Buat pelanggan hosting premium semacam Vultr, Google Cloud, WpEngine, hal-hal semacam spam dan hijack mungkin agak jarang dirasakan. Namun buat kita-kita ini yang masih menggunakan shared hosting, rupanya isu spam ini masih jadi masalah serius.

Berdasarkan pengalaman saya, shared hosting yang dipadu dengan panel standar seperti Cpanel dan DirectAdmin, sangat mudah diserang oleh spammers. Oleh karenanya, pada tulisan ini saya akan memberikan panduan komplit bagaimana cara keluar dari permasalahan spam tersebut.

Penting untuk dicatat, sebagai platform website terpopuler, WordPress sudah menjadi sasaran empuk yang dapat diserang menggunakan berbagai tools otomatis. Jadi jangan mengira jika web Anda tidak begitu populer, maka spam tidak akan menghampiri, ini salah besar. Selama Anda menggunakan WP, akan banyak model spam yang mencoba menyerang web Anda.

Faktor Utama: WordPress Hosting

Sejujurnya, jika Anda ingin segera terbebas dari serbuan spam di WordPress, memilih hosting yang tepat adalah jalan keluar utama. Aktif memilah dan memilih hosting sejak tahun 2009, saya kira server dengan harga bulanan yang menguras kantong tetap punya nilai jual utama:

Focus on the business, not infrastructure

IBM & Google Cloud

Buat kamu yang tetap memilih shared hosting setelah membaca prolog di atas, dengan ini saya katakan: keep calm and stay with me! 🙂

Model-Model Spam di WordPress

Tak kenal maka tak tahu, yaiyalah! Sebelum kita bicara tentang mengilangkan spam, kita harus tahu dulu spam jenis apa yang sedang hinggap di website kita.

Ada beberapa tipe spam umum di platform WordPress, sebagian kecil diantaranya:

  1. Spam komentar otomatis
  2. Spam auto-posting tanpa log-in dasbor WP
  3. Upload file ilegal di directory WordPress

Cara Umum Menghilangkan Spam

Sebagaimana model bahasan Karinov pada umumnya, saya biasa membagi model tutorial yang kompleks ke dalam 2 bagian, cara umum dan cara khusus. Berikut cara-cara umum yang bisa Anda lakukan sebagai tahapan awal mengatasi spam di WordPress.

  1. Menghilangkan Komentar Spam (dengan plugin)

    Ada banyak plugin untuk mengurangi spam di WordPress, diantara yang populer ada Akismet. Namun saya pribadi lebih suka plugin anti-spam, selain tidak perlu sign-up API, plugin ini juga lebih efektif memfilter komentar spam tanpa harus masuk spam folder.

    [FYI] Sejak keluar versi berbayar nya (versi 6 ke atas), saya lebih suka menggunakan versi lama (Anti-spam v5.5) karena lebih powerful dan tidak ada embel-embel up-sales.

  2. Disable Komentar Spam (tanpa plugin)

    Tidak ingin menambah plugin untuk hal remeh seperti ini? Anda dapat menutup kolom komentar secara total di pengaturan WordPress.

    Masuk ke wp-admin, pilih pengaturan, lalu klik di bagian discussion (komentar). Centang bagian Users must be registered and logged in to comment.

  3. Ganti user admin bawaan

    Setiap instalasi WordPress baru, hampir dipastikan user admin default adalah admin dan password default adalah pass. Tentu menggunakan credetials umum seperti ini sangat berbahaya, oleh karenanya Anda perlu mengganti sendiri dengan nama lain. Jika sudah terlanjur menggunakan nama admin, Anda perlu membuat user baru dan men-delete admin sebelumnya.

  4. Instalasi plugin sekuritas pada WordPress

    Hal selanjutnya yang cukup mudah namun sering dilewatkan ialah instalasi plugin keamanan. Salah satu fitur utama yang sangat penting untuk tahap lanjutan nantinya adalah fitur scanning. Fitur ini memungkinkan Anda untuk mendeteksi file-file ilegal yang terdapat dalam direktori web Anda.

    Berdasarkan pengalaman saya, dua plugin yang bekerja cukup baik bahkan dalam versi gratis nya adalah Sucuri dan Wordfence. Kedua plugin tersebut juga menyediakan fitur scan secara cuma-cuma.

