Lutfi HanifApakah website WordPress Anda terinfeksi malware hingga tampilannya rusak atau menampilkan konten yang tidak semestinya? Jika iya, penting untuk mengetahui cara menghilangkan malware di WordPress dengan tepat. Salah satu metode yang efektif adalah fresh upgrade, yaitu memperbarui file core WordPress serta menginstal ulang tema dan plugin dari sumber resmi. Dengan langkah ini, website dapat kembali bersih dan aman.
Dalam artikel ini, kami akan menjelaskan secara detail tentang apa itu fresh upgrade, fungsinya, serta cara menghilangkan malware di WordPress dengan fresh upgrade. Simak informasi berikut ini.
Apa itu Fresh Upgrade?
Fresh upgrade adalah metode untuk membersihkan dan memperbaiki website WordPress yang terinfeksi malware. Proses ini dilakukan dengan mengganti file core WordPress ke versi terbaru, serta menginstal ulang plugin dan tema dari sumber resmi. Dengan cara ini, sistem WordPress akan kembali dalam kondisi “segar” tanpa file yang terinfeksi.
Tenang saja, proses fresh upgrade yang dilakukan dengan benar tidak akan menghapus konten seperti post, page, maupun file media yang telah Anda unggah sebelumnya.
Fungsi Fresh Upgrade
Seperti yang telah dijelaskan sebelumnya, fresh upgrade dilakukan dengan mengganti file core WordPress ke versi terbaru serta menginstal ulang tema dan plugin yang digunakan. Proses ini memiliki beberapa fungsi penting.
Pertama, membersihkan file yang terinfeksi malware. Serangan malware sering kali menyusup ke dalam file core WordPress, tema, atau plugin. Dengan melakukan penggantian file secara menyeluruh, file berbahaya dapat dihapus dan digantikan dengan versi asli yang bersih.
Kedua, memastikan semua komponen WordPress dalam kondisi terbaru. File inti, tema, dan plugin yang tidak pernah diperbarui rentan terhadap celah keamanan. Melalui fresh upgrade, semua komponen diperbarui sehingga kerentanan tersebut dapat diminimalkan.
Selain itu, fresh upgrade juga membantu mengembalikan struktur file WordPress ke kondisi default, sehingga mempermudah proses deteksi atau pembersihan lanjutan jika masih ada malware yang tertinggal.
Apakah fresh upgrade akan menghapus konten yang sudah ada?
Secara umum, proses fresh upgrade tidak akan menghapus konten yang sudah ada di website WordPress Anda. Post, page, dan file media yang tersimpan di database maupun folder wp-content/uploads akan tetap aman.
Namun, perlu diperhatikan bahwa jika sebelumnya Anda menggunakan tema atau plugin bajakan (nulled) atau berasal dari sumber yang tidak jelas untuk membuat halaman post atau page, maka tema atau plugin tersebut perlu dihapus. Akibatnya, setelah proses fresh upgrade, tampilan website kemungkinan besar akan kembali ke tema default WordPress.
Tema atau plugin nulled sering kali menjadi sumber utama malware, karena kodenya telah dimodifikasi oleh pihak tidak bertanggung jawab untuk menyisipkan kode berbahaya. Untuk mencegah masalah keamanan di kemudian hari, pastikan selalu menggunakan tema dan plugin yang legal dari sumber resminya.
Selengkapnya tentang bahaya penggunaan theme dan plugin nulled bisa Anda baca di artikel berikut: Bahaya Menggunakan Theme dan Plugin Nulled
Apa Yang Perlu Dilakukan Sebelum Fresh Upgrade?
Sebelum memulai proses fresh upgrade, ada beberapa langkah penting yang perlu Anda lakukan agar proses pembersihan dan pembaruan berjalan dengan aman serta menghindari risiko kehilangan data. Berikut hal-hal yang perlu dipersiapkan:
1. Pastikan Punya Akses ke cPanel
Pastikan Anda memiliki akses login ke cPanel hosting. Akses ini dibutuhkan untuk melakukan berbagai langkah teknis seperti menghapus file lama, mengunggah file baru, serta melakukan pengaturan database.
