Bạn đang có web WordPress vừa bị hack? Nếu vậy thì hẳn bạn đang rất đau đầu để tìm cách khôi phục lại web rồi. Mình cũng đã từng trong trường hợp giống bạn – web WordPress bị hack và phải mất rất nhiều thời gian để khôi phục lại.
Mà không chỉ khôi phục cho web chạy lại là xong mà phải làm sao để loại bỏ mã độc triệt để tránh trường hợp vẫn còn mã độc ở trên web.
Bài viết này mình sẽ hướng dẫn cách khôi phục web WordPress bị hack sao cho có thể loại bỏ mã độc 1 cách triệt để giúp bạn khôi phục lại web sau khi bị hack. Đây là cách làm thực tế mình mới áp dụng sau khi 1 web của công ty mình bị tấn công.
Dưới đây mình sẽ chia sẻ cùng bạn nguyên nhân web bị hack và những việc cần phải làm để khôi phục lại web sau khi bị hack.
Cách nhận biết trang web đã bị hack
Có lẽ nói phần này hơi thừa khi mà bạn đã biết web mình bị hack rồi, nhưng mình vẫn muốn đưa ra để bạn biết chút thông tin vì web bị hack sẽ có nhiều dạng mà bạn có thể nhìn thấy khi truy cập trang chủ web nhưng cũng có trường hợp web vẫn hoạt động bình thường trong khi web đã bị hack rồi.
Dưới đây là các cách nhận biết trang web bị hack như sau:
- Trang chủ hoặc trang con bị hack thay đổi giao diện
- Truy cập vào trình quản lý file trên host thấy xuất hiện những file lạ trong source code
- Sử dụng Google để check bằng cách gõ từ khóa site:domain.com hoặc site:domain.com hacked và xem kết quả trả về. Bạn có thể thấy số lượng index nhiều hơn nội dung thực tế trên web của bạn hoặc kết quả tìm kiếm cho thấy web của bạn bị hack chèn mã độc nó sẽ hiển thị toàn tiếng Tàu, tiếng Nhật như này:
Đó là mấy cách nhận biết cơ bản web bị hack. Tiếp theo chúng ta tìm hiểu xem nguyên nhân vì sao web WordPress của bạn bị hack.
Các nguyên nhân khiến web WordPress bị hack
Tên đăng nhập và mật khẩu kém an toàn: Việc đặt tên đăng nhập như admin, administrator,… và đặt mật khẩu đơn giản, dễ đoán, phổ thông khiến cho những kẻ tấn công dễ dàng dò ra password. Lời khuyên là nên đặt tên đăng nhập khác các tên phổ thông và mật khẩu dài, phức tạp bao gồm chữ hoa và ký tự đặc biệt.
Sử dụng các plugin, theme không bản quyền (nulled): Đây là nguyên nhân khá phổ biến dẫn đến web bị hack. Có rất nhiều plugin, theme trả phí được chia sẻ miễn phí, khi đó các theme, plugin được chia sẻ đã bị cài mã độc để hacker (hoặc người chia sẻ) khai thác thông tin từ web bạn. Nên nhớ rằng không ai cho không ai cái gì bao giờ vậy nên lời khuyên là nên sử dụng plugin, theme có bản quyền hoặc plugin, theme miễn phí từ nguồn uy tín.
Sử dụng share hosting bảo mật kém: Việc này phụ thuộc vào nhà cung cấp hosting bạn đang thuê. Khi đó, 1 site trên cùng hệ thống host bị hack thì các hacker sẽ dùng phương thức local attack để chiếm quyền kiểm soát của các web trên hệ thống. Vì vậy bạn nên chọn các nhà cung cấp hosting uy tín như Stablehost, HawkHost, AZDIGI,… Chọn các gói hosting được backup thường xuyên.
Cài đặt plugin kém an toàn: Mặc dù các plugin trên wordpress.org luôn được đội ngũ quản lý kiểm duyệt kỹ càng nhưng không thể tránh khỏi các lỗ hổng bảo mật. Đặc biệt là các plugin lâu không được cập nhật vá lỗi. Cách tốt nhất là nên cài các plugin được có nhiều lượt cài đặt, được cập nhật thường xuyên, được đánh giá cao (có nhiều đánh giá 5 sao).
Chuẩn bị trước khi khôi phục lại web bị hack
Khi phát hiện ra web bị hack bạn cần backup web lại toàn bộ web và database sau đó xem lại file log để xem lại các hoạt động trên web để biết web bị tấn công vào khi nào.
Sau khi biết được thời gian bị tấn công, nếu web bạn ít có nội dung đăng tải mới thì có thể thì khôi phục lại bản backup của web trước khi bị tấn công. Sau đó kiểm tra lại các lỗi bảo mật cho web và nâng cấp hệ thống bảo mật để tránh web tiếp tục bị hack sau này.
