Phải làm sao khi Website WordPress bị nhiễm mã độc?

Khi thiết kế website wordpress, chúng ta dễ dàng loại bỏ các loại malware virus ra khỏi mã nguồn nếu không may website nhiễm mã độc này. Dưới đây là một số bước đơn giản bạn cần nhớ trước khi thực hiện cài lại mã nguồn mới cho website wordpress.

cai-dat-wordpress-nhiem-ma-doc

Xử lý Website WordPress nhiễm mã độc

Sao lưu mã nguồn website và cơ sở dữ liệu

Đầu tiên bạn cần thực hiện sao lưu toàn bộ trang web để phòng trường hợp website bị lỗi hỏng trong quá trình thao tác, vẫn có thể khôi phục lại được.

Sao lưu bằng cách vào host và tải về toàn bộ mã nguồn, database dạng tập tin SQL.

Hoặc dùng plugin đảm nhiệm được chức năng khôi phục website.

Việc sao lưu trên bảo đảm lưu giữ toàn bộ dữ liệu nên có thể yên tâm bắt đầu thực hiện công việc loại bỏ virus tiếp theo.

Lọc các thư mục quan trọng trong website wordpress

  1. Giữ lại thư mục wp-content: đây là thư mục quan trọng trên website, nó chứa tất cả các file đã tải lên. Trong thư mục wp-content, sẽ có ít nhất ba thư mục quan trọng do bạn cá nhân hóa không thể lấy ở đâu để thay thế nếu như bị mất. Đó là: themes, uploads và plugin.
    Đối với themes: sao lưu cài đặt, bạn cần tải về bản cài đặt cũ, để dùng cập nhật lại cho bộ theme mới sau này.
    Đối với plugin: Dùng nhận biết website đang sử dụng plugin nào, sau này sẽ cài lại cho website.
  2. Giữ lại file .htaccess: Cần Show Hidden Files trên host để hiển thị file .htaccess. File này giúp truy cập được vào các link trên website. Nếu không có file này, website chỉ vào được trang chủ. Một số hosting sử dụng .htaccess để xác định phiên bản PHP đang sử dụng.File .htaccess là một file ẩn kiểm soát rất nhiều thứ trên hosting và có thể bị tấn công để chuyển hướng người dùng từ trang web của bạn đến các trang web khác.
  3. Giữ lại file wp-config.php: File này chứa tên cơ sở dữ liệu (database), tên user/pass để có thể kết nối được vào cơ sở dữ liệu của bạn mà chúng ta sẽ sử dụng trong quá trình khôi phục.

Xoá tất cả các file trong thư mục public_html

Sau khi đã lưu giữ các thư mục/file cần thiết, hãy xóa tất cả các file trong thư mục public_html hoặc thư trong mục chính của website. Không cần xóa thư mục cgi-bin

Trước khi xóa các file trên hosting và phải hiển thị hết các file ẩn để xóa hết đi.

Nếu bạn có nhiều website ở chung với site đang nhiễm, thì có thể phải làm sạch tất các website khác để bảo đảm làm sạch 100% host.

Cài đặt lại mã nguồn WordPress mới

Cài lại mã nguồn wordpress mới lên host.

Sử dụng file wp-config.php để lấy thông tin tên database, user/pass kết nối vào cơ sở dữ liệu cũ của website. Không nên sử dụng nguyên bản wp-config.php vì có thể nó cũng nhiễm mã độc.

Sau khi kết nối database, site của bạn sẽ truy cập được rồi.

Đặt lại Mật khẩu và Permalinks

  • Đăng nhập vào trang web và đặt lại tất cả tên người dùng và mật khẩu. Nếu thấy bất kỳ người dùng lạ thì cơ sở dữ liệu của bạn đã bị xâm nhập và cần phải loại bỏ những đoạn mã không mong muốn trong cơ sở dữ liệu.
  • Chuyển tới phần Settings (Cài đặt) => Permalinks (đường dẫn tĩnh) và nhấp vào Save changes (Lưu thay đổi)
    Thao tác này sẽ khôi phục file .htaccess cho website, các URL trang web sẽ hoạt động trở lại.

