang berpotensi berbahaya di website WordPress Anda, periksa semua akun dan izinnya secara rutin melalui dashboard admin.

Peringatan di Browser dan SERP

Apabila website Anda diretas, Google akan menampilkan peringatan “This site may be hacked” di halaman hasil mesin pencari (SERP).

Selain itu, Google Chrome akan menampilkan layar “Deceptive site ahead” kalau keamanan website Anda terganggu. Apabila pesan ini muncul saat Anda mengakses website, cek statusnya menggunakan tool Google Safe Browsing.

11 Cara Memperbaiki Website WordPress yang Kena Hack

Setelah benar-benar memastikan bahwa website Anda terkena hack, ikuti 11 cara berikut ini untuk memperbaikinya. Langkah-langkah yang kami jelaskan juga mencakup solusi yang bisa dicoba kalau Anda tidak bisa mengakses dashboard admin WordPress.

1. Aktifkan Mode Maintenance WordPress

Apabila Anda masih bisa mengakses dashboard admin, segera aktifkan mode maintenance WordPress. Dengan mode ini, pengunjung jadi tidak bisa membuka website WordPress Anda yang kena hack sehingga bisa menghindari dampak yang lebih parah.

Kalau tidak bisa login ke dashboard, Anda bisa mencoba memodifikasi file functions.php atau .htaccess. Untuk membaca panduan selengkapnya, silakan kunjungi artikel kami yang membahas lebih lanjut tentang mode maintenance WordPress.

Bagi Anda yang sudah menjadi klien Hostinger, aktifkan mode maintenance dengan mudah melalui hPanel. Login ke hPanel Anda lalu buka WordPress → Ringkasan, kemudian aktifkan opsi Mode maintenance.

2. Atur Ulang Kata Sandi WordPress

Apabila hacker bisa melakukan perubahan pada website Anda, artinya kredensial login Anda berhasil dibobol. Untuk mencegah serangan lanjutan, atur ulang kata sandi admin WordPress, database, dan akun hosting Anda.

Kalau bisa login ke dashboard, reset kata sandi melalui panel admin WordPress Anda. Apabila tidak, gunakan formulir Kehilangan Kata Sandi untuk memulihkan akun. Untuk mengaksesnya, tambahkan /wp-login.php?action=lostpassword setelah nama domain Anda di kolom alamat browser. Misalnya, www.domainanda.tld/wp-login.php?action=lostpassword.

User Hostinger bisa mengakses dashboard admin untuk mengganti kata sandi WordPress tanpa harus login. Untuk melakukannya, buka hPanel → Website → Panel Admin.

Selain kata sandi admin WordPress, sebaiknya Anda juga mengganti semua kredensial pengguna yang ada. Hal ini akan mencegah serangan lanjutan karena hacker juga bisa mencuri informasi akun lainnya.

3. Update WordPress

Mengupdate instalan WordPress yang sudah lama tidak diperbarui bisa membantu mengatasi website yang kena hack. Hal ini juga meningkatkan keamanan website setelah serangan awal dan mencegah hacker mengeksploitasi kerentanan CMS ini untuk membatalkan langkah perbaikan Anda.

Ada beberapa metode yang bisa Anda lakukan untuk mengupdate WordPress. Simak panduannya di artikel kami lainnya tentang cara update WordPress.

Selain itu, pastikan Anda selalu menerapkan patch terbaru pada tema dan plugin WordPress karena beberapa hacker juga bisa mengeksploitasinya untuk membobol website.

4. Nonaktifkan Plugin dan Tema

Karena tema dan plugin juga bisa menimbulkan celah keamanan, minimalkan kemungkinan serangan dan tingkatkan keamanan WordPress Anda dengan menghapus beberapa tema dan plugin.

Pertama, nonaktifkan semua plugin dan tema. Kemudian, aktifkan kembali satu per satu untuk menemukan plugin atau tema yang bermasalah. Setelah itu, hapus secara permanen untuk memastikan website Anda bersih dari malware.

Untuk menonaktifkan plugin, buka dashboard WordPress lalu Plugins → Installed Plugins (Plugin Terpasang). Klik opsi Deactivate (Non-aktifkan) di bawah nama plugin.

