Làm thế nào để phát hiện mã độc, backlink ẩn trong theme và plugin lậu một cách nhanh chóng?
Theme, plugin “lậu” (hay còn gọi là nulled theme, nulled plugin) là những sản phẩm thương mại (trả phí) nhưng được chia sẻ rộng rãi trên mạng internet dưới hình thức hoàn toàn miễn phí. Còn lý do tại sao người ta lại làm như vậy thì tôi đã từng chia sẻ cho các bạn trong một bài viết trước đây rồi. Nếu chưa đọc, bạn có thể tham khảo nó trong phần link tham khảo ngay bên dưới. Quay trở lại vấn đề chính, theme và plugin “lậu” thường tiềm ẩn nhiều nguy cơ về bảo mật: mã độc, mã chuyển hướng (redirect), backdoor, backlink ẩn… Tuy nhiên, điều đáng nói hơn là khoảng 80% người dùng Việt Nam đang sử dụng những sản phẩm kiểu như thế này.
Tham khảo thêm:
- Những trang share theme lậu kiếm tiền như thế nào?
- Tại sao bạn nên mua theme premium thay vì dùng theme free?
Website của bạn đang sử dụng theme và plugin “lậu”? Nó có thể là do bạn chủ động cài đặt vào vì muốn tiết kiệm chi phí. Cũng có thể là do đơn vị thiết kế web đã cố tình sử dụng sản phẩm nulled để tối đa hóa lợi nhuận mà bạn không hề biết. Nhưng dù vì bất cứ lý do gì thì website của bạn cũng đang phải đối mặt với những nguy cơ rất lớn về bảo mật.
Làm thế nào để phát hiện mã độc, backlink ẩn?
Có nhiều phương pháp khác nhau để làm việc này. Tuy nhiên, bạn nên kết hợp tất cả chúng để mang lại hiệu quả tốt nhất.
Sử dụng VirusTotal
VirusTotal là một trong những công cụ quét virus trực tuyến miễn phí, tốt nhất hiện nay. Nó là sự tổ hợp của hàng chục các hệ thống antivirus khác nhau, chẳng hạn như: ClamAV, Avira, Kaspersky, Avast, AVG, Bidefender… nên có độ tin cậy khá cao. VirusTotal hỗ trợ quét cả URL của website lẫn các tập tin. Và trong trường hợp này, các bạn cần sử dụng tính năng quét tập tin để kiểm tra file theme, plugin mà bạn đã hoặc sắp sửa cài đặt lên website.
Tuy nhiên, các bạn cũng cần lưu ý là VirusTotal chỉ phát hiện được virus, backdoor, malware… nên trong trường hợp theme, plugin chỉ bị nhúng code redirect, pop-up, backlink ẩn… thì nó hoàn toàn bó tay. Ngoài ra, một số engine cũng có thể hiểu nhầm file sạch là file virus.
Các phương pháp tiếp theo sẽ phần nào giúp các bạn giải quyết được vướng mắc còn lại.
Sử dụng plugin Exploit Scanner
Exploit Scanner là một plugin được phát triển bởi chính Automattic – đơn vị chủ quản của WordPress.com. Nó có khả năng tìm và phát hiện các đoạn code kiểu display:none, visibility:hidden (thường được hacker sử dụng để chèn backlink ẩn) trong file plugin.
Sau khi cài đặt và kích hoạt, các bạn chỉ cần truy cập vào Tools => Exploit Scanner => click vào nút Run the Scan để bắt đầu quá trình tìm kiếm.
Kết quả tìm kiếm sẽ cho phép bạn nhanh chóng định vị được các đoạn mã đáng ngờ có trong file của plugin:
Sử dụng plugin String locator
String locator là một plugin khá hữu dụng giúp bạn nhanh chóng tìm ra vị trí của những đoạn mã đáng ngờ hiển thị trên source HTML của website. Cách sử dụng của nó cũng khá đơn giản, các bạn chỉ cần cài đặt => kích hoạt => sau đó truy cập vào Tools => String Locator để bắt đầu quá trình tìm kiếm.
