Cách nhận biết web wordpress bị dính virus cần phải diệt
– Website load chậm hơn bình thường và không ổn đinh
– Không thể truy cập 1 số trang
– Tính năng hoạt động không ổn đinh
– Trong sources code có nhiều file lạ, ký tự kỳ lạ
– Chuyển hướng tự động sang các site lạ khi ấn vào menu
– Nhiều bài viết rác được tạo
– Cảnh báo từ WordPress
Nên nếu gặp tình huống này, chúng ta phải quét virus từ code đến database.
sơ đồ dữ liệu website wordpress
A. Xử lý code
Lưu ý: Backup lại toàn bộ dữ liệu để trường hợp làm lỗi web mình có thể back lại được
I. Đổi hết mật khẩu các tài khoản
- Kiểm tra bài viết có bài viết lạ thì xoá
- Đổi hết mật khẩu tài khoản quản trị web
Nếu muốn sâu hơn có thể đổi cả:
- Mậu khẩu mySQL
- Mật khẩu hosting
II. Up đè file core lên
Làm theo hướng dẫn video, cách này để đè lên file core cũ có khả năng dính virus bằng file mới. Giữ lại 2 file (.htaccess và wp-config) và folder wp-content
III. Tìm file chứa mã độc
Bạn mở wp-config.php. Tìm kiếm các đoạn mã code dài, lạ hoặc đáng ngờ và loại bỏ chúng, hoặc so sánh nội dung của nó với cùng một file từ bản cài đặt mới hoặc file wp-config-sample.php
IV. Sử dụng plugin quét virus & chặn tấn công
Plugin: wordfence (quét virus. Quét diệt xong có thể xoá cho nhẹ) Plugin: Itheme (chặn tấn công) Plugin: XML-RPC (chặn tấn công)
File lạ thì đổi tên và thêm “___” ở đầu nếu không biết sửa như nào, còn nếu biết thì nên xem file để xoá đoạn mã virus
Video ví dụ : https://youtu.be/WsPqSi6Btz4
Các trường hợp diệt virus trong code hay gặp
Khoá quyền sửa file
Bật disable write Htaccess Bật disable write file editor
V. Tắt khả năng thực thi PHP trong thư mục được chỉ định
Kẻ tấn công thích upload các scripts độc hại lên thư mục WordPress. Mặc định thư mục này được dùng để chứa file đa phương tiện. Vì vậy nó không nên được dùng để chứa file PHP. Bạn có thể dễ dàng vô hiệu chức năng thực thi PHP bằng cách tạo một file .htaccess trong thư mục /wp-content/uploads/ với các lệnh như sau:
<Files *.php> deny from all </Files>
VI. Bảo vệ WordPress file wp-config.php
wp-config.php file chứa các cài đặt WordPress cốt lõi và thông tin chi tiết MySQL databases. Vì vậy đây là một file WordPress quan trọng nhất, cũng là file chính mà hacker thường nhắm tới để tấn công WordPress. Tuy nhiên, bạn có thể dễ dàng bảo vệ file này bằng lệnh sau trong .htaccess:
<files wp-config.php> order allow,deny deny from all </files>
VII. Xóa và Tải lại các plugin và theme (ít khi làm cách này vì rất tốn thời gian & hay lỗi nếu không cài đúng phiên bản)
Mục đích là để ghi đè lên những file mà có chứa virus, mã độc trong source. Tải lại những plugin đã mua, áp dụng và upload lại.
=> Tuy nhiên bạn cần chắc chắn rằng theme, plugin của bạn không có chỉnh sửa riêng gì với gốc đã mua, để tránh mất tính năng
Tuy nhiên: trong theme có 2 loại: core (Flatsome, Astra,….), child. Mình phải tự quét và tự tìm virus trong những loại file này
Kiểm tra coi theme nào đang được kích hoạt và xóa đi những theme không sử dụng. Giữ lại flatsome và theme đang được kích hoạt.