Untuk menonaktifkan beberapa plugin sekaligus, centang kotak di samping setiap plugin dan pilih Deactivate dari menu drop-down. Untuk menghapusnya, pilih Delete (Hapus) pada plugin yang dinonaktifkan.

Untuk tema, buka Appearance (Tampilan) → Themes (Tema). Arahkan kursor pada tema, lalu klik Details (Rincian Tema) → Delete. Tema tidak bisa dinonaktifkan sekaligus, jadi Anda harus melakukannya satu per satu.

Atau, Anda bisa menghapus tema WordPress dari hPanel melalui WordPress → Keamanan. Untuk plugin, terdapat fitur pemindai kerentanan di hPanel yang akan memberi tahu Anda kalau ada plugin mencurigakan yang bisa Anda nonaktifkan atau update.

5. Instal Ulang WordPress

Kalau hacker berhasil memodifikasi atau menginfeksi file inti WordPress Anda dengan malware, satu-satunya solusi yang bisa dilakukan adalah mengatur ulang semua konfigurasi WordPress dengan menginstal ulang CMS ini.

Ada beberapa cara untuk menginstal ulang WordPress. Apabila Anda bisa mengakses dashboard admin, buka Updates (Pembaruan) → Reinstall (Instal Ulang) dari sidebar. Sebelum melakukan langkah ini, pastikan Anda sudah membackup konten website Anda.

Di Hostinger, Anda bisa menginstal ulang WordPress melalui hPanel dengan Instalasi Otomatis di menu pengelolaan website. Cara ini sangat berguna kalau Anda sudah tidak bisa mengakses dashboard WordPress yang kena hack.

Bagi user tingkat lanjut yang lebih menyukai metode teknis, gunakan fitur WP-CLI untuk mengonfigurasi ulang WordPress menggunakan perintah.

Setelah menginstal ulang dan membersihkan virus atau malware, upload ulang data website. Kalau menggunakan Hostinger, Anda bisa melakukannya melalui File Manager hPanel. Atau, gunakan FTP client seperti FileZilla.

Opsi lainnya, hapus instalan WordPress yang tidak terpakai karena bisa memicu masalah keamanan. Untuk melakukannya, hapus data tersebut di dalam folder public_html.

Peringatan! Apabila tidak yakin file sistem WordPress mana yang harus dihapus, Anda tidak perlu melakukannya karena kalau salah menghapus file, website Anda bisa rusak.

6. Hapus Pengguna Admin WordPress Baru

Hacker mungkin membuat akun admin WordPress baru di website Anda untuk mengubah konfigurasinya dari dalam. Jadi, Anda bisa menghapus atau mengubah izin pengguna yang tidak dikenal untuk mengurangi risiko ancaman.

Untuk memeriksa semua pengguna website dan hak istimewanya, buka Users (Pengguna) → All Users (Semua Pengguna) di dashboard WordPress. Arahkan kursor ke akun yang memiliki peran Administrator, lalu klik Delete untuk menghapusnya.

Atau, klik Edit (Sunting) untuk mengelola peran pengguna WordPress. Pada bagian Role (Peranan), ubah perannya ke opsi lain untuk mencabut hak istimewa admin dari profil pengguna.

Kalau ternyata ada beberapa akun pengguna yang mencurigakan, hapus akun-akun tersebut secara massal. Centang kotak di samping nama mereka lalu pilih Delete dari menu drop-down Bulk actions (Tindakan massal).

Anda juga bisa mencabut hak istimewa pengguna secara bersamaan dengan memilih peran baru di menu Change role to… (Ubah peran menjadi…).

Namun, konfirmasikan dulu dengan administrator lain website WordPress Anda sebelum menghapus akun mereka karena langkah ini tidak bisa dibatalkan.

7. Temukan dan Identifikasi Malware

Pendeteksi Malware Hostinger akan secara otomatis mengidentifikasi virus dan menghapusnya dari website Anda. Fitur ini juga menyediakan informasi keamanan untuk mempermudah pengecekan website rutin.

Atau, Anda bisa menggunakan plugin untuk menghapus malware dari website WordPress yang kena hack, seperti Jetpack Protect. Setelah menginstal plugin, buka Jetpack → Protect → Scan. Apabila ancaman ditemukan, Anda bisa mengklik tombol Remove threat untuk menghapusnya.