2. Backup Data
Lakukan backup full terhadap seluruh file dan database website melalui menu Backup di cPanel. Langkah ini penting sebagai langkah antisipasi jika terjadi kesalahan selama proses fresh upgrade. Panduan backup data di cPanel bisa Anda pelajari di artikel: Cara Backup Data di cPanel
3. Identifikasi Komponen Penting Website
Jika dalam akun hosting Anda terdapat beberapa subdomain atau addon domain yang tidak menggunakan WordPress, misalnya berbasis CodeIgniter, Laravel, atau sistem custom, pastikan untuk mengidentifikasi dan mengamankan file-file tersebut terlebih dahulu. Hal ini penting untuk mencegah kesalahan saat proses penghapusan dan instalasi ulang file WordPress berlangsung.
Cara Menghilangkan Malware di WordPress
Berikut adalah cara untuk menghilangkan malware di WordPress melalui metode Fresh Upgrade.
Step 1: Cek Cron di cPanel
Masuk ke menu “Cron Jobs” melalui cPanel hosting Anda. Pada bagian ini, cek dengan teliti apakah terdapat cron job yang mencurigakan atau tidak pernah Anda buat sebelumnya. Cron job mencurigakan biasanya berisi perintah yang menjalankan file PHP dari lokasi yang tidak jelas, atau mengarah ke file dengan nama acak.
Jika Anda menemukan cron job yang mencurigakan, hapus segera untuk mencegah eksekusi otomatis script berbahaya di hosting Anda. Setelah itu, pastikan hanya cron job penting seperti auto backup atau script yang Anda buat sendiri yang tersisa.
Step 2: Cek FTP Account
Selanjutnya, buka menu “FTP Accounts” melalui cPanel hosting Anda. Pada bagian ini, periksa semua akun FTP yang terdaftar. Pastikan hanya akun-akun yang memang Anda buat atau gunakan.
Jika Anda menemukan akun FTP asing atau mencurigakan, hapus segera untuk mencegah akses ilegal ke file website Anda. Selain itu, disarankan untuk mengganti password FTP utama dengan kombinasi yang kuat dan unik untuk meningkatkan keamanan.
Step 3: Update Core WordPress
Dalam demo ini, kami memberikan contoh proses fresh upgrade pada domain utama yang directory root defaultnya adalah /public_html. Bagi Anda yang ingin melakukan proses fresh upgrade untuk subdomain atau addon domainnya, maka silahkan sesuaikan dengan directory masing-masing.
Agar proses fresh upgrade berjalan lancar, ikuti langkah-langkah di bawah ini secara berurutan:
Setelah berhasil masuk ke cPanel, silahkan klik menu File Manager lalu masuk ke folder public_html.
2. Buat Folder Backup
Buatlah sebuah folder dan namai dengan backup. Folder ini akan digunakan untuk menyimpan folder penting sebelum kita menghapus file core WordPress yang telah terserang malware.
3. Pindahkan Folder dan File Penting ke Folder Backup
Pindahkan elemen berikut ke dalam folder backup:
- Folder wp-content (berisi file gambar, plugin, dan tema Anda).
- File wp-config.php (berisi pengaturan koneksi database)
- File lain yang penting, seperti robots.txt atau file HTML verifikasi Google Search Console (jika ada)
- Directory root addon domain atau subdomain (jika ada).
Langkah ini memastikan konten website dan konfigurasi tidak ikut terhapus saat kita menghapus file WordPress lama.
4. Hapus File Core WordPress Lama
Setelah file penting dipindahkan, hapus semua file dan folder WordPress yang tersisa di direktori /public_html kecuali folder backup yang baru Anda buat tadi.
