Lagi buka website sendiri, tapi malah kaget karena muncul iklan slot gacor, judi online, atau bahkan redirect ke situs casino?
Padahal kamu yakin tidak pernah memasang iklan atau konten semacam itu.
Kalau sudah kejadian seperti ini, hampir bisa dipastikan WordPress kamu sedang kena hack judol.
Masalahnya, serangan seperti ini sering datang diam-diam. Website terlihat normal di dashboard, tapi justru “berulah” di mata pengunjung atau mesin pencari. Di Judis.id, kami pernah mengalaminya sendiri—dan dari situlah panduan ini disusun.
Artikel ini membahas cara mengatasi WordPress kena hack judol secara menyeluruh, berdasarkan pengalaman nyata dan praktik yang aman untuk jangka panjang.
Apa Itu Hack Judol di WordPress?
Hack judol adalah kondisi ketika hacker menyusupkan script berbahaya ke dalam WordPress untuk menampilkan:
- Iklan judi online
- Redirect ke situs casino
- Halaman tersembunyi berisi konten judol
Yang bikin berbahaya, konten ini sering tidak terlihat oleh pemilik website, tapi justru muncul di hasil pencarian Google atau hanya aktif untuk visitor tertentu.
Ciri-Ciri WordPress Kena Hack Judol
Dari berbagai kasus yang kami temui, WordPress yang kena hack judol biasanya menunjukkan tanda-tanda berikut:
- Muncul iklan judi online di halaman website
- Website redirect ke situs asing
- Ada halaman dengan URL acak yang tidak pernah dibuat
- Google Search Console memberi peringatan “Hacked content”
- Trafik organik turun tanpa sebab yang jelas
Kalau salah satu saja kamu alami, jangan ditunda. Semakin cepat ditangani, semakin kecil dampaknya.
Pengalaman Judis.id Menangani WordPress Kena Hack Judol
Di Judis.id, kami pernah berada di posisi yang sama. Website terlihat baik-baik saja saat dibuka sendiri, tidak ada iklan aneh, tidak ada plugin mencurigakan, bahkan tampilan tetap normal.
Masalah baru terasa ketika trafik mulai turun dan Google Search Console menampilkan peringatan. Di hasil pencarian, beberapa halaman malah muncul dengan judul berisi kata slot gacor dan casino online.
Setelah dicek lebih dalam, kami menemukan:
- File
.phpdisisipkan di folderwp-content/uploads - Halaman tersembunyi dengan URL acak
- Script yang hanya aktif untuk bot mesin pencari
Dari sini kami belajar satu hal penting: hack judol jarang terlihat di permukaan, tapi dampaknya sangat nyata.
Cara Mengatasi WordPress Kena Hack Judol
Di bagian ini, kami rangkum langkah-langkah yang biasa kami lakukan saat menangani WordPress kena hack judol, dari tahap pengamanan sampai website benar-benar bersih.
1. Amankan Akses Sebelum Login WordPress
Godaan pertama biasanya langsung login ke dashboard WordPress. Tapi justru di tahap awal ini, lebih aman menahan diri.
Langkah yang kami sarankan:
- Gunakan mode incognito atau perangkat lain
- Login ke control panel hosting bisa cPanel, Plesk, DirectAdmin, dll terlebih dulu
- Ganti password hosting
- Ganti password database MySQL
Tujuannya sederhana: mengunci pintu di depan, supaya hacker tidak bisa masuk lagi saat proses pembersihan berlangsung.
2. Backup Semua File dan Database Website
Sebelum menghapus atau mengganti apa pun, pastikan kamu sudah pegang cadangan data.
Backup yang wajib dilakukan:
- Seluruh file WordPress di
public_html - Database via phpMyAdmin
- File
.htaccess - File
wp-config.php
Backup ini sering terasa sepele, tapi justru jadi penyelamat kalau terjadi kesalahan di tengah jalan.
3. Scan Malware dan Cari File Mencurigakan
Kalau masih bisa login dashboard, gunakan plugin keamanan seperti Wordfence, Solid Security (dulunya plugins ini bernama iThemes Security), atau MalCare. Plugin ini membantu mendeteksi file yang dimodifikasi dan script berbahaya.
Jika tidak bisa login, lakukan pengecekan manual lewat control panel:
- Cari file
.phpdi folderuploads - Perhatikan file dengan nama acak seperti
tmp.phpataushell.phpatauzhsd228sjh.php - Cek folder
wp-includesdanwp-admin - Waspadai script dengan encode aneh seperti
base64
<?php eval("?>".base64_decode("JTNDJTNGcGhwJTIwVGhpcyUyMGlzJTIwdGhlJTIwUEhQJTIwY29kZSUyMCUzRiUzRQ")); ?>Biasanya, satu file kecil inilah yang jadi sumber masalah besar.