Selain itu, ada juga cara yang lebih teknis untuk menghapus malware secara manual di WordPress, seperti memeriksa file database MySQL atau menggunakan coding. Namun, berhati-hatilah saat menggunakan metode ini karena kesalahan konfigurasi yang tidak disengaja bisa merusak website Anda.

8. Nonaktifkan Eksekusi PHP

Hacker bisa membuka celah di website WordPress Anda dengan menyuntikkan file berbahaya ke dalam folder Uploads. Anda bisa menonaktifkan eksekusi PHP agar file berbahaya ini tidak bisa dijalankan. Berikut langkah-langkahnya:

1. Buka hPanel → Website lalu pilih Dashboard pada website yang dimaksud.
2. Klik File Manager untuk mengakses konten website.

3. Buka folder wp-content/uploads/.
4. Klik ikon File baru di sidebar.
5. Beri nama .htaccess pada file tersebut, lalu masukkan kode berikut:

<Files *.php>
deny from all 
</Files>

6. Klik ikon disk di bagian kanan atas untuk menyimpan file.

Namun, perusahaan web hosting lain mungkin tidak menyediakan fitur file manager. Dalam hal ini, Anda bisa membuat file .htaccess baru di komputer lalu menguploadnya ke direktori root WordPress menggunakan FileZilla.

Pastikan lagi apakah file sudah memiliki izin akses yang benar. Cukup klik kanan item tersebut, lalu pilih Akses. Nilai yang benar adalah 644 untuk file, dan 744 untuk folder.

9. Bersihkan Database WordPress

Hacker bisa memperoleh akses ke website WordPress Anda melalui SQL injection. Untuk mencegah ancaman ini, hapus entri database yang mencurigakan dan tidak diperlukan.

Anda bisa membersihkan dan mengoptimalkan database WordPress secara manual, tapi prosesnya mungkin akan cukup rumit. Selain itu, cara ini juga berisiko merusak seluruh fungsi website kalau Anda salah menghapus entri database.

Tenang, masih ada solusi yang mudah dan aman untuk proses ini, yaitu menggunakan plugin WordPress seperti WP-Optimize. Setelah menginstal dan mengaktifkan plugin tersebut, ikuti langkah-langkah berikut:

1. Di sidebar WordPress Anda, buka WP-Optimize → Database.
2. Pilih opsi pengoptimalan yang ingin Anda jalankan.
3. Klik Run all selected optimizations untuk memulai proses pembersihan.

Jangan lupa, backup website Anda lebih dulu untuk berjaga-jaga seandainya plugin database WordPress ini tidak sengaja menghapus entri yang salah.

10. Bersihkan Sitemap WordPress

Sitemap adalah file yang berisi data tentang konten dan struktur halaman website Anda. File ini membantu mesin pencari untuk menemukan website, melakukan crawling pada halamannya, dan mengindeksnya di SERP.

Hacker mungkin menyerang sitemap untuk menemukan celah yang kurang aman di website Anda. Kalau sitemap berhasil disusupi, mesin pencari pun tidak bisa mengindeks website Anda, yang akhirnya menyebabkan hilangnya traffic.

Apabila website Anda di-hack atau terinfeksi virus, buatlah sitemap WordPress baru untuk memulihkan peringkatnya. Cara termudah untuk melakukannya adalah dengan menggunakan plugin SEO seperti Yoast.

Kemudian, kirimkan sitemap yang baru ke Google Search Console agar Google bisa merender ulang website Anda. Mungkin diperlukan waktu hingga dua minggu sampai website Anda muncul kembali di SERP.

11. Hubungi Provider Hosting

Apabila menggunakan shared hosting, ada kemungkinan website Anda turut mengalami masalah dari website lain di server yang sama. Hubungi provider hosting Anda untuk memastikan apakah masalah tersebut juga memengaruhi pengguna lain, atau hanya Anda.

Selain itu, mintalah bantuan pada web host untuk mengatasi masalah tersebut. Setidaknya, provider Anda harus bisa memulihkan akses ke dashboard admin WordPress Anda dan menyediakan log yang mencatat alamat IP yang pernah mengakses server Anda.

Provider hosting Anda juga harus bisa menjamin keamanan website yang optimal. Apabila mereka tidak bisa membantu meminimalkan risiko serangan hacker WordPress, pertimbangkan untuk mencari host baru.