Cara Khusus Tingkat Lanjut

Adakalanya, beberapa bentuk spam, hijack, bahkan hacking masih bisa masuk sekalipun Anda melakukan tahapan umum di atas. Oleh karenanya, Anda perlu membuat beberapa aksi tambahan agar infrastuktur website lebih aman dari serangan.

Mengapa disebut tingkat lanjut? Karena semua tahapan di bawah ini tidak cukup dilakukan hanya dengan akses dasbor wp-admin. Anda perlu masuk dan melakukan modifikasi juga via panel hosting. Pastikan Anda tahu persis apa yang sedang Anda lakukan karena kesalahan pada praktik ini dapat berakibat fatal.

Lakukan Scan WordPress

Setelah melakukan tahapan keempat di atas, Anda sudah bisa melakukan scanning file ilegal yang terdapat dalam drektori website. Injeksi file ilegal ke dalam web dapat digunakan oleh para hacker untuk mencuri data web atau melakukan posting otomatis berisi tulisan spam.

Oleh karenanya, segera hapus file-file yang terindikasi dapat merusak website Anda. Berikut diantara contoh file yang saya temukan pada beberapa web WordPress yang terkena spam auto-posting.

File ilegal untuk posting tulisan spam di WordPress

Tentu tidak hanya itu bentuk spam yang bisa dilakukan ketika hacker dapat mengakses direktori file website Anda. Beberapa kasus lainnya juga saya temukan seperti folder berisi ribuan file html lengkap dengan sitemap nya. Berikut contoh nama folder dan file ilegal yang kerap kali diinjeck oleh spammers ke dalam website:

  • parseopmll (folder)
  • web_map (folder)
  • stubilzys.php (file)
  • class-wp-main.php (file)

Folder yang sering terkena file semacam ini juga beragam mulai dari root directory, folder wp-content, wp-includes, bahkan wp-admin. So, Anda harus selalu waspada jika dalam direktori web muncul file-file yang tidak dikenal.

Contoh website yang terkena inject kode seperti di atas dapat Anda lihat melalui pencarian google berikut.

google.com/search?q=stubilzys.php

Buat Alamat Login Kustom

Hampir semua pengguna WP tahu bahwa halaman login secara default adalah example.com/wp-admin. Oleh karenanya, ada baiknya Anda memindahkan laman login dengan nama custom yang bisa Anda lakukan cukup dengan mengedit file wp-login.php saja.

Caranya sebagai berikut:

  1. Edit nama (rename) file wp-login.php dengan huruf tertentu (misal: nophp.php)
  2. Replace semua kata “wp-login.php” di dalam file tersebut dengan nama file yang baru. Dalam contoh di atas, saya harus me-replace “wp-login.php” dengan “nophp.php”
  3. Tada! Setelah mengikuti kedua langkah di atas, Anda sudah punya url baru untuk login. Tentu url default seperti /wp-admin/ atau /wp-login.php sudah tidak bisa Anda gunakan untuk login lagi.

Cara ini berhasil untuk WordPress versi 5.3 dan tidak berlaku untuk WP versi 4.9 ke bawah. Jadi pastikan versi WordPress kamu sudah menggunakan keluaran terbaru.

Atur File Permissions

WordPress sebagai CMS tentu membutuhkan izin untuk melakukan pembacaan bahkan modifikasi pada file ataupun database web Anda. Oleh karenanya, kamu perlu megatur izin akses agar web Anda bisa berjalan optimal namun juga tetap aman dari serangan luar. Berikut beberapa rekomendasi pengaturan file permissions pada WordPress yang benar.

  • Semua permissions pada file harus 644
  • Semua permissions pada folder harus 755
  • Permissions untuk file wp-config.php bisa 600 atau 644

Pengaturan file ini dapat dilakukan menggunakan file manager yang tersedia pada panel ataupun dilakukan lewat FTP client. Biasanya Anda hanya perlu melakukan klik kanan pada file/folder agar muncul pilihan untuk setting permissions.

Bagaimana, tidak begitu sulit bukan mengantisipasi serta menyelesaikan serangan spam di web WordPress? Kalau kamu punya pengalaman serupa, silahkan tinggalkan pesan atau pertanyaan lewat kolom komentar di bawah ini.

  • Zasdar

    ZasdarZasdar

    Reply

    Iya. Saya semenjak pakai WP banyak komentar asing yang sangat menggangu. Jadi, harus hapus manual terus. Cuma saya belum berani untuk mengutak-atik WP lebih jauh. Lantaran baru belajar pakai WP juga. Tapi, terima kasih. Info ini sangat berguna bagi saya.