Cài đặt lại Plugins cho WordPress

Cài đặt lại tất cả plugin cho website từ kho WordPress hoặc tải mới từ các nhà phát triển plugin uy tín. Không nên sử dụng lại thư mục plugin cũ vì có thể plugin cũ đã dính mã độc tạo lỗ hổng cho hacher xâm nhập trước đó rồi.

Dùng thư mục Plugin cũ để biết website đang chạy những plugin nào.

Cài đặt lại Themes WordPress

Trong trường hợp này nếu bạn sử dụng Child theme thì rất tuyệt vời. Chỉ cần sử dụng Child theme cũ, nhớ check lại các file trong child theme xem có nhiễm đoạn mã lạ nào không.

Bạn nên tải mới theme gốc về để dùng cho website mới. Nhiều theme hiện nay có chức năng sao lưu cài đặt, bạn cần tải về bản cài đặt cũ, và cập nhật lại cho bộ theme mới là xong.

Tải ảnh lên host

Tải lên các thư mục hình ảnh vào uploads trong thư mục wp-content mới của website.

Phần này, bạn cần kiểm tra kỹ từng thư mục chứa hình ảnh đó xem có chứa mã độc nào không. Chỉ tải lên dạng file ảnh, xóa hết các file có dạng .php hay file JavaScript… không phải là file ảnh.

Trước khi tải lên host có thể quét máy tính của bạn để tìm ra virus, trojans và các phần mềm độc hại có thể sẽ lấy lan trong quá trình mà bạn tải mã nguồn xuống và upload dữ liệu lên.

Cài đặt Plugin bảo mật

Cài đặt plugin Shield WordPress Security của iControlWP và kiểm tra qua tất cả cài đặt của nó. Bạn nên chạy tính năng Kiểm duyệt trong vài tháng để theo dõi tất cả hoạt động trên trang web của bạn.

Chạy Anti-Malware Security và Brute-Force Firewall và quét toàn bộ trang web. Quét các trang web với Sitecheck Sucuri để đảm bảo bạn không bỏ sót bất cứ điều gì. Bạn cũng không cần chạy cùng lúc hai plugin tường lửa, do đó hãy tắt kích hoạt các plugin Anti-Malware sau khi bạn chắc chắn rằng trang web đã sạch sẽ.

Submit lại website với các bộ máy tìm kiếm nhất là Google

Sử dụng Google Webmaster Tools gửi lại Sitemap và yêu cầu Google xem xét lại website nếu trước đó bạn đã nhận được cảnh báo bảo mật của Google. Thời gian sau đó bạn theo dõi xem lỗi bảo mật được khắc phục chưa dựa vào Google search nhé!

Như vậy, bạn đã có thể loại bỏ mã độc ra khỏi website rồi. Để website tối ưu SEO, không có kết quả xấu trên Google tìm kiếm, bạn hãy làm việc này sớm nhất có thể. 

Chú ý: Việc này vốn sẽ có rủi ro tốn nhiều thời gian trước khi thành công, bạn hãy tập với cài với các site nháp trước khi thực hiện trên site chính, để không bị ảnh hưởng công việc kinh doanh trên website.

Nếu bạn không có thời gian, điều kiện thực hiện thì có thể lựa chọn một số gợi ý sau:

  • Thiết kế website bảo mật cao cấp ngay từ đầu, tránh ham rẻ quá mà thiết kế website wordpress giá rẻ quá nhé. Với dịch vụ rẻ quá thì khó có đủ hỗ trợ bảo mật, hỗ trợ tốt sau này được.
  • Khi website nhiễm mã độc rồi, nên nhờ bên có khả năng giúp đỡ thay vì tự làm, nếu website của bạn rất quan trọng trong việc kinh doanh hằng ngày.
  • Sử dụng hosting giá rẻ thì nên chọn người cung cấp hosting có thể hỗ trợ dịch vụ bảo mật này khi có lỗi. Họ sẽ lo hết việc bảo mật tránh cho website nhiễm mã độc với chi phí định kỳ.
thiet-ke-website-wordpress-quang-cao-facebook-google-gia-re-ha-noi-tphcm-07

Thiết kế website landingpage bảo mật