Pilihlah provider hosting yang menyediakan dukungan 24/7 agar Anda bisa segera mendapatkan bantuan kalau website WordPress Anda diretas. Di Hostinger, Anda bisa mendapatkan bantuan dari tim Customer Success kami, yang tersedia sepanjang waktu melalui live chat dalam berbagai bahasa.

Paket WordPress hosting kami juga terkelola, yang berarti semua tugas administrasi server Anda akan kami tangani, seperti keamanan, update, dan backup. Selain itu, kami menyediakan berbagai tool untuk membantu Anda mengamankan website, termasuk pendeteksi malware.

Jenis-Jenis Serangan Hacker yang Bisa Merusak Website

Penjahat cyber selalu mencari celah keamanan dan berbagai metode baru untuk meretas website. Berikut adalah beberapa jenis serangan hacker yang paling umum dilakukan untuk mengeksploitasi masalah keamanan WordPress:

• Backdoor – menyuntikkan malware atau virus pada software website, mengeksploitasi kerentanan yang belum mendapatkan patch sebagai pintu masuk untuk melakukan serangan. Backdoor bisa mengganggu uptime website dan membahayakan data pribadi.
• Serangan brute-force – upaya untuk mendapatkan akses yang tidak sah dengan menebak kredensial login pengguna website, biasanya menggunakan bot. Jenis serangan ini bisa menyebabkan masalah performa atau downtime kalau website tidak mampu menangani lonjakan permintaan tersebut.
• Cross-Site Scripting (XSS) – menambahkan skrip berbahaya ke dalam kode website untuk melakukan serangan. Metode ini digunakan untuk mencuri cookie agar hacker bisa menyamar sebagai pengguna dan mendapatkan data sensitif.
• Serangan SQL Injection – memasukkan kode berbahaya ke dalam permintaan database SQL yang kurang aman. SQL injection bisa berujung pada hilangnya data, pemalsuan identitas, dan manipulasi informasi.
• Pengalihan berbahaya – mengarahkan pengunjung website ke halaman lain yang berbahaya. Hacker biasanya menginfeksi website tujuan dengan malware atau memasukkan formulir phishing untuk mendapatkan informasi pribadi pengguna.
• Pharma hack – menginfeksi website dengan konten berbahaya, biasanya iklan produk farmasi. Selain merusak SEO karena kata kunci spam, jenis serangan ini juga merusak reputasi brand.
• Denial of Service (DoS) – mengirim spam ke website WordPress dengan jumlah traffic yang besar dalam waktu singkat, dengan tujuan mematikan website atau jaringan melalui lonjakan permintaan.

Cara Melindungi Website dari Hacker

Untuk meningkatkan keamanan website Anda dan mencegah serangan hacker WordPress, ikuti tips terbaik berikut ini.

Gunakan Kredensial yang Aman

Kredensial login yang bersifat umum akan mudah ditebak dan dibobol. Jadi, hindari menggunakan username default seperti “admin” dan buatlah frasa yang unik.

Untuk kata sandi, sertakan simbol, angka, serta huruf besar dan kecil agar lebih sulit ditebak. Selain itu, sebaiknya gunakan lebih dari 8 karakter, karena kata sandi yang pendek biasanya lebih mudah dicuri.

Agar Anda tidak perlu repot mengingat semuanya, gunakan aplikasi pengelola kata sandi seperti Bitwarden untuk menyimpan kredensial Anda. Atau, buatlah frasa sandi yang lebih mudah diingat. Kalau Anda mencatatnya di suatu tempat, pastikan untuk menyimpannya di lokasi yang aman.

Gunakan Plugin Keamanan

Gunakan plugin keamanan seperti WordFence untuk membantu melindungi website Anda dari hacker. Dengannya, Anda bisa mengaktifkan 2FA di WordPress untuk menambahkan lapisan keamanan yang akan menyulitkan hacker menyusupi website Anda.

Plugin keamanan lain yang tak kalah populer adalah Advanced WordPress reCAPTCHA dan WPS Limit Login. Plugin-pugin ini akan memverifikasi dan membatasi upaya login, serta mencegah serangan brute force.

Apabila web host Anda belum menyediakan pendeteksi malware, gunakan plugin seperti Jetpack Protect. Selain itu, instal plugin backup WordPress untuk mencegah kehilangan data dan memulihkan website kalau terjadi masalah.

