Cách quét mã độc WordPress và xử lý malware triệt để

Quét mã độc WordPress là quá trình sử dụng công cụ để kiểm tra file, thư mục và cơ sở dữ liệu của website WordPress nhằm phát hiện các đoạn mã độc hại, backdoor hoặc các dấu hiệu xâm nhập khác. Điều này giúp bạn chủ động phát hiện và xử lý các mối đe dọa để duy trì sự ổn định và bảo mật cho website. Trong bài viết này, mình sẽ hướng dẫn bạn cách quét mã độc WordPress nhanh chóng nhất.

Những điểm chính

• Ảnh hưởng của mã độc: Mã độc có thể ẩn trong theme, plugin, bình luận hoặc được cài đặt kèm phần mềm khác, gây ra các vấn đề như thêm backlink, theo dõi người dùng, chèn quảng cáo, đánh cắp thông tin, hoặc làm sập website.
• Khi nào cần quét mã độc: Nên quét mã độc thường xuyên, đặc biệt khi có các dấu hiệu bất thường như traffic giảm, xuất hiện link lạ, giao diện bị thay đổi, không đăng nhập được,…
• Cách quét mã độc thủ công: Bắt đầu bằng việc tải và sao lưu website, quét mã độc trên, loại bỏ file nghi ngờ, upload lại mã nguồn WordPress gốc, đặt lại mật khẩu và cuối cùng cài lại plugin/theme. 
• Cách quét mã độc bằng plugin Wordfence: Bắt đầu bằng việc cài đặt và kích hoạt plugin, truy cập dashboard, bắt đầu quét và xử lý kết quả.
• Việc cần làm sau khi phát hiện malware: Bạn cần thay đổi tất cả mật khẩu, bật xác thực hai yếu tố (2FA), kiểm tra và xóa tài khoản người dùng lạ, backup website sạch, quét mã độc thường xuyên.
• Biết đến Vietnix là nhà cung cấp hosting hàng đầu Việt Nam giúp bứt phá hiệu suất website.

Phần mềm độc hại ảnh hưởng trang web như thế nào?

Người dùng WordPress hầu hết đều lựa chọn sử dụng theme mà họ thích (bao gồm cả miễn phí và trả phí). Tuy nhiên, có một điều mà người dùng nên lưu ý khi chọn theme đó là những đoạn mã (code) được nhúng trong các theme.

Điều này không được nhiều người chú ý vì phần lớn người dùng không phải là một developer. Do đó, bạn nên có một quy trình để thực hiện scan website WordPress tìm phần mềm độc hại.

Đặc biệt, bạn cần cẩn thận khi chọn mua các theme từ website bên thứ ba hoặc tải các theme miễn phí không rõ nguồn gốc, nhất là các theme null trên mạng. Bởi có một số nhà cung cấp có mục đích xấu có thể nhúng mã độc gây hại cho website của người dùng. Những đoạn code nhúng vào theme có thể là những đoạn code vô hại hoặc ít gây hại. Tuy nhiên cũng có trường hợp gây hại nghiêm trọng, làm sập website của bạn hoàn toàn. Các đoạn code này thường được nhúng vào theme một cách kín đáo, khiến bạn không hay biết.

Theme không phải là cách duy nhất để mã độc tấn công website của bạn. Cũng có thể là trong các plugin, trong phần bình luận bằng cách thực hiện hack hoặc tấn công brute force. Ngoài ra, bạn có thể chọn cài đặt phần mềm đi kèm với một số ứng dụng mà bạn tải xuống và cài đặt. Phần mềm đó thường có thể là phần mềm độc hại hoặc phần mềm gián điệp, nó được ngụy trang dưới một tính năng bổ sung. Bạn có thể vô tình cho phép các tùy chọn này trên website của mình, nơi các phần mềm độc hại ẩn nấp và thêm nhiều phần mềm độc hại vào website.

Lý do hacker muốn nhúng phần mềm độc hại vào website:

• Thêm backlink và chuyển hướng đến các website mà họ mong muốn.
• Theo dõi khách truy cập vào website của bạn.
• Thêm các banner hoặc quảng cáo của họ.
• Lấy cắp các thông tin cá nhân như tên, mật khẩu và địa chỉ email.
• Đánh sập website của bạn.

Nếu không phát hiện sớm phần mềm độc hại thì hacker có thể tiếp tục sử dụng website của bạn để thu thập thông tin, gửi các email spam và lây nhiễm cho khách truy cập website của bạn.

Khi nào nên quét mã độc website WordPress?