Nếu web bạn có nhiều nội dung mới đăng tải thì bạn cần khôi phục lại theo cách dưới đây để có thể lấy được toàn bộ nội dung và làm sạch web.
– Đối với source code: Nếu bạn còn bản backup trước đó thì có thể sử dụng lại. Nhưng theo mình thì tốt nhất bạn nên bỏ nó đi và sử dụng bộ code mới vì bộ code cũ có thể chứa lỗ hổng bảo mật mà bạn chưa fix được.
– Đối với database: Bởi vì hầu hết shell hiện nay đều được mã hóa base64 nên chúng ta sẽ tìm trong database xem có chứa đoạn mã base64 nào không. Để tìm kiếm trong database bạn truy cập vào phpMyadmin và mở database web bị hack lên. Sau đó click vào tab Search nhập vào từ khóa “base64″ và chọn tất cả các bảng để tìm kiếm như sau:
Nếu kết quả trả về bạn thấy bảng nào có chứa từ khóa tìm kiếm thì phải kiểm tra thật cẩn thận bảng đó. Nếu không có kết quả nào trả về thì có thể database của bạn không bị tấn công và bạn không phải lo về data.
Ngoài ra, mình có tham khảo ý kiến của 1 người bạn, người này trước đây cũng được gọi là hacker nên trình cũng cao và mình cũng rất tin tưởng. Câu trả lời mình nhận được như sau:
Như vậy, chúng ta có thể tin rằng với database chúng ta xuất ra như cách làm dưới đây sẽ không quá lo về vấn đề chứa mã độc trong đó.
Và bây giờ chúng ta bắt đầu đi vào các bước để khôi phục lại dữ liệu web WordPress bị hack.
Hướng dẫn khôi phục web WordPress bị hack, loại bỏ triệt để mã độc
Cách làm này bạn có thể làm trực tiếp trên host hoặc như mình thì mình làm trên localhost cho dễ dàng thao tác, sau khi khôi phục xong thì upload web lên host sau.
Bước 1: Truy cập vào web đã bị hack và sử dụng Công cụ -> Xuất ra (Export) để lấy dữ liệu. Bạn chọn Tất cả nội dung hoặc chọn các mục cần lấy dữ liệu như Bài viết, Trang, Sản phẩm, Hình ảnh,… và nhấn vào Tải về tập tin được xuất ra.
Ở bước này, bạn sẽ lấy được các nội dung từ trang web bằng file xml, file này định dạng theo chuẩn của WordPress nên nó sẽ loại bỏ các bảng dữ liệu không thuộc code WordPress. Và theo như ý kiến tham khảo ở trên do database khó bị chèn shell nên cách xuất dữ liệu này là sạch sẽ và an toàn.
Note: Ở bước này mình khuyên bạn nên xuất các mục thành từ file riêng lẻ. Ví dụ xuất Bài viết thành 1 file, Trang thành 1 file,… để tiện cho việc nhập dữ liệu ở bước 3.
Bước 2: Tải bản cài đặt WordPress mới nhất về. Sau đó cài đặt 1 web WordPress mới hoàn toàn với giao diện cũ hoặc tiện thể bạn đổi luôn theme WordPress mới cũng được.
Bước 3: Sau khi cài đặt web mới hoàn chỉnh bạn bắt đầu import dữ liệu từ web cũ sang bằng cách truy cập Công cụ -> Nhập vào -> WordPress. Là lần đầu tiên thì bạn cần cài đặt công cụ xuất nhập dữ liệu. Sau đó import file xml mà bạn xuất ra từ bước 1 vào web mới.
Chi tiết về cách nhập dữ liệu nếu bạn chưa rõ có thể tham khảo thêm bài viết hướng dẫn này: Hướng dẫn Xuất/Nhập (Import/Export) các dữ liệu trong WordPress
Note: Ở bước này, theo kinh nghiệm của mình nếu bạn sử dụng theme giống web cũ, để tránh bị lỗi ảnh thumbnail bạn nên nhập file Thư viện đầu tiên sau đó đến các file Bài viết, Trang,…
Bước 4: Upload code web lên host nếu bạn làm trên localhost. Mình có bài hướng dẫn cách đưa web lên host bạn tham khảo ở bài viết: Hướng dẫn chuyển WordPress từ locahost lên host
Như vậy là việc khôi phục lại web WordPress bị hack đã xong rồi. Ngoài ra, nếu khi phát hiện ra web bị hack mà Google đã cho site bạn vào backlist và các trình duyệt hiện cảnh báo khi truy cập vào web bạn thì bạn hãy làm theo hướng dẫn khắc phục cảnh báo web độc hại trên trình duyệt.
Lời kết
Với cách khôi phục web WordPress bị hack mà mình hướng dẫn ở trên hi vọng bạn có thể áp dụng để cứu lấy web/blog của mình. Đặc biệt là có thể khôi phục lại web với bộ code và dữ liệu sạch sẽ, loại bỏ triệt để mã độc.