5. Upload dan Extract File Core WordPress Terbaru
Unduh file WordPress versi terbaru melalui URL berikut: Download WordPress
Upload file ZIP tersebut ke folder root website Anda melalui File Manager, lalu klik kanan dan pilih Extract. Setelah proses extract selesai, akan muncul folder bernama wordpress. Pindahkan semua file dan folder di dalam /wordpress ke public_html.
6. Cek Folder Uploads
Sebelum mengembalikan folder wp-content dari backup, terlebih dahulu lakukan pengecekan pada folder backup/wp-content/uploads.
Pastikan tidak ada file mencurigakan seperti file .php atau file dengan nama aneh. Jika ditemukan, buka dan periksa isinya. Bila terindikasi malware, hapus file tersebut.
7. Kembalikan Folder dan File Penting
Jika sudah dipastikan tidak ada file yang berbahaya di folder uploads, maka silahkan pindahkan folder uploads yang terletak di public_html/backup/wp-content ke public_html/wp-content.
Lalu, pindahkan juga file penting lainnya seperti wp-config.php, robots.txt atau file/folder penting lainnya.
Dengan ini, file core WordPress Anda kini sudah diganti dengan versi baru yang bersih, sementara konten dan konfigurasi lama tetap aman.
Step 4: Reset Password Database dan wp-admin
Langkah selanjutnya setelah mengupdate file core WordPress adalah mengamankan kredensial database dan akun administrator. Ini penting untuk mencegah kemungkinan hacker masuk kembali melalui akses lama yang mungkin telah bocor.
1. Cek Nama Database di wp-config.php
Langkah pertama yang perlu kita lakukan adalah mengetahui nama database yang digunakan pada WordPress. Berikut langkah-langkahnya:
- Masuk ke File Manager melalui cPanel.
- Buka file wp-config.php yang ada di folder instalasi WordPress.
- Catat nilai dari baris berikut:
define('DB_NAME', 'nama_database');
define('DB_USER', 'user_database');Informasi ini akan digunakan untuk menentukan user database mana yang perlu di reset password-nya.
2. Reset Password Database
- Di halaman cPanel, klik menu Manage My Databases.
- Pada bagian Current Users, klik Change Password pada user database yang digunakan oleh WordPress.
- Masukkan password baru dengan kombinasi huruf besar, huruf kecil, angka, serta karakter spesial agar lebih kuat dan aman. Jangan lupa untuk mencatat informasi password baru Anda di notepad terlebih dahulu.
3. Reset Password Akun wp-admin melalui phpMyAdmin
- Buka menu phpMyAdmin di cPanel.
- Pilih database WordPress yang sudah Anda catat tadi.
- Buka tabel wp_users (atau jika prefix-nya berbeda, misalnya rw_users, buka tabel dengan akhiran _users).
- Temukan baris dengan kolom user_login sesuai akun admin utama, lalu klik Edit.
- Pada kolom user_pass, ganti nilai dengan password baru, dan pada kolom Function, pilih MD5.
- Klik Go / Simpan untuk menerapkan perubahan.
Step 5: Edit file wp-config.php
Setelah melakukan reset password database pada langkah sebelumnya, sekarang saatnya menyesuaikan pengaturan koneksi database pada instalasi WordPress yang baru. Pengaturan ini dilakukan melalui file `wp-config.php`, yang berfungsi sebagai “jembatan” antara WordPress dan database website. Berikut langkah-langkahnya:
1. Dapatkan file secret key WordPress baru.
Silahkan akses ke halaman secret key, dan copy script yang muncul di halaman tersebut. Simpan sementara di notepad Anda.
2. Sesuaikan file koneksi database
Silakan edit file wp-config.php di directory /public_html. Setelah itu cari bagian berikut:
define('DB_NAME', 'nama_database_baru');
define('DB_USER', 'user_database_baru');
define('DB_PASSWORD', 'password_database_baru');Ubah pada bagian DB_PASSWORD dengan password baru yang telah Anda reset sebelumnya. Lalu, update juga data salt key yang telah Anda dapatkan.
Setelah itu simpan file wp-config.php.
Langkah selanjutnya, coba akses domain Anda melalui browser. Jika koneksi berhasil, website akan menampilkan halaman WordPress seperti biasa. Jika muncul error seperti “Error establishing a database connection”, cek kembali data yang dimasukkan dan pastikan tidak ada karakter atau spasi yang salah.
Step 6: Install Ulang Tema dan Plugin
Setelah proses fresh upgrade pada file core WordPress selesai, langkah berikutnya adalah menginstal ulang tema dan plugin. Proses ini penting untuk memastikan bahwa tidak ada file malware yang tersisa pada file tema atau plugin lama.
1. Identifikasi Theme dan Plugin yang Aktif
- Login ke cPanel, kemudian buka menu phpMyAdmin.
- Pilih database yang digunakan oleh website WordPress Anda.
- Buka tabel wp_options (atau sesuaikan prefix tabel jika berbeda).
- Cari baris dengan nama active_plugins. Pada kolom option_value, Anda akan melihat daftar plugin yang sebelumnya aktif. Salin daftar tersebut untuk referensi proses instal ulang plugin nanti.
- Cari baris template dan stylesheet yang berisi informasi theme yang digunakan. Simpanlah informasinya di notepad.
2. Download Plugin dari Sumber Resmi
Setelah mendapatkan daftar plugin dan theme yang digunakan, kunjungi https://wordpress.org/ lalu klik menu Extend > Themes / Plugins.
Unduh theme dan plugin-plugin tersebut satu per satu dari sumber resminya. Hindari mendownload plugin dari sumber yang tidak jelas, karena dapat meningkatkan risiko infeksi malware di kemudian hari.
3. Upload dan Extract Plugin serta Theme
Login kembali ke cPanel, lalu masuk ke menu File Manager. Masuk ke folder /public_html/wp-content/. Di folder ini, Anda akan melihat folder Themes dan Plugins.
Langkah selanjutnya, silahkan upload file .zip plugin yang telah diunduh ke folder /plugins. Setelah upload selesai, extract file tersebut satu persatu. Lakukan hal yang sama untuk tema, upload file ZIP ke folder wp-content/themes, lalu extract.
Dengan cara ini, Anda memastikan bahwa seluruh plugin dan tema yang digunakan benar-benar berasal dari sumber resmi dan bebas dari malware.
Sampai pada tahap ini, Anda dapat mencoba mengakses kembali website Anda. Jika semua langkah telah dilakukan dengan benar, seharusnya website WordPress sudah dapat diakses dengan normal. Namun, mungkin Anda perlu melakukan sedikit penyesuaian pada tampilan agar sesuai dengan kondisi semula.
Step 7: Login ke Dashboard WordPress Anda
Setelah semua proses instalasi ulang file core WP, tema, dan plugin selesai, langkah selanjutnya adalah login ke Dashboard WordPress. Masuk ke halaman namadomainanda/wp-admin menggunakan akun administrator Anda.
Setelah berhasil login, buka menu Settings > Permalinks, kemudian klik Save Changes tanpa mengubah pengaturan apa pun. Langkah ini bertujuan untuk merefresh struktur URL dan memastikan semua tautan berfungsi dengan baik.
Selanjutnya, lakukan pengecekan pada tampilan dan fitur website. Pastikan halaman, postingan, menu navigasi, serta fungsi plugin berjalan sebagaimana mestinya. Jika ada perubahan tampilan, sesuaikan kembali melalui menu Appearance atau pengaturan plugin terkait.
Step 8. Hapus Folder Backup
Jika website Anda sudah dapat diakses dengan baik dan tampil seperti semula, langkah selanjutnya adalah menghapus folder backup yang sebelumnya dibuat. Folder ini berisi file dan data dari instalasi lama, seperti folder wp-uploads yang sudah Anda pindahkan ke instalasi WordPress baru.