Bạn có thể quét mã độc website WordPress của bạn bất cứ lúc nào. Thông thường, những người mới bắt đầu làm website WordPress không cài đặt trình quét bảo mật WordPress ngay lập tức. Điều này đồng nghĩa với việc phần mềm độc hại hoặc mã độc có thể không được chú ý trong một khoảng thời gian dài.

Nhiều người dùng không nhận thấy bất cứ điều gì khác thường cho đến khi xuất hiện một số dấu hiệu đáng ngờ. Các dấu hiệu website bị hack phổ biến nhất mà bạn cần chú ý là:

• Traffic của website đột ngột giảm nhanh.
• Website xuất hiện các đường dẫn độc hại.
• Trang chủ website của bạn bị tấn công giao diện Defaced.
• Không thể đăng nhập vào tài khoản WordPress.
• Xuất hiện nhiều tài khoản người dùng đáng ngờ trong WordPress.
• Xuất hiện các tệp tin và thư mục lạ trên máy chủ.
• Website của bạn chậm hoặc không phản hồi.
• Nhật ký máy chủ xuất hiện hoạt động bất thường.
• Không thể gửi đi hoặc nhận email WordPress.
• Các nhiệm vụ theo lịch trình có dấu hiệu đáng ngờ.
• Xuất hiện những quảng cáo lạ trên website của bạn.

Ngay cả khi website WordPress của bạn không bị hack hoặc không bị ảnh hưởng, bạn cũng nên tìm hiểu và thực hiện cách quét website WordPress của mình để tìm mã độc. Điều này sẽ giúp bạn bảo vệ website của mình, phòng tránh các cuộc tấn công có thể xảy ra trong tương lai.

Việc quét mã độc WordPress thủ công đòi hỏi bạn phải có nhiều thời gian và kiến ​​thức kỹ thuật. Tuy nhiên quét mã độc WordPress theo cách này thì bạn có thể dễ dàng biết được thông tin chi tiết về nơi đã xảy ra việc tấn công. Để quét mã độc WordPress bằng phương pháp thủ công, bạn hãy thực hiện theo các bước sau đây:

Bước 1: Thực hiện tải và sao lưu trang web về máy tính

Trước khi thiết lập hay điều chỉnh các file quan trọng của website, bạn cần phải sao lưu website và hãy giữ một bản backup database của bạn được lưu trữ cục bộ.

Có 2 cách để tiến hành sao lưu website, đó là sử dụng trình quản lý file manager trên cPanel và FTP client.

• File manager: Nhấp chuột phải vào thư mục public_html, sau đó bạn chọn tất cả file cần sao chép và nhấp chuột phải để chọn Compress. Sau khi nén file hoàn tất, bạn nhấp chuột phải và tải xuống để lưu nó vào máy tính.
• FTP: Đi đến Site Manager > Connect. Sau đó, thực hiện tương tự như cách trên để tải xuống thư mục. Điểm khác biệt ở đây là bạn sẽ cần sử dụng một ứng dụng FTP client như FileZilla.

Nếu bạn có quyền truy cập vào website của mình, hãy sử dụng các plugin như UpdraftPlus, Backup Buddy hoặc VaultPress để tiết kiệm thời gian.

Bước 2: Tiến hành quét mã độc WordPress website trên máy tính

Vietnix khuyên bạn nên quét mã độc website bằng phần mềm diệt virus. Sử dụng hệ thống chống và quét Malware như Kaspersky, Windows Defender hoặc MalwareBytes để xác định mã độc.

Nếu quá trình quét mã độc thành công, bạn sẽ tìm thấy mã độc và loại bỏ chúng khỏi website của bạn. Sau đó, bạn hãy tiến hành upload bản website mới này lên hosting.

Bước 3: Loại bỏ sự lây nhiễm của mã độc

Để loại bỏ sự lây nhiễm của mã độc khỏi website WordPress của mình, bạn cần thực hiện những điều sau đây:

• Truy cập các file của website thông qua FTP hoặc file manager.
• Xóa mọi file và thư mục trong thư mục website, trừ wp-config.php và wp-content.
• Mở wp-config.php hoặc wp-config-sample.php có thể tìm thấy trên Kho lưu trữ WordPress để so sánh nội dung của nó với cùng một file từ bản cài đặt mới.
• Tìm kiếm các đoạn mã code dài, lạ hoặc có dấu hiệu đáng ngờ và tiến hành loại bỏ chúng. Sau khi kiểm tra xong file, bạn cũng nên thay đổi mật khẩu của cơ sở dữ liệu.