Sử dụng plugin Theme Authenticity Checker (TAC)
Cũng tương tự như 2 plugin bên trên, TAC kiểm tra các tập tin của các giao diện đã được cài đặt để tìm ra các dấu hiệu của mã độc. Nếu tìm thấy đoạn mã khả nghi, TAC sẽ hiển thị đường dẫn tới tập tin chứa nó, số dòng và nội dung chi tiết của đoạn mã.
Cách sử dụng plugin này cũng rất đơn giản. Sau khi cài đặt và kích hoạt, các bạn chỉ cần truy cập vào Appearance => TAC và xem kết quả.
Lời khuyên
Trên đây là một số phương pháp cơ bản giúp bạn phát hiện mã độc, backlink ẩn trong theme và plugin lậu. Hy vọng bạn sẽ nhanh chóng tìm ra được những nguy cơ bảo mật đang ẩn chứa trên website của mình nếu đã lỡ… trót dại. Tuy nhiên, phòng bệnh vẫn hơn chữa bệnh. Nếu có ý định xây dựng website nghiêm túc, tốt nhất các bạn nên đầu tư một khoản tiền cho việc mua theme và plugin chính hãng (mua trực tiếp từ nhà cung cấp, không nên mua qua trung gian với mức giá rẻ bởi vì bạn sẽ không thể biết chính xác sản phẩm có nguyên bản hay không).
Bạn đang sử dụng những phương pháp nào để tìm kiếm và phát hiện mã độc trên website của mình? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)
Tải mấy cái theme null thì cũng để test theme trước khi mua trên themeforest thôi
Đầy người đang dùng theme lậu để chạy website công ty hẳn hoi bạn nhé. :D
Em chào anh Hiếu ạ. Anh Hiếu có thể giúp em vấn đề này không ạ.
Tình hình là em có 1 theme download từ trên mạng (nguồn gốc khá tin tưởng). Khi em dùng plugin Theme Authenticity Checker để kiểm tra thì nó báo thông tin như thế này ạ:
Encrypted Code Found!:
Line 390: “base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAA…”
(Ngoài ra thì có thêm thông tin là 8 Static Link(s) Found…)
Em vào theme tìm đến line 390 thì nó ra như thế này:
$transparent_img = ‘data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==’;
Em mới tìm hiểu về Wordpress, chưa rành về code, nên anh Hiếu có thể giúp em sửa lại đoạn đó sao cho theme không còn bị lỗi “Encrypted Code Found!” được không ạ.
Em cám ơn anh Hiếu nhiều ạ :)
Đây là một đoạn code đã được mã hóa base64 bạn nhé. Và nhiều khả năng nó là mã độc, backdoor hoặc backlink ẩn. Bạn không nên sử dụng theme lậu được download từ các nguồn không rõ ràng.
Dạ, sau này ngân sách thoải mái em sẽ mua theme bản quyền ạ :D.
Anh Hiếu biết sửa lại dòng code trên sao cho đúng ko anh, anh Hiếu chỉ em với. Em cám ơn anh :D
Không phải là sửa dòng code mà phải xóa bỏ hẳn nó đi.
em xóa rồi nhưng upload lên thì nó kêu bị lỗi anh ạ. Anh giúp em với :(
Mình không có thời gian để đi gỡ bỏ mã độc trên theme lậu đâu bạn ạ. Nếu không có điều kiện mua theme trả phí thì bạn nên chọn các theme miễn phí trên kho của WordPress.org sẽ tốt hơn là dùng theme lậu từ các nguồn không đảm bảo.
Cái Theme Authenticity Checker (TAC). mã độc sờ sờ mà lúc nào cũng báo ok
Cũng phải xem plugin TAC có dữ liệu về theme gốc để đối chiếu không nữa. Nếu không có để đối chiếu thì nó báo OK là đúng rồi. :D
Cám on bạn Hiếu chia sẻ nhé, mình đang cần tìm nguoif làm dịch vụ khác phục wp bị chèn code hại đây, bạn nhận dùm mình?
