Xử lý website WordPress dính mã độc

Câu chuyện về việc website WordPress dính mã độc và bị Google index những từ khóa tiếng Nhật hoặc Trung Quốc không còn là điều xa lạ với nhiều người. Mặc dù có nhiều nguyên nhân gây ra tình trạng này, nhưng một khi website đã bị mã độc tấn công, cách xử lý là vô cùng quan trọng.

Trong bài viết này, chúng tôi sẽ chia sẻ những kinh nghiệm quý báu để giúp bạn đối mặt và khắc phục tình huống này.

Nguyên nhân vì sao website WordPress dính mã độc

Website WordPress bị dính mã độc có thể do nhiều nguyên nhân, và đây là một vấn đề khá phổ biến do tính phổ biến của nền tảng này. Dưới đây là một số nguyên nhân chính:

1. Sử dụng theme và plugin không rõ nguồn gốc:

• Theme/plugin miễn phí không rõ nguồn gốc: Đây là một trong những nguyên nhân phổ biến nhất. Các theme và plugin miễn phí được chia sẻ trên các trang web không chính thức thường chứa mã độc được cài cắm bởi những kẻ xấu.
• Theme/plugin trả phí được chia sẻ miễn phí (nulled): Ngay cả khi bạn tải xuống theme hoặc plugin được cho là “cao cấp” nhưng được chia sẻ miễn phí trên các diễn đàn hoặc trang web không chính thức, chúng rất có thể đã bị chèn mã độc.

2. Mật khẩu quản trị yếu:

• Sử dụng mật khẩu quá đơn giản, dễ đoán như “123456”, “password”, tên công ty, ngày sinh,… tạo điều kiện cho hacker dễ dàng xâm nhập vào website của bạn bằng phương pháp dò mật khẩu (brute-force attack).

3. Cấp quyền truy cập không an toàn

• Cho phép nhiều người dùng quyền admin hoặc tải lên file mà không kiểm soát chặt chẽ.

4. Không cập nhật WordPress, theme và plugin:

• Việc không cập nhật lên phiên bản mới nhất đồng nghĩa với việc website của bạn vẫn tồn tại các lỗ hổng bảo mật đã được phát hiện và vá trong các bản cập nhật. Hacker có thể lợi dụng những lỗ hổng này để tấn công và cài cắm mã độc.

5. Lỗi bảo mật trong theme hoặc plugin:

• Ngay cả khi bạn sử dụng theme hoặc plugin từ các nguồn đáng tin cậy, vẫn có thể tồn tại các lỗi bảo mật chưa được phát hiện. Hacker có thể khai thác những lỗ hổng này để xâm nhập.

6. Hosting không an toàn:

• Nếu bạn sử dụng dịch vụ hosting không đảm bảo an ninh, máy chủ có thể đã bị nhiễm mã độc, từ đó lây lan sang các website được lưu trữ trên đó, bao gồm cả website của bạn.

7. Không tuân thủ các nguyên tắc bảo mật:

• Không sử dụng SSL/HTTPS, không sao lưu website thường xuyên, không sử dụng tường lửa hoặc các biện pháp bảo mật khác cũng làm tăng nguy cơ website bị tấn công.

8. Tấn công XSS (Cross-Site Scripting) và SQL Injection:

• Đây là các hình thức tấn công phổ biến, lợi dụng các lỗ hổng trong mã nguồn của website để chèn mã độc hoặc truy cập trái phép vào cơ sở dữ liệu.

9. Không thường xuyên scan website bằng các công cụ, plugin quét tìm mã độc.

• Cài đặt plugin bảo mật (như Wordfence, Sucuri) và quyét định kì

Cách phòng tránh

Như vậy để phòng tránh và bảo vệ website WordPress khỏi mã độc, bạn cần khắc phục các nguyên nhân trên

Và nếu website WordPress đã bị dính mã độc hãy tiếp tục xem bên dưới để khắc phục và giải quyết triệt để

Xử lý website WordPress dính mã độc

Dưới đây là hướng dẫn chi tiết từng bước để xử lý website WordPress bị dính mã độc.