Sau đó, kiểm tra theme flatsome có được “sạch”, không chứa virus hay lỗi không. Nếu có, bạn có thể truy cập vào trang khác có chứa theme flatsome sạch và compress nó thành zip để chuyển sang web hiện tại của mình. Extract nó vào file theme
Và như thế bạn kiểm tra lại trang web để coi đã hoạt động được lại chưa
Tiếp theo: Database (ít khi làm cách này vì rất dễ bị lỗi nếu không có kinh nghiệm về mysql)
a. Xuất data
File database sau khi xuất có đuôi .sql
. Để xuất được file này bạn cần có tài khoản hosting hoặc sử dụng các plugin xuất database trên wordpress gợi ý plugin bạn có thể tham khảo: WP Migrate Lite
b. Search theo key
Bạn có thể sử dụng notepad++ , Visual Studio Code,…. để mở database
Sau đó bạn nhấn Ctrl + F
để mở phần tìm kiếm trong file database của bạn, bạn hãy tìm kiếm với các từ khoá sau:
- Đối với tìm kiếm các trạng độc hại được nhúng dưới dạng iFrames:
<iframe
- Đối với tìm kiếm các mã độc mã hoá bằng base64:
base64_decode
- Đối đối với tìm kiếm các mã độc xuất với eval():
eval()
- Đối với mã scripts:
<script
Sau khi tìm các từ khoá trên mà nếu không có bất cứ kết quả nào thì database của bạn không có mã độc và ngược lại nếu có bất kì kết quả nào: bạn có thể xem xét nội dung kết quả đó và biết được đoạn mã này có file là mã độc hay không để xoá đoạn mã độc đi
Lưu ý: cẩn trọng khi sửa database, phải chắc chắn rằng bạn xoá đoá code virus đó không ảnh hưởng gì đến website
Cách 2 KNS
Website nền tảng WordPress là dạng website được nhiều người dùng sử dụng. Tuy nhiên đi kèm mức độ phổ biến, dạng website này cũng thường xuyên bị tấn công bởi các tin tặc rải mã độc. Vậy có cách nào để khắc phục xử lý mã độc WordPress mà không phải đem ra tiệm sửa chữa hay không? Cùng BKNS đọc hết bài viết dưới đây và tìm câu trả lời nhé.
Tóm Tắt Bài Viết [hide]
Dấu hiệu website WordPress bị nhiễm mã độc
Malware, hay còn gọi là phần mềm độc hại, là một khái niệm quen thuộc trong việc sử dụng web, các thiết bị công nghệ hoặc thiết kế web. Nó thường được hiểu là một loại mã hoặc chương trình được chèn vào chương trình khác với mục đích gây hại cho người dùng.
Một số hành vi gây hại có thể kể đến bao gồm: phá hủy dữ liệu; chạy các chương trình phá hoại, xâm nhập hoặc phá vỡ tính toàn vẹn, tính bảo mật hoặc tính khả dụng của dữ liệu, hệ điều hành hoặc ứng dụng. Hiện nay, việc xử lý malware trên WordPress là một vấn đề được quan tâm rất nhiều.
Hiện nay, phần lớn người dùng thường hiểu malware như là virus. Tuy nhiên, đó chỉ là một loại cơ bản của malware nói chung. Một số dạng phổ biến của malware bao gồm virus, phần mềm gián điệp, mã độc tống tiền, bot, browser hijackers,…
Một số dấu hiệu điển hình cho biết website WordPress đã bị dính mã độc bao gồm:
-
- Trang web bị chuyển hướng sang các trang web khác. Trong một số trường hợp, website chỉ truy cập website qua các bộ máy tìm kiếm hoặc trên thiết bị di động.
- Bị chèn các liên kết ngoài tự động
- Bị chèn các bài viết lạ tự động
- Mất nội dung (không phải do thao tác xóa của quản trị viên)
- Các bài viết xuất hiện iframe hoặc link ngoài
- Có nhiều file lạ trong source code
- Các plugins, themes… được cài đặt tự động
- Nội dung biến mất và được thay bằng đoạn code lạ
Website dính mã độc có biểu hiện khá rõ ràng và dễ nhận biết. Việc nhận biết các dấu hiệu trên giúp bạn xử lý mã độc WordPress một cách nhanh chóng và chủ động hơn.
Mẹo xử lý mã độc WordPress nhanh nhất
Theo một thống kê, tỷ lệ website WordPress bị nhiễm mã độc khá lớn. Vậy làm thế nào để xử lý mã độc WordPress?
Bên cạnh các loại mã độc phức tạp với cơ chế phát tán và lây nhiễm đặc biệt, phần lớn mã độc đều có thể được loại bỏ thông qua các bước đơn giản.
Cụ thể, trước khi xử lý mã độc trên website WordPress, bạn cần thực hiện các bước chuẩn bị như sau:
-
- Đổi Hosting/VPS: Hosting, VPS là những thành phần chịu sự tác động đầu tiên sau khi website nhiễm mã độc. Khi phát hiện ra trang web có nguy cơ dính mã độc, bạn hãy đổi qua VPS hoặc hosting khác. Nếu không thể tự thực hiện, bạn có thể nhờ sự hỗ trợ từ nhà cung cấp hosting mới.
- Tạm dừng website khi dính mã độc: Bạn không nên vừa chạy trang web, vừa xử lý bởi điều này có thể khiến quá trình lây lan mã độc nhanh hơn.
Quy trình xử lý mã độc WordPress triệt để, hiệu quả như sau:
-
- Bước 01: Tải toàn bộ database và source code về máy tính và kiểm tra database
Khi xử lý mã độc, bạn nên thực hiện trên máy tính, tránh làm việc trực tiếp trên VPS hay hosting. Tiếp đến, tiến hành cài đặt trên localhost (wamp, xampp…) nhưng không được chạy trang web.
Sau khi cài đặt localhost và nhập database, bạn kiểm tra bảng wp_options xem 2 dòng home và siteurl có đúng địa chỉ website không bằng cách truy cập vào phpmyadmin. Nếu thông tin không đúng, bạn hãy sửa lại.