Sebelum menghapus, pastikan semua file penting sudah benar-benar bebas dari malware dan telah dipindahkan dengan aman. Setelah yakin, Anda dapat menghapus folder tersebut melalui File Manager di cPanel untuk mencegah file lama menjadi celah keamanan di kemudian hari.
Step 9. Setting Security Measures
Setelah proses fresh upgrade selesai dan website kembali berjalan normal, langkah selanjutnya adalah memastikan keamanan website tetap terjaga. Salah satu cara praktisnya adalah dengan memanfaatkan fitur Security Measures yang tersedia di Softaculous.
Fitur Security Measures berfungsi untuk menerapkan pengamanan dasar pada instalasi WordPress secara otomatis. Berikut langkah-langkahnya:
- Dari halaman cPanel, buka menu Softaculous Apps Installer.
- Pilih instalasi WordPress yang ingin diamankan, lalu klik ikon Edit (pensil) di sebelah kanan.
- Gulir ke bawah dan temukan menu Security Measures.
- Centang opsi pengamanan yang ingin Anda aktifkan, atau pilih semuanya untuk perlindungan maksimal.
- Klik Apply untuk menerapkan pengaturan.
Setelah fitur ini aktif, sistem akan secara otomatis menambahkan konfigurasi keamanan pada instalasi WordPress Anda, sehingga dapat meminimalkan celah serangan di masa mendatang.
Step 10: Request peninjauan ulang ke Google Search Console (optional)
Langkah ini bersifat opsional, namun sangat disarankan jika website Anda sebelumnya terdeteksi mengandung malware, menampilkan konten judi, atau ditandai sebagai situs berbahaya oleh Google. Setelah proses pembersihan selesai, Anda dapat mengajukan permintaan peninjauan ulang hingga menghapus URL berbahaya melalui Google Search Console.
Caranya, pastikan terlebih dahulu bahwa domain Anda telah terdaftar di Google Search Console. Jika belum, Anda dapat mengikuti panduan pendaftaran terlebih dahulu.
Setelah domain berhasil diverifikasi, akses properti domain tersebut di Search Console, lalu buka menu Keamanan & Security Issue. Jika terdapat peringatan keamanan, klik Request Review, kemudian jelaskan bahwa website telah dibersihkan sepenuhnya menggunakan metode fresh upgrade. Langkah ini akan membantu Google mempercepat proses penghapusan peringatan “Situs Berbahaya” dan memulihkan reputasi website Anda di hasil pencarian.
Sedangkan jika Anda menemukan index yang mengandung konten judi atau malware yang tidak pernah Anda buat sebelumnya, Anda dapat mengajukan permintaan penghapusan index tersebut melalui menu Removals di Google Search Console. Panduan lengkap mengenai proses ini dapat Anda pelajari melalui artikel berikut.
Penutup
Menghilangkan malware di WordPress memang membutuhkan ketelitian dan langkah yang tepat. Melalui metode fresh upgrade, Anda dapat membersihkan file yang terinfeksi sekaligus memperbarui sistem WordPress, tema, dan plugin agar kembali dalam kondisi bersih dan aman.
Pastikan setiap langkah dilakukan dengan hati-hati, mulai dari pengecekan cron job dan akun FTP, pembaruan file core, hingga instalasi ulang tema dan plugin dari sumber resmi. Dengan melakukan proses ini secara menyeluruh, serta ditambah pengajuan peninjauan ulang ke Google Search Console jika diperlukan, reputasi dan keamanan website Anda dapat pulih seperti sedia kala.
Demikian panduan kami tentang cara menghilangkan malware di WordPress dengan metode Fresh Upgrade. Apabila anda mengalami kendala atau kesulitan, silahkan bisa menghubungi kami melalui livechat, telepon, atau ticket untuk bantuan.