4. Ganti Semua Password dan Hapus Akses Asing
Hack judol hampir selalu menyisakan “jalan masuk cadangan”.
Pastikan kamu:
- Menghapus akun admin yang tidak dikenal
- Mengganti semua password admin
- Mengganti password hosting dan FTP
- Mengganti password database
- Memperbarui security keys dan salts di
wp-config.php
define('AUTH_KEY', 'a6k9d4tG) dMY[BOeXUX_YNX Dk8B<=(/+@7R&%+s]hdI&h*mbD!j)67E]`Ib.M/');
define('SECURE_AUTH_KEY', 'rS<q@w;F|%SH828kZVx-{!CVdWp7r6~{P?Qb_cU}eH@,`z{-@27WPHZcL@stN}/2');
define('LOGGED_IN_KEY', 'u(2[<2%vLV]ZA5yMbNPRY ^&|t3 WK~yC~6%:OD_buqZkvsGVmdSeyp|Bq(_&-{F');
define('NONCE_KEY', '*x/|ltHH`PQ23Ilt&=C]xDhsDxwN3GyK yMAlQz))t9<D|aYN[6-+3h&2[k33D-;');
define('AUTH_SALT', '^$AAlbDGifgJEs~==G6hmOkC.nX~0z?qYv]!Tw%brn!dwoCv}B6?dzz.4HHuUAmK');
define('SECURE_AUTH_SALT', 'TI-^s8x&AfM76YbeEgT)zi/-wE1lJW#>:V0NuBq6K_dkbYmGY38}A@2(<y;#K[{!');
define('LOGGED_IN_SALT', 'u`zX}T{FBHfLYGjUU0L#v?/p8BFJ1EwXJ-$rQVc]/&R21>V~:+j VnSOISH#+Mt[');
define('NONCE_SALT', '/-1c9+GS|)kV*Mq^ #X5eP9so(G6Ur d`P(|H+qE4,0uD`^}vKQdnIeMM+MOkBV;');Langkah ini penting supaya pembersihan yang sudah dilakukan tidak sia-sia.
5. Bersihkan File Terinfeksi dan Install Ulang WordPress
Dari pengalaman kami, install ulang file inti WordPress adalah cara paling aman.
Langkah yang biasa kami lakukan:
- Download WordPress versi terbaru
- Hapus semua file lama kecuali
wp-contentdanwp-config.php - Upload ulang file WordPress yang bersih
Kalau perlu, buat ulang wp-config.php dan isi kembali kredensial database.
6. Update Sistem dan Hindari Theme Bajakan
Banyak kasus hack judol berawal dari:
- Theme bajakan
- Plugin nulled
- WordPress versi lama
Solusinya memang tidak instan, tapi efektif:
- Hapus semua theme dan plugin bajakan
- Update WordPress ke versi terbaru
- Update plugin dan theme resmi
- Aktifkan firewall dan plugin keamanan
Gratis tapi bajakan hampir selalu mahal di belakang.
Checklist Cepat Mengatasi WordPress Kena Hack Judol
Supaya tidak ada langkah yang terlewat, kami biasanya memakai checklist sederhana berikut:
- ☐ Ganti password hosting & database
- ☐ Backup file dan database
- ☐ Scan malware
- ☐ Hapus file asing
- ☐ Install ulang file inti WordPress
- ☐ Update plugin & theme resmi
- ☐ Aktifkan firewall
Checklist ini membantu proses pembersihan tetap rapi dan tidak setengah-setengah.
Cara Memastikan WordPress Benar-Benar Bersih dari Hack Judol
Setelah dibersihkan, jangan langsung merasa aman. Di Judis.id, kami biasanya memantau website selama beberapa hari.
Beberapa hal yang kami lakukan:
- Cek hasil pencarian Google dengan
site:domain.com - Pastikan tidak ada peringatan di Google Search Console
- Scan ulang dengan plugin keamanan
- Periksa folder
uploadsdari file.php - Pantau apakah ada redirect atau halaman baru muncul sendiri
Jika semua aman selama 3–7 hari, biasanya website sudah benar-benar bersih.
Kesimpulan
WordPress kena hack judol memang bikin panik, apalagi kalau website sudah lama dibangun dan trafik mulai stabil. Tapi dari pengalaman kami, masalah ini hampir selalu bisa diselesaikan asal ditangani dengan tenang dan menyeluruh.
Bukan cuma menghapus iklan yang terlihat, tapi memastikan seluruh celah keamanannya benar-benar tertutup.
Kalau kamu sampai ke bagian akhir artikel ini, artinya kamu sudah satu langkah lebih siap untuk mengamankan website sendiri.
Ditulis oleh Tim Judis.id
Artikel ini disusun berdasarkan pengalaman langsung Judis.id dalam menangani kasus WordPress kena hack judol serta praktik keamanan WordPress yang direkomendasikan.
