WordPress Bị Hack với những dấu hiệu cụ thể mà chúng ta có thể nhận biết được. Trong