Ngoài ra, sau khi khôi phục lại web hoạt động bình thường thì bạn cần phải tăng cường bảo mật cho web, thường xuyên theo dõi web và backup web đều đặn để có thể khắc phục sớm nhất nếu web có bị hack (gợi ý: bảo mật WordPress toàn tập).
Việc bảo mật cho web bạn có thể tham khảo thêm trên Google để áp dụng cho web của bạn và nhớ theo dõi blog Nguyễn Hùng để cập nhật các bài viết về thủ thuật WordPress và hướng dẫn bảo mật WordPress nữa nhé. Nếu cần hỗ trợ gì nhớ để lại bình luận trong khung bên dưới nhé. Chúc bạn thành công!
cho mình hỏi cách này, import lại thì ảnh như thế nào
Có cần up lại folder upload không.
Thường thì mình sẽ cài lại code mới trên localhost và vẫn giữ web bị hack hoạt động rồi import ảnh bằng file xml xuất ra. Khi đó ảnh sẽ tự động import về site localhost mà không bị lỗi thumbnail.
Bài viết rất hay và chi tiết, web wp rất hay bị hack rồi chuyển hướng đến mấy web đen và cờ bạc, chữ hiện ra toàn tiếng nhật.
Đã làm như hướng dẫn và đã thành công.
Thanks admin
Anh ơi cho em hỏi. Web tudienhoahoc.com của em bị hack dạng này có giống của anh không. Em có thể áp dụng cách khắc phục ở trên không ạ!
Site của bạn bị hack chèn link ở dưới cuối trang đó hả. Bạn vào hosting check log xem hình thức tấn công như nào nhé.
Tuyệt vời ! Bài viết rất hay. Website dịch vụ seo Tùng Phát https://tungphat.com vừa bị đối thủ chơi xấu, lên tìm thấy bài viết chia sẻ. Áp dụng ngay, mình đã khắc phục được lỗi, cảm bạn đã chia sẻ.
Chúc mừng bạn. Thỉnh thoảng lại ghé qua blog đọc những chia sẻ của mình nhé. Cảm ơn!
Chính thức làm như của anh hướng dẫn là không khắc phục được khi nó tấn công vào data ạ. File base64 không làm sạch được khi mình xuất dữ liệu xml ra ạ. Em đã làm thử và vẫn bị ạ. :((((
Nếu bạn bị chèn shell vào database thì cách này sẽ không giải quyết được bạn nhé.
Tuy nhiên, như trong bài mình có nói, mình đã tham khảo ý kiến của 1 pro thì ng đó chưa thấy ai có khả năng chèn đc shell vào data nên trường hợp cách này không giải quyết đc là rất hiếm gặp.
Xuất dữ liệu bạn chọn xuất SQL ấy. Thường mjnhf thấy databaze rất khó để tấn công. Vì bản chất ở đó không chứa mã thực thi.
Bạn xem lại code đã thật sự sạch chưa và update các plucgin chưa. Và làm theo hướng dẫn kia m thấy ok đấy bạn
Anh ơi làm ơn cho em hỏi 1 chút ạ. Bây giờ em vào cpanel mà ko thấy thấy mục WordPress nữa là bị sao vậy anh.mong anh giúp đỡ.
Là mục để cài đặt WordPress đó hả bạn. Nếu không thấy thì bạn liên hệ với bên cung cấp hosting nhé.
a có nhận chỉnh sửa web không ạ? nếu được a chỉnh sửa giúp e,e gửi a tiền cà phê
Bây giờ thì mình không bạn nhé. Hiện tại cuối năm nhiều việc nên mình không giúp bạn được rồi
vậy khắc phục lỗi chứng chỉ ssl như thế nào?
mình là công nhân không biết gì về lập trình hic
Bạn kiểm tra lại cách thiết lập SSL, nếu bạn đang dùng hosting và tự quản lý hosting thì bạn có thể xem các hướng dẫn cài SSL để sửa lỗi. Còn nếu bạn thuê ai đó làm cho thì bạn nhờ họ fix lỗi cho nhé.
tôi có website bibilife.net tự nhiên bị mất,anh chị có thể khôi phục lại giúp tôi không?
Web của bạn bị mất cái gì vậy. Mình vào thử thì thấy web của bạn đang bị lỗi chứng chỉ SSL
Trang web của em bị thế này thì khắc phục ntn ạ? Em dùng host của Hawk host.
Link của web : olalen.com
Em cảm ơn!
Nếu bạn còn bản backup trước đó thì có thể restore nó trên localhost hoặc trên 1 host mới sau đó cài đặt web mới và làm theo các bước khôi phục mình đã hướng dẫn. Để tránh bị tấn công lại bạn nên bảo mất cho web tốt hơn. Và tránh không sử dụng các theme, plugin null.