Cách nhận biết web wordpress bị dính virus:
– Website load chậm hơn bình thường và không ổn đinh
– Không thể truy cập 1 số trang
– Tính năng hoạt động không ổn đinh
– Trong sources code có nhiều file lạ, ký tự kỳ lạ
– Chuyển hướng tự động sang các site lạ khi ấn vào menu
– Nhiều bài viết rác được tạo
– Cảnh báo từ WordPress
Nên nếu gặp tình huống này, chúng ta phải quét virus từ code đến database.
sơ đồ dữ liệu website wordpress
A. Xử lý code
Lưu ý: Backup lại toàn bộ dữ liệu để trường hợp làm lỗi web mình có thể back lại được
I. Đổi hết mật khẩu các tài khoản
- Kiểm tra bài viết có bài viết lạ thì xoá
- Đổi hết mật khẩu tài khoản quản trị web
Nếu muốn sâu hơn có thể đổi cả:
- Mậu khẩu mySQL
- Mật khẩu hosting
II. Up đè file core lên
Làm theo hướng dẫn video, cách này để đè lên file core cũ có khả năng dính virus bằng file mới. Giữ lại 2 file (.htaccess và wp-config) và folder wp-content
III. Tìm file chứa mã độc
Bạn mở wp-config.php. Tìm kiếm các đoạn mã code dài, lạ hoặc đáng ngờ và loại bỏ chúng, hoặc so sánh nội dung của nó với cùng một file từ bản cài đặt mới hoặc file wp-config-sample.php
IV. Sử dụng plugin quét virus & chặn tấn công
Plugin: wordfence (quét virus. Quét diệt xong có thể xoá cho nhẹ)
Plugin: Itheme (chặn tấn công)
Plugin: XML-RPC (chặn tấn công)
File lạ thì đổi tên và thêm “___” ở đầu nếu không biết sửa như nào, còn nếu biết thì nên xem file để xoá đoạn mã virus
Video ví dụ : https://youtu.be/WsPqSi6Btz4
Các trường hợp diệt virus trong code hay gặp
Khoá quyền sửa file
Bật disable write Htaccess
Bật disable write file editor
V. Tắt khả năng thực thi PHP trong thư mục được chỉ định
Kẻ tấn công thích upload các scripts độc hại lên thư mục WordPress. Mặc định thư mục này được dùng để chứa file đa phương tiện. Vì vậy nó không nên được dùng để chứa file PHP. Bạn có thể dễ dàng vô hiệu chức năng thực thi PHP bằng cách tạo một file .htaccess trong thư mục /wp-content/uploads/ với các lệnh như sau:
<Files *.php> deny from all </Files>
VI. Bảo vệ WordPress file wp-config.php
wp-config.php file chứa các cài đặt WordPress cốt lõi và thông tin chi tiết MySQL databases. Vì vậy đây là một file WordPress quan trọng nhất, cũng là file chính mà hacker thường nhắm tới để tấn công WordPress. Tuy nhiên, bạn có thể dễ dàng bảo vệ file này bằng lệnh sau trong .htaccess:
<files wp-config.php> order allow,deny deny from all </files>
VII. Xóa và Tải lại các plugin và theme (ít khi làm cách này vì rất tốn thời gian & hay lỗi nếu không cài đúng phiên bản)
Mục đích là để ghi đè lên những file mà có chứa virus, mã độc trong source. Tải lại những plugin đã mua, áp dụng và upload lại.
=> Tuy nhiên bạn cần chắc chắn rằng theme, plugin của bạn không có chỉnh sửa riêng gì với gốc đã mua, để tránh mất tính năng
Tuy nhiên: trong theme có 2 loại: core (Flatsome, Astra,….), child. Mình phải tự quét và tự tìm virus trong những loại file này
Kiểm tra coi theme nào đang được kích hoạt và xóa đi những theme không sử dụng. Giữ lại flatsome và theme đang được kích hoạt.
Sau đó, kiểm tra theme flatsome có được “sạch”, không chứa virus hay lỗi không. Nếu có, bạn có thể truy cập vào trang khác có chứa theme flatsome sạch và compress nó thành zip để chuyển sang web hiện tại của mình. Extract nó vào file theme
Và như thế bạn kiểm tra lại trang web để coi đã hoạt động được lại chưa
Tiếp theo: Database (ít khi làm cách này vì rất dễ bị lỗi nếu không có kinh nghiệm về mysql)
a. Xuất data
File database sau khi xuất có đuôi .sql . Để xuất được file này bạn cần có tài khoản hosting hoặc sử dụng các plugin xuất database trên wordpress gợi ý plugin bạn có thể tham khảo: WP Migrate Lite
b. Search theo key
Bạn có thể sử dụng notepad++ , Visual Studio Code,…. để mở database
Sau đó bạn nhấn Ctrl + F để mở phần tìm kiếm trong file database của bạn, bạn hãy tìm kiếm với các từ khoá sau:
- Đối với tìm kiếm các trạng độc hại được nhúng dưới dạng iFrames:
<iframe - Đối với tìm kiếm các mã độc mã hoá bằng base64:
base64_decode - Đối đối với tìm kiếm các mã độc xuất với eval():
eval() - Đối với mã scripts:
<script
Sau khi tìm các từ khoá trên mà nếu không có bất cứ kết quả nào thì database của bạn không có mã độc và ngược lại nếu có bất kì kết quả nào: bạn có thể xem xét nội dung kết quả đó và biết được đoạn mã này có file là mã độc hay không để xoá đoạn mã độc đi
Lưu ý: cẩn trọng khi sửa database, phải chắc chắn rằng bạn xoá đoá code virus đó không ảnh hưởng gì đến website