Tiếp theo, bạn sử dụng công cụ tìm kiếm tất cả bảng trong phpmyadmin để tìm lần lượt các từ khóa: %shell%, %base64%, %eval%, %<script>%. Nếu phát hiện dữ liệu ở bảng nào, bạn cần loại bỏ chúng ngay lập tức.
-
- Bước 02: Thay mã nguồn WordPress
Bước thứ 2 trong quy trình xử lý mã độc WordPress là thay mã nguồn. Truy cập website wordpress.org và tải mã nguồn WordPress phiên bản mới nhất về máy tính. Sau khi tải xong, bạn giải nén file dữ liệu và xóa thư mục “wp-content”.
Tiếp đến, bạn xóa toàn bộ mã nguồn trong source code hiện tại, chỉ giữ lại file “wp-config.php”, “.htaccess” và thư mục “wp-content” (nếu có). Sau đó, sao chép mã nguồn WordPress mới tải về vào source code hiện tại. Khi mở file “wp-config.php”, nếu thấy đoạn code lạ xuất hiện, bạn hãy xóa bỏ chúng ngay lập tức.
-
- Bước 03: Thay thế plugin đã cài đặt
Đầu tiên, bạn xóa các plugin không liên quan đến trang web. Đây có thể là các plugin do mã độc cài tự động. Các plugin mà bạn đã cài đặt có thể có những plugin trả phí. Nếu đúng, bạn chỉ cần giải nén và sao chép vào thư mục “wp-content/plugins”.
Đối với các plugin miễn phí trên wordpress.org, bạn phải căn cứ vào tên folder plugin để tải về.
Cấu trúc đường link: https://wordpress.org/plugins/ten_folder.
Ví dụ: Plugin có tên folder là wordpress-quangcao, bạn chỉ cần truy cập vào link: https://wordpress.org/plugins/wordpress-quangcao.
Trong trường hợp trang web sử dụng các plugin NULL, bạn cần xóa bỏ ngay lập tức và tìm hoặc mua các plugin khác thay thế.
-
- Bước 04: Kiểm tra themes
Trước tiên, bạn kiểm tra cẩn thận và loại bỏ các theme không cần thiết. Sau đó, mở các file js, php và xóa bỏ các đoạn code bất thường. Thông thường, đây sẽ là các đoạn code mã hóa hoặc hàm eval.
Đối với các plugin của jQuery, bạn có thể thay mới ngay bởi các thành phần này rất khó kiểm tra: owl-carouse.min.js, bootstrap.min.js, jquery.min.js,…
Đừng quên kiểm tra theme, các folder trong theme xem có xuất hiện file lạ không? Nếu có, bạn hãy loại bỏ chúng.
-
- Bước 05: Kiểm tra thư mục uploads, languages, upgrade
Trong folder upload: xóa bỏ các file không phải là định dạng video, ảnh và các file dữ liệu do bạn tải lên.
Trong folder languages: xóa bỏ toàn bộ file không phải là định dạng .po, .mo
Trong folder upgrade: xóa bỏ toàn bộ các file lạ, thường có đuôi là .php
-
- Bước 06: Xóa các bài viết, trang, users
Để xóa các bài viết, trang, users tự sinh ra, bạn cần đăng nhập vào tài khoản quản trị website. Bên cạnh đó, bạn cũng cần chú ý kiểm tra các bài viết do bạn viết và đăng tải xem có bị chèn frame, script lạ nào không. Nếu có, bạn hãy xóa bỏ chúng ngay.
-
- Bước 07: Kiểm tra lại bằng plugin Wordfence Security
Plugin Wordfence Security hỗ trợ người dùng kiểm tra xem website WordPress còn dính mã độc không. Sau khi cài đặt plugin này xong, bạn hãy scan và chờ kết quả của nó. Nếu vẫn còn mã độc, bạn cần kiểm tra, rà soát lại xem có thực hiện thiếu bước nào không hoặc gặp sai sót ở bước nào và xử lý lại.
Kết luận
Tổng kết lại, việc xử lý mã độc WordPress là một nhiệm vụ quan trọng để bảo vệ trang web của bạn khỏi các mối đe dọa bảo mật. Chúng tôi đã thảo luận về các bước quan trọng để xác định và loại bỏ mã độc, từ việc sử dụng plugin bảo mật cho đến quét mã và khôi phục dữ liệu. Đừng bỏ lỡ bất kỳ dấu hiệu nào của việc xâm nhập và hãy luôn duy trì bản sao lưu định kỳ để đảm bảo an toàn cho trang web của bạn.
Trên đây là những thông tin chi tiết liên quan đến vấn đề xử lý mã độc WordPress mà BKNS tổng hợp gửi đến bạn. Hy vọng bài viết đã giúp bạn nắm được cách xử lý, loại bỏ mã độc ngay tại nhà một cách nhanh chóng mà không cần mang máy đi tiệm sửa.
Thiết kế Website Quảng Bình Web: https://hoanghaianh.com