Cảnh báo tình trạng mã độc tấn công website WordPress quy mô lớn.
Dạo gần đây, số lượng các cuộc tấn công bằng mã độc vào các website sử dụng mã nguồn WordPress có xu hướng ngày càng gia tăng. Bằng chứng rõ ràng nhất là vào ngày hôm qua, nhiều bạn đã phải liên hệ gấp cho tôi để nhờ hỗ trợ giải quyết việc website bị nhiễm mã độc (Google AdWords không cho chạy quảng cáo, nhận email cảnh báo từ phía nhà cung cấp hosting…). Điểm chung của các loại mã độc này là chui vào file theme, plugin hoặc vào thư mục uploads thông qua các file PHP.
Tham khảo thêm:
- Chống Brute Force Attack hiệu quả cho website WordPress
- Cách phát hiện mã độc, backlink ẩn trong theme và plugin lậu
Dấu hiệu cho thấy mã độc tấn công website của bạn
Một số dấu hiệu cơ bản của website WordPress đã bị hack hoặc nhiễm mã độc mà bạn có thể dễ dàng nhận ra:
- Bị trình duyệt web hiển thị cảnh báo không an toàn khi truy cập vào website.
- Bị các công cụ tìm kiếm hiển thị cảnh báo trên kết quả tìm kiếm.
- Bị cảnh báo vấn đề bảo mật trong Google Search Console.
- Bị thay đổi nội dung hiển thị trên kết quả tìm kiếm (tiếng Nhật, tiếng Trung Quốc…).
- Website bỗng dưng bị nhà cung cấp host tạm dừng cung cấp dịch vụ (suspend).
- Không thể đăng nhập được vào trang quản trị của WordPress.
- Website bị lỗi trắng trang (lỗi 500), lỗi 503… hoặc bị chậm một cách bất thường.
- Website bị chuyển hướng (redirect) sang một website khác.
- Email gửi từ website bỗng dưng bị đánh dấu spam.
- Xuất hiện file với tên lạ trong mã nguồn WordPress, theme hoặc plugin.
- Nội dung của các file như
wp-config.php,.htaccessbị thay đổi. - Nhận được cảnh báo mã độc từ nhà cung cấp hosting.
- Xuất hiện các tài khoản quản trị hosting, quản trị WordPress lạ.
- Xuất hiện plugin lạ (hiển thị trong danh sách plugin đã cài đặt hoặc chỉ hiển thị thư mục trong hosting).
Dưới đây là ảnh chụp thông báo khi tôi giúp một khách hàng chuyển dữ liệu từ host cũ sang dịch vụ WordPress Hosting do WP Căn bản quản lý:
Điều này có nghĩa là trước khi chuyển qua hệ thống hosting của chúng tôi, khách hàng đã để website bị nhiễm rất nhiều mã độc nguy hiểm.
Chúng có thể được chèn vào một file bất kỳ có trong theme, plugin hoặc file mã nguồn WordPress:
Hoặc nằm trong một file riêng biệt được upload vào thư mục của theme, plugin, wp-admin, wp-includes và cả thư mục uploads của WordPress:
Những mã độc này thường là backdoor, webshell… có khả năng xâm nhập và phát tán rất nhanh:
Chúng gây ra những hậu quả vô cùng nghiêm trọng, chẳng hạn như:
- Tên miền của bạn bị chuyển hướng sang một website khác (thường là các web đen).
- Không thể đăng nhập được vào khu vực quản trị của WordPress.
- Gây lỗi 503, lỗi trắng trang (lỗi 500).
- Bơm các từ khóa spam lên kết quả tìm kiếm (Google, Bing…).
- Thu thập các dữ liệu nhạy cảm của bạn và khách hàng được lưu trữ trên website (thông tin cá nhân, mật khẩu, tài khoản ngân hàng).
- Bị các trình duyệt web cảnh báo nguy hiểm làm giảm mức độ uy tín và mất khách truy cập.
- Bị các công cụ tìm kiếm đánh tụt thứ hạng hoặc thậm chí là cho vào blacklist, xóa khỏi kết quả tìm kiếm.
- Bị Google, Facebook… không cho chạy quảng cáo.
- Website của bạn bị biến thành bot net để spam hoặc tấn công các website khác.
Các nguyên nhân khiến website của bạn bị mã độc tấn công
Có rất nhiều nguyên nhân khiến website của bạn dễ bị nhiễm mã độc, trong đó có thể kể ra như:
- Sử dụng theme, plugin có nguồn gốc không rõ ràng (nulled hay còn gọi là “lậu”).
- Không update WordPress, theme, plugin thường xuyên để vá các lỗi bảo mật còn tồn tại trên phiên bản cũ.
- Đặt mật khẩu quá đơn giản, dễ bị phát hiện.
- Sử dụng tên đăng nhập mặc định, chẳng hạn như root, admin hay administrator.
- Không cài đặt các plugin hỗ trợ bảo mật. Không giới hạn việc upload file lên các khu vực khác nhau trong hosting.
- Sử dụng hosting có khả năng bảo mật kém, không được trang bị hệ thống quét mã độc, cảnh báo mã độc.
