Mengatasi infeksi malware di WordPress seringkali terasa seperti mencabut rumput liar; jika akarnya tidak dibuang, ia akan tumbuh kembali. Banyak pemilik website terjebak dalam siklus pembersihan file yang tak berujung karena backdoor sering bersembunyi di tempat yang tidak terduga.

Metode yang paling ampuh adalah dengan melakukan Clean Install atau membangun ulang website dari nol menggunakan data murni. Berikut adalah panduan langkah demi langkah untuk membersihkan malware WordPress dengan cara "instalasi bersih" agar website Anda kembali suci dan aman.

Penting: Mengapa Metode Ini Lebih Unggul?

Daripada menebak-nebak file mana yang terinfeksi, metode ini menghapus seluruh file di hosting Anda dan menggantinya dengan file baru yang diunduh langsung dari sumber resmi. Kita hanya akan menyelamatkan data konten (XML) dan file media (gambar), yang mana risiko malware-nya jauh lebih kecil dan lebih mudah diperiksa.

Langkah 1: Mengamankan Folder Uploads (Media)

Folder wp-content/uploads adalah satu-satunya folder file yang perlu kita selamatkan karena berisi semua gambar dan media yang pernah Anda unggah.

  1. Download via FTP/File Manager: Masuk ke hosting Anda dan unduh folder uploads ke komputer lokal.

  2. Audit Ketat Manual: Setelah diunduh, Anda wajib memeriksa isi folder tersebut. Malware sering menyisipkan file .php dengan nama acak di dalam folder tahun/bulan.

  3. Hapus File Non-Media: Pastikan di dalam folder tersebut dan sub-foldernya HANYA ada file gambar atau dokumen legal.

    • EKSTENSI WAJIB: .png, .jpg, .jpeg, .webp, .pdf, atau .gif.

    • HAPUS JIKA ADA: Segera hapus jika menemukan file .php, .js, .suspected, atau .html.

    • Tips Pro: Gunakan fitur "Search" di folder lokal Anda dengan kata kunci *.php untuk memastikan tidak ada skrip yang terselip.

Langkah 2: Ekspor Data Konten melalui WordPress XML

Karena kita akan mereset hosting, kita butuh database dalam bentuk yang "bersih". Mengekspor via XML jauh lebih aman daripada mengekspor database SQL secara utuh, karena XML hanya berisi teks postingan, komentar, dan kategori tanpa membawa kode skrip berbahaya dari tabel database yang mungkin sudah dimodifikasi hacker.

  1. Login ke Dashboard WordPress Anda.

  2. Buka menu Tools (Peralatan) > Export (Ekspor).

  3. Pilih All Content (Semua Konten).

  4. Klik Download Export File. Anda akan mendapatkan file berformat .xml.

Langkah 3: Reset Akun Hosting secara Total

Langkah ini adalah inti dari pembersihan. Kita akan menghapus semua kemungkinan backdoor yang bersembunyi di folder root, file .htaccess, atau folder tersembunyi lainnya.

  1. Masuk ke panel kontrol hosting Anda (cPanel/hPanel/Plesk).

  2. Gunakan fitur Reset Account jika tersedia, atau hapus folder public_html secara manual dan hapus semua Database MySQL beserta User-nya.

  3. Ganti password akun hosting Anda dengan password baru yang lebih kuat. Gunakan kombinasi 12-16 karakter dengan campuran angka, huruf, dan simbol.

Pada langkah ini, user wajib hubungi pihak Hosting WarnaHost dengan cara Open Ticket, minta untuk dilakukan reset akun hosting.

Langkah 4: Install Ulang WordPress (Clean Install)

Setelah hosting dalam kondisi bersih dan kosong, saatnya membangun kembali fondasi website Anda.

  1. Gunakan fitur Auto Installer (seperti Softaculous) di hosting Anda atau unduh paket WordPress terbaru dari WordPress.org.

  2. Lakukan instalasi WordPress seperti biasa (masukkan nama website, deskripsi, dan buat user admin baru).

  3. Penting: Jangan gunakan nama user admin dan ganti password administrator yang unik dan tidak pernah Anda gunakan sebelumnya.

Langkah 5: Upload Isi Folder Uploads yang Sudah Dibersihkan

Setelah WordPress baru terinstal, website Anda akan terlihat kosong. Sekarang saatnya mengembalikan file media Anda.

  1. Masuk ke folder public_html/wp-content/uploads/ di instalasi baru.

  2. Unggah isi folder uploads yang sudah Anda bersihkan di Langkah 1 tadi.

  3. Pastikan tidak ada file yang tidak dikenal yang ikut terunggah (seperti file .php atau .js).

Langkah 6: Install Ulang Plugin dan Themes WordPress

Jangan gunakan file backup tema atau plugin dari instalasi lama Anda. Itu adalah celah yang paling mungkin mengandung malware.

  1. Dapatkan Sumber Resmi: Instal ulang plugin dan tema Anda satu per satu langsung dari WordPress Repository atau sumber developer resmi.

  2. Hanya yang Dibutuhkan: Jangan menginstal plugin atau tema yang tidak lagi Anda gunakan. Semakin sedikit komponen yang terpasang, semakin kecil celah keamanannya.

  3. Hindari "Nulled" Themes/Plugins: Jangan pernah lagi menginstal tema atau plugin bajakan, karena 99% di antaranya mengandung backdoor.

Langkah 7: Install Plugin Security (Proteksi Berlapis)

Sebelum mengimpor data lama, pastikan WordPress Anda sudah memiliki sistem pertahanan yang kuat.

  1. Cari dan instal plugin keamanan tepercaya seperti Solid Security, Wordfence Security, Sucuri, atau WP Ghost.

  2. Aktifkan fitur-fitur penting seperti:

    • Firewall (WAF): Untuk memblokir akses IP yang mencurigakan.

    • Brute Force Protection: Untuk membatasi percobaan login yang salah secara berulang.

    • Two-Factor Authentication (2FA): Untuk keamanan tambahan saat login admin.

    • File Integrity Monitor: Untuk memberi tahu jika ada perubahan mendadak pada file inti WordPress.

Langkah 8: Import Data XML di WordPress Baru

Langkah terakhir adalah mengembalikan semua tulisan, halaman, dan komentar Anda dari file XML yang tadi diekspor.

  1. Di WordPress Dashboard yang baru, buka menu Tools (Peralatan) > Import (Impor).

  2. Pilih WordPress, instal plugin "WordPress Importer" jika diminta, lalu jalankan.

  3. Pilih file .xml yang sudah Anda unduh tadi.

  4. Saat proses impor, centang kotak "Download and import file attachments" untuk menghubungkan postingan dengan gambar yang sudah Anda unggah di Langkah 5 tadi.

  5. Selesai! Sekarang website Anda sudah kembali pulih dengan database dan file sistem yang benar-benar baru dan bersih.

Kesimpulan

Metode Nuclear Option ini memang melelahkan, namun ini adalah cara yang paling pasti untuk menyingkirkan malware yang membandel. Dengan mengikuti panduan di atas, Anda tidak hanya membersihkan website, tetapi juga memperkuat pertahanannya dari serangan di masa depan.