Dịch vụ thì bên mình không có đâu bạn nhé. Nhưng nếu bạn chuyển sang dùng host của bên mình thì sẽ được hỗ trợ xử lý mã độc miễn phí và ngăn ngừa nhiễm lại. Thông tin chi tiết bạn có thể xem tại đây.
Tốt nhất là cứ phòng trước khi chống. Chứ việc kiểm tra, mình đoán không thể phát hiện được 100%.
Ví dụ nếu đã xác định không đủ tiền mua từ trang gốc, thì hãy kiếm các trang bán lại mà đảm bảo. Hoặc tìm plugin/theme khác tương tự chức năng để thay thế.
Chả có trang nào bán lại mà đảm bảo được cả. Tốt nhất cứ mua chính hãng. Đắt nhưng yên tâm và được hỗ trợ + update thường xuyên. :D
Không đảm bảo nhưng cũng để cho yên tâm chút. Nhưng nếu xác định lập blog/website để kinh doanh, hoặc để kiếm tiền thì cũng phải đầu tư chút, chứ xài hàng không rõ nguồn gốc, đến lúc gặp vấn đề, lại mất cả đống thời gian, đôi khi là tiền.
Trước bạn mình có xài bản null của Flatsome, ban đầu xài chả có vấn đề gì, sau đến lúc dính virus, mấy chục cái web, thuê sửa mất 4-5 triệu thì lúc đó mới thấy xót =)))
hôm nay quet virus web tại virustotal .com thì nó xuất màu đỏ tại dòng
Yandex Safebrowsing Malware site .. Không biết ad gặp vấn đề này chưa :~~ Mong ad chỉ cho các giải quyết với :))
Link website của bạn đâu? :P
link web minh xxx .. ko biết bạn có ngại ko :)) … Nếu bạn cảm thấy ko sao minh inbox tại page facebook cho bạn được ko :))
Mình thấy dùng SEOquake check link ẩn được, nhưng không biết nó có tìm ra hết được link ẩn không?
Cảm ơn bạn chia sẻ :)
Mình check 3 cái trên không vấn đề j
Nhưng Theme Authenticity Checker thì lại rất nhiều
base64 Đỏ gần 100 cái
Hy mình chỗ đường link đó thì báo bạn không có quyền truy cấp đường link này
Check phpmyadmin base64 thì quả 3 file có xóa hết đi rùi Nhưng thật sự mình không yên tâm lém
Chắc cắn răng mua themer vậy
Mình đang phân jnews 9 vs Newspaper 11
Bạn cho xin ý kiến nhé
Cá nhân mình thích Newspaper hơn là JNews. :)
Đa Tạ …^.^
Tự dung hôm nay vào phát hiện 2 thư mục và phần mail thì có 2 cái địa chỉ, thư mục tạo hôm 29 mà đến nay site vẫn chưa có hiện tượng phá, k biết bác Hiếu có công cụ quét link ngoài các công cụ trên không nhỉ. đang sợ nó chèn baclink bẩn
Bạn có thể sử dụng Sucuri SiteCheck kết hợp với một plugin bảo mật như Sucuri Security hoặc Defender Security để quét mã nguồn nhé.
Có một cách khá đơn giản hơn là sử dụng Hosting của một đơn vị có chức năng Scan Virus …
Cũng là 1 cách nhưng thường… không ăn thua vì chúng không chuyên dụng cho mã nguồn WordPress bác ạ. :)
Hiện tại các đơn vị chuyên Hosting đều có những gói dành riêng cho WP hết rồi Bác Bác. Trong số các Hosting mình sử dụng có sử dụng gói bên chỗ Bác, thấy khá ổn . Mình từng xài vài chỗ khác, VD: Z … cơm gì đó, Hosting bị Virus, và toàn bộ các Web nằm trên đó đều bị nhiễm, mà bên đó lại từ chối hỗ trợ, với lí do là do 1 khách khác làm nhiễm Virus chứ không phải cho bên Z … cơm làm .
Bên em thì dù do nguyên nhân gì thì cũng đều được hỗ trợ xử lý hết. :D