Jangan lupa, cek reputasi dan ulasan setiap plugin sebelum menginstalnya. Sebab, plugin yang tidak dikelola dengan baik justru bisa menimbulkan kerentanan pada website Anda, bukan melindunginya.

Selalu Cek Update secara Rutin

File, tema, dan plugin WordPress yang lama tidak diupdate biasanya memiliki kerentanan yang bisa dieksploitasi oleh hacker untuk menyerang website. Jadi, pastikan Anda selalu mengupdatenya untuk mendapatkan patch keamanan terbaru guna meminimalkan risiko ancaman.

WordPress akan menampilkan banner di dashboard saat ada versi baru yang tersedia. Cukup klik banner tersebut untuk menginstal update. Sementara itu, Anda bisa mengupdate plugin dan tema melalui menunya masing-masing di dashboard admin.

Bagi user Hostinger, tersedia fitur pembaruan otomatis di hPanel yang akan mempermudah semua tugas ini. Cukup buka bagian Keamanan di menu WordPress, lalu Aktifkan update otomatis. Fitur ini akan mengupdate software inti, plugin, dan tema WordPress Anda secara otomatis, memastikan keamanan dan performa yang optimal.

Hindari Menggunakan Plugin dan Tema Modifikasi (Nulled)

Plugin dan tema ‘nulled’ adalah salinan bajakan dari versi premiumnya. Selain bisa menyeret pemilik website ke dalam kasus hukum yang serius, aplikasi modifikasi seperti ini juga bisa menimbulkan risiko keamanan.

Pembuat plugin dan tema modifikasi biasanya mengedit kode asli agar versi berbayarnya bisa disediakan secara gratis. Penjahat cyber mungkin memasukkan skrip berbahaya atau virus ke dalamnya untuk menciptakan celah serangan.

Untuk keamanan dan legalitas yang lebih terjamin, pastikan Anda hanya menggunakan plugin gratis atau premium resmi yang tersedia di repositori WordPress atau marketplace pihak ketiga.

Dapatkan Paket Hosting yang Aman

Website WordPress Anda lebih rentan terhadap serangan hacker kalau pihak web host tidak menangani keamanan servernya dengan serius.

Provider hosting yang bagus seharusnya memiliki software keamanan yang canggih pada web servernya. Di Hostinger sendiri, infrastruktur kami menerapkan PHP hardening Suhosin, perlindungan anti-malware, dan pemantauan 24/7.

Paket managed WordPress hosting kami juga memiliki fitur keamanan bawaan tambahan, seperti pemindai kerentanan dan perlindungan DDoS yang canggih. Selain itu, kami menyediakan fitur backup rutin otomatis untuk mengamankan data Anda.

Kesimpulan

Semua website WordPress rentan terhadap serangan hacker kalau tidak dijaga keamanannya. Apabila tidak bisa login ke dashboard wp-admin atau ada perubahan mendadak pada halaman web Anda, website Anda mungkin kena hack.

Kalau website Anda menunjukkan tanda-tanda diretas, segera aktifkan mode maintenance untuk mencegah kerusakan lebih lanjut. Atur ulang kata sandi untuk mendapatkan kembali akses dashboard admin dan hapus pengguna yang tidak dikenal dari website Anda.

Kemudian, hapus ekstensi yang tidak perlu dan update semua software website, termasuk software inti WordPress. Selanjutnya, scan virus, nonaktifkan eksekusi PHP, dan bersihkan database Anda. Langkah-langkah ini akan membantu menutup celah serangan seperti SQL injection dan XSS.

Untuk mencegah serangan hacker ke depannya, gunakan kata sandi yang aman untuk semua akun dan update software Anda secara teratur. Instal plugin keamanan, dan hindari software bajakan karena mungkin mengandung kode berbahaya.

Selain itu, pastikan web host Anda memiliki infrastruktur server yang aman. Kalau masih bingung memilih, Anda bisa mencoba layanan Hostinger yang menyediakan pendeteksi malware bawaan, pemantauan infrastruktur 24/7, dan backup otomatis. Tim dukungan kami juga selalu tersedia untuk membantu Anda mengatasi masalah apa pun.

Tanya Jawab (FAQ) Cara Memperbaiki Website WordPress yang Dihack

Di bagian ini, kami akan menjawab beberapa pertanyaan tentang website WordPress yang diretas.