I/ PHƯƠNG ÁN GIẢI QUYẾT:

1. Giai đoạn đầu tiên:

• Backup lại phiên bản website trước (check lịch sử crawl đột biến trong Search Console (Google Search Console cũ) trừ ra 2 hoặc 3 tuần cho an toàn) đó lúc website chưa dính mã độc.

Kiểm tra dữ liệu google đã crawl xem có điểm bất thường không

Link 404 tăng đột biến trong search console

Thời điểm số lượng dữ liệu tăng đột biến cũng là lúc mã độc xuất hiện

P/s: Tất nhiên là bạn nên lưu lại những thay đổi 2, 3 tuần gần đây là update thêm sản phẩm, bài viết… gì cho website để khỏi tốn công viết lại 

• Dò check mã độc & xóa các tập tin, file, shell khả nghi. (update core trên Wordpress: Theme và plugin mới,…)
• Tạo 1 trang 404 để cho các link mã độc chuyển hướng đến
• Tìm điểm chung trong các URL bị dính mã độc bổ sung disallow vào tệp robots
• Nếu hosting hay VPS có nhiều website, nên tách website đang dính mã độc ra khỏi hosting đó, để tránh bị lây nhiễm.
• Kiểm tra 1 tuần 2 lần và theo dõi trong vòng 2 tuần xem website còn gặp phải vấn đề nữa hay không? hay đã xử lý triệt để rồi.

=> Đảm bảo website đã loại bỏ được mã độc và trở về trạng thái bình thường.

*Các bước liên quan đến code và server nếu quá khó thể nhờ đến đơn vị cung cấp website, cung cấp server của bạn để được hỗ trợ xử lý, đến đây bạn sẽ thấy tầm quan trọng khi chọn 1 đơn vị uy tín =))).

2. Làm sạch source code

Trường hợp: bên Vps/hosting họ chỉ reset lại hosting của mình thôi, hoặc phục hồi 7 ngày gần nhất. Còn virus thì nó có thể bị chèn trước đó cả tháng khi phát hiện thì trễ rồi phục hồi file backup cũng không làm gì đc.

Sử dụng các công cụ scan mã độc thường có phí và cũng không chắc xóa được 100% triệt để nếu mã độc đã lây lan quá nhiều vào các file, khi đó phương án làm sạch Source code là tối ưu nhất, bài viết khá dài ad đã tách riêng ra một bài viết khác

>> Tham khảo: Cài lại WordPress giữ lại nội dung khi bị dính mã độc

3. Một số tình trạng website sẽ gặp phải:

• Url bị đổi Title SEO.

website bị đổi Title SEO và URL mã độc

URL dính mã độc Google index tiếng nhật, trung

• Auto tạo ra các bài Blogs Spam bằng tiếng anh, tiếng nhật trên website.
• Xuất hiện vài chục đến vài trăm nghìn link spam.

II/ CÁCH KHẮC PHỤC VẤN ĐỀ CỦA MỘT SỐ TÌNH TRẠNG TRÊN

1. Xử lý Title SEO bị đổi

• site:domain.com bị đổi như hình

website bị đổi Title SEO và URL mã độc

=> Check các URL SEO nào đã bị đổi Title note lại sau đó “Submit Search Console” lại URL đó.

• Có thể dùng tool Screaming Frog & Website Auditor & Ahref để check hàng loạt và fix lại.

2. Lọc link và xử lý link

2.1 Lọc hết tất cả các link spam mà google đã thu thập và index bằng các cách như sau:

• Sử dụng Tool Scrapebox hoặc tips nào đó để crawl các url đã index tùy mọi người, vẫn là cú pháp site:domain.com

Tool Scrapebox crawl url đã index

• Sử dụng Search Console > Settings > Crawl stats > Not found (404) > Export file

Link 404 tăng đột biến trong search console

Thời điểm số lượng dữ liệu tăng đột biến cũng là lúc mã độc xuất hiện

“Tổng hợp và lọc thành 1 file danh sách tất cả các link spam cần xóa, và ưu tiên xóa file link đã index được crawl bằng tool”.

=> Nên áp dụng tất cả các phương pháp để tìm ra tất cả các link spam, mỗi phương pháp sẽ tìm ra những link spam mà phương pháp khác có thể bỏ sót.

