Tanda umum
- Redirect ke situs aneh, iklan pop-up sendiri, file berubah tanpa kamu edit, traffic spike.
- Search Console menandai “This site may be hacked”.
Langkah aman (urutannya penting) 1) Backup dulu (untuk forensik). Jangan langsung hapus semuanya. 2) Jika parah, aktifkan maintenance mode / batasi akses sementara. 3) Identifikasi titik masuk: plugin, upload file, credential bocor, dependency lama, dsb.
A) Cek file yang baru berubah
- Fokus folder: public/, storage/, uploads/, atau folder yang jarang berubah.
B) Cari pola injeksi yang sering dipakai
- PHP: base64_decode(, eval(, gzinflate(, shell_exec(, passthru(.
- JS: script dari domain asing, redirect via window.location.
C) Cek log web server
- Cari request aneh: upload .php, request ke path exploit umum.
Contoh command Linux (konsep)
- find . -type f -mtime -3
- rg -n "base64_decode(|eval(|gzinflate(" -S .
Pemulihan (setelah ketemu penyebab)
- Hapus backdoor dan file yang disusupi.
- Update semua dependency (composer/npm) dan patch framework.
- Rotasi semua credential: DB password, API keys, token bot, dll.
- Audit upload file & permission.
Hardening setelah bersih
- Pasang rate limit login/komentar.
- Gunakan WAF rule (Cloudflare) untuk path exploit umum.
- Pastikan .env/backup/log tidak bisa diakses publik.