Tham khảo thêm: Những nguyên nhân có thể khiến website bị hack
Làm thế nào để phòng chống mã độc tấn công?
- Không sử dụng theme, plugin không rõ nguồn gốc hoặc được download từ những trang không đảm bảo uy tín.
- Thường xuyên kiểm tra và update WordPress, theme, plugin ngay khi có phiên bản mới, đặc biệt là các bản vá bảo mật.
- Đổi tên đăng nhập và đặt lại mật khẩu đủ mạnh (gồm nhiều ký tự, có chứa ký tự đặc biệt). Bật chế độ bảo mật 2 bước hay xác minh 2 bước cho website và hosting (nếu cPanel có hỗ trợ).
- Cài thêm các plugin hỗ trợ bảo mật, giới hạn số lần đăng nhập thất bại. Sử dụng file
.htaccessđể ngăn chặn việc upload file PHP vào các khu vực nhạy cảm. - Lựa chọn các nhà cung cấp hosting uy tín, có hệ thống quét và cảnh báo mã độc tự động. Không nên sử dụng VPS, server riêng để chạy web nếu bạn không đủ khả năng cấu hình, quản lý và tối ưu bảo mật cho chúng.
Ngoài ra, WP Căn bản đã có rất nhiều bài viết hướng dẫn cách bảo mật WordPress. Các bạn có thể tham khảo để biết cách giúp website của mình trở nên an toàn hơn trước các cuộc tấn công của hacker.
Làm gì khi nghi ngờ website bị mã độc tấn công?
- Kiểm tra xem có nhận được email cảnh báo nào từ phía nhà cung cấp hosting hay không. Nếu có, chúng thường chỉ ra vị trí chính xác của file bị nhiễm.
- Download toàn bộ mã nguồn web về máy tính, quét bằng phần mềm diệt virus trên máy tính của bạn, đồng thời upload và quét trên các công cụ online như VirusTotal.
- Kiểm tra hosting xem có file nào lạ (không thuộc về WordPress và các plugin liên quan) hay không?
- Kiểm tra các file
.htaccess,wp-config.phpxem có đoạn code nào lạ hay không? - Cài đặt các plugin bảo mật như Sucuri Security, Defender và tiến hành quét toàn bộ mã nguồn website.
Trong trường hợp bạn không tìm ra “manh mối”, vui lòng liên hệ ngay với chúng tôi để được tư vấn và hỗ trợ gỡ bỏ với mức giá hợp lý nhất.
Bạn nghĩ gì về vấn đề mà tôi vừa đề cập ở trên? Bạn có kinh nghiệm hoặc các phương pháp hiệu quả khác giúp nâng cao khả năng bảo mật cho website WordPress? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)
web bị cảnh báo lừa đảo rồi có cách nào khắc phục kho anh chỉ em với
Kiểm tra lại xem site có bị nhiễm mã độc hay các code redirect sang trang khác không? :P
Mình dùng plugin Clef và tắt form đăng nhập bằng mật khẩu. Chỉ xài đc clef để đăng nhập
Vậy mà wordfence vẫn báo có user đăng nhập sai với tên…
K hiểu sao nó đăng nhập đc vậy luôn
Nó đăng nhập bằng bots chứ có phải người đâu mà không đăng nhập được bạn. :P
Admin cho em hỏi là Filename: wp-admin/core là gì.? Mình có nên xóa nó đi không cám ơn.. Nó có ảnh hưởng tới bảo mật trong Wp không?
File có tên là “core” nằm trong thư mục “wp-admin” à bạn? Theo mình biết thì trong phiên bản WordPress mới nhất không có file hay thư mục con nào tên là “core” trong “wp-admin” cả. :P
Dạo này em không vào web thường xuyên, hôm qua vào thấy 1 bài viết bị sửa thành tiếng Nhật là sao anh
Nhiều khả năng bị nhiễm mã độc rồi bạn.
Mình đã inbox facebock nhưng chưa thấy bạn phản hồi
Mình cần hỗ trợ về lỗi chuyển trang auto
cho mình hỏi web https://hopdaithanh.com của mình có rất nhiều file grid-metaclass.php
ko biết file này có phải của wp hay do virus tự cài vào nhỉ (web của mình đang bị Google cảnh báo bị tấn công)
Google thông báo:
Dưới đây là một số URL ví dụ mà chúng tôi phát hiện thấy các trang đã bị xâm phạm. Hãy xem lại chúng để biết rõ hơn vị trí mà nội dung bị tấn công này xuất hiện. Danh sách này không đầy đủ đầy đủ.
http://hopdaithanh.com/index4.php?yhsw=
http://hopdaithanh.com/index4.php?yhsw=kaley-cuoco-ranch
http://hopdaithanh.com/index4.php?yhsw=ns-refund
Site này nhiễm mã độc rồi bạn nhé. File grid-metaclass.php thì mình không rõ vì bạn không nói nó nằm ở đường dẫn nào. Nhưng chắc chắn 1 điều là WordPress không có file index4.php ở thư mục gốc.
kinh khủng quá