• Ở bước này bắt đầu tìm điểm chung của các link bị bắn và thêm disallow vào robots, thường các link đều có định dạng hoặc cấu trúc gần giống nhau ví dụ như: *.htm, *.html, /?s= thì mọi người có thể tìm ra và thêm vào file robots

Tìm điểm chung của link và disallow trong file robots

2.2 Xóa Index trên Google Search Console hết các link spam đã lọc trùng

Nếu giả sử đã lọc ra được 99k liên kết spam, thì không thể làm thủ công bằng cách thêm từng liên kết một vào công cụ xóa chỉ mục của Google Search Console, phải không ?

xóa các URL dính mã độc

=> Sử dụng GSC Tool để xóa url hàng loạt để xóa index các link spam rất nhanh & tiện lợi . Mình có viết rất chi tiết các bạn tham khảo tại đây: Xóa url hàng loạt trong search console

3. Cải Thiện và Kiểm Định Lại Nội Dung Trên Website ( Ý này mọi người có thể xem như là audit lại tổng thể website)

Tiến hành đánh giá và lọc ra tất cả các bài viết chất lượng thấp để xóa hoặc cải thiện theo hướng sau:

• Bài viết có nội dung chất lượng tốt nhưng chưa được tối ưu hóa về SEO: Bổ sung tiêu đề, meta, mật độ từ khóa và liên kết phù hợp.
• Bài viết có nội dung kém cần phải viết lại và cải thiện thêm. ( phần này nếu như số lượng quá lớn và không đủ nhân lực có thể Private lại và audit dần)
• Bài viết đã lỗi thời và không mang lại giá trị: Xóa bỏ và thực hiện chuyển hướng đến trang tương ứng.

4. Mở rộng chủ đề SEO cải thiện traffic

Việc mở rộng chủ đề này cũng đã góp phần cải thiện thứ hạng của các từ khóa quan trọng và đồng thời tiếp tục thúc đẩy lượng truy cập đáng kể đến website. (Giai đoạn này giống như mọi người đang tiếp thêm nội lực cho website trong quá trình hồi phục sau)

website dính mã độc và sau khi xử lý phục hồi lại ổn định

III/ TĂNG CƯỜNG BẢO MẬT WEBSITE WORDPRESS

1. Sử dụng Theme và Plugin tin cậy:

– Luôn sử dụng các theme và plugin chính hãng để tránh nguy cơ từ phiên bản lậu hoặc miễn phí không tin cậy.

– Nên cập nhật các Plugin free đang cài trực tiếp trên kho wordpress, thường các bản cập nhật sẽ vá các lỗ hỏng mà nó tìm thấy ở phiên bản cũ

2. Phân tách Website ra các Hosting riêng biệt:

– Để ngăn chặn sự lây lan, nếu phát hiện 1 trong số các website cùng chung 1 host nên quay lại kiểm tra tổng thể tất cả các website còn lại, nên tách các website ra thành các hosting độc lập.

3. Sử Dụng Plugin bảo mật:

– Cài đặt và sử dụng plugin bảo mật như iThemes Security, Wordfence Security,… để tăng cường khả năng đề phòng.

4. Thay đổi đường dẫn đăng nhập:

– Để đối phó với các cuộc tấn công, nên thay đổi đường dẫn đăng nhập vào hệ thống. ( Ví dụ như sau đuôi tên miền: /login, /admin, /wp-login, /wp-admin. → nên đổi sang 1 định dạng slug riêng khó đoán hơn VD: quantri-tencongty,…)

5. Lên lịch check lịch sử Crawl của Google để phát hiện và giải quyết vấn đề sớm và nhanh nhất

Cài đặt scan định kì cho website và thường xuyên check lịch sử crawl của google cũng như chú ý những mail từ search console báo về để phát hiện và giải quyết mã độc sớm nhất

Kết luận

Bài viết chia sẻ các hạng mục cần giải quyết khi website wordpress bị hack, bị dính mã độc. Cảm ơn và chúc mọi người thành công trong việc xử lý vấn đề website wordpress bị dính mã độc và nâng cao bảo mật website WordPress của mình.