Tiếp theo, bạn đến thư mục wp-content và thực hiện các tác vụ trên những thư mục sau đây:

• Plugins: Liệt kê tất các các plugin đã cài đặt và xóa thư mục con. Sau đó, bạn có thể tải xuống và tiến hành cài đặt lại chúng. Bạn không nên tải những plugin lậu hay có nguồn gốc không rõ ràng trên mạng.
• Themes: Xóa mọi thứ ngoại trừ theme hiện tại của bạn và kiểm tra các đoạn code đáng ngờ hoặc bạn có thể xóa thực mục này hoàn toàn nếu bạn đã có một bản sao lưu sạch hoặc không ngại việc phải cài đặt lại.
• Uploads: Kiểm tra xem có file nào không phải của bạn tải lên.
• Index.php: Hãy xóa file này sau khi bạn đã xóa các plugin.

Bước 4: Sử dụng bộ mã nguồn WordPress để upload lại lên website

Bạn hãy tải xuống mã nguồn WordPress gốc thông qua FTP hoặc trình quản lý file và upload lên website. Sau đó bạn đăng nhập vào cPanel, truy cập vào File manager, chọn mục public_html và bấm nút Upload trên thanh công cụ.

Khu vực upload mã nguồn sẽ xuất hiện tương tự như sau, bạn bấm Select File và upload toàn bộ file mã nguồn .zip đã backup ở bước 1.

Sau đó bạn quay trở lại thư mục public_html, tìm đến file zip vừa upload, bấm chuột phải và chọn Extract để giải nén toàn bộ file và khôi phục lại website như cũ.

Bước 5: Đặt lại mật khẩu cho WordPress

Bạn hãy đăng xuất mọi tài khoản và kiểm tra những tài khoản người dùng không hoạt động hoặc tài khoản đáng ngờ và tiến hành đặt lại mật khẩu của mình.

Bước 6: Cài đặt lại các Plugin và Theme

Hoàn thành 5 bước vừa kể trên là bạn đã hoàn tất quá trình quét mã độc WordPress và loại bỏ chúng khỏi website. Lúc này, bạn có thể cài đặt lại tất cả các plugin và theme đã xóa mà bạn có.

Chọn plugin bảo mật WordPress

Cho dù có malware ẩn trên websitehay không, thì bạn vẫn nên chọn và sử dụng plugin bảo mật WordPress trước các loại mã độc nguy hiểm hiện nay. Đối với người dùng WordPress, có 2 lựa chọn hàng đầu là WordFence và Sucuri. Cả hai loại này đều được người dùng đánh giá rất cao về khả năng bảo mật cũng như phát hiện và quét mã độc trên WordPress rất tốt.

Ở bài viết này, mình sẽ sử dụng Wordfence để hướng dẫn bạn cách quét malware trên WordPress một cách nhanh chóng nhất.

Sử dụng plugin Wordfence giúp quá trình tìm kiếm mã độc trở nên dễ dàng và nhanh chóng hơn trên WordPress.

Bước 1: Tải và kích hoạt plugin Wordfence Security

Đầu tiên, bạn cần tải và cài đặt plugin Wordfence Security từ kho plugin WordPress chính thức theo link: https://wordpress.org/plugins/wordfence/. Hoặc bạn cũng có thể truy cập vào Plugin từ dashboard WordPress, chọn Add New và gõ từ khóa Wordfence Security trên thanh tìm kiếm rồi bấm Install Now > Acitve.

Bước 2: Truy cập trang Dashboard của Wordfence

Sau khi kích hoạt plugin, bạn vào bảng điều khiển Wordfence để kiểm tra thông tin tổng quan về tình trạng bảo mật website hiện tại.

Bước 3: Bắt đầu quét mã độc bằng Wordfence

Bạn truy cập vào Scan và bấm START NEW SCAN để bắt đầu quét mã độc WordPress. Ngay bên dưới, bạn có thể thấy các tiêu chí quét mã độc của Wordfence như Server Stane, File Changes, Malware Scan, Content Safety,… Sau khi kết thúc quá trình quét, bạn có thể xem nhật ký quét tại mục Results Found và xóa toàn bộ các file có thể xóa bằng cách bấm Delete All Deletable Files.

Bước 4: Xử lý kết quả sau khi quét mã độc

Sau khi thấy kết quả của quá trình quét mã độc WordPress, đã đến lúc bạn cần phải xử lý các file và mã độc này ngay.Nếu bạn thấy các file với thông báo là High Priority với dấu chấm màu đỏ như hình dưới, thì hãy chọn các file này và nhấn vào nút DELETE ALL DELETABLE FILES phía trên.

Hệ thống sẽ yêu cầu bạn xác nhận việc xóa file, bạn nhấn vào Delete Files để Wordfence xử lý.

Lúc này, nếu bạn muốn kiểm tra kỹ hơn thì có thể nâng cấp lên bản cao cấp hơn của Wordfence. Hoặc muốn kiểm tra sâu hơn, bạn có thể dùng plugin Sucuri để xem liệu nó có bắt được bất kỳ thứ gì trong Wordfence bị bỏ sót lại hay không.

Các file bị nhiễm phần mềm độc hại đã được xóa hoàn toàn, giờ bạn cần giải quyết các vấn đề nhỏ hơn. Nếu bạn thấy thông báo phiên bản WordPress, plugin hay theme đã lỗi thời như hình dưới thì cần tiến hành update những yếu tố này lên phiên bản mới nhất.

Phải làm gì sau khi tìm thấy malware trong WordPress?

Một số cách bảo vệ website bạn sau khi kiểm tra mã độc WordPress xong:

• Thay đổi tất cả passwords: Bạn có thể không biết làm thế nào mà phần mềm độc hại lại có ở đây. Nhưng có thể password của quản trị viên và người dùng đã bị xâm nhập theo một cách nào đó. Vì vậy, cần phải thay đổi tất cả. Sử dụng plugin MASS Users Password Reset để làm điều đó và nó sẽ thông báo cho mọi người theo email mà họ đã đăng ký.
• Bật xác thực hai yếu tố (2FA): Bằng cách kích hoạt 2FA trên website của bạn, điều đó có nghĩa là ngay cả khi password bị xâm nhập, kẻ tấn công sẽ không thể xâm nhập sâu hơn vào website của bạn. Bước này đang trở nên bắt buộc khi các cuộc tấn công vào các trang WordPress ngày càng tăng.
• Kiểm tra người dùng đã đăng ký: Để an toàn, hãy kiểm tra những người dùng trên website của bạn có quyền chỉnh sửa file và các quyền khác. Nếu kẻ tấn công vào bên trong website của bạn, tạo tài khoản người dùng cho chính họ thì 2FA và việc thay đổi password sẽ được thực thi. Vì vậy, hãy kiểm tra và loại bỏ chúng. Bằng cách loại bỏ những tác hại, chúng ta xóa tài khoản người dùng đó và xóa họ ra khỏi cơ sở dữ liệu.
• Backup website: Bây giờ bạn đã chắc chắn rằng website của mình đã sạch, hãy sao lưu nó, bạn cần có một bản backup hoàn toàn sạch sẽ để có thể sử dụng khi cần.
• Quét mã độc thường xuyên: Hy vọng rằng bạn sẽ cài đặt Wordfence hoặc bất kỳ plugin bảo mật nào mà bạn muốn sử dụng. Phiên bản miễn phí của WordFence có khả năng tự động quét website và gửi kết quả qua email cho bạn. 

Bứt phá hiệu suất website với hosting hàng đầu Việt Nam – Vietnix

Vietnix là một trong những nhà cung cấp dịch vụ hosting hàng đầu tại Việt Nam, được tin tưởng bởi hơn 100.000 khách hàng cá nhân và doanh nghiệp. Hosting Vietnix giúp website đạt tốc độ tải trang ấn tượng dưới 1 giây nhờ ổ cứng NVMe, LiteSpeed Enterprise và hệ thống máy chủ mạnh mẽ đặt tại các datacenter chuẩn Tier 3. Vietnix luôn duy trì tỷ lệ uptime đạt 99.9%, đảm bảo website của bạn luôn hoạt động liên tục. Đặc biệt, đội ngũ hỗ trợ kỹ thuật của Vietnix hoạt động 24/7, sẵn sàng giải đáp mọi thắc mắc và hỗ trợ bạn một cách nhanh chóng, chuyên nghiệp. 

Thông tin liên hệ:

• Hotline: 18001093.
• Email: sales@vietnix.com.vn.
• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ hí Minh.
• Website: https://vietnix.vn/.

Hy vọng với những hướng dẫn mà mình đã chia sẻ ở trên, bạn đã biết cách quét mã độc WordPress và xử lý thành công. Để biết thêm nhiều cách nâng cao bảo mật và phòng ngừa mã độc, bạn có thể tham khảo một số bài viết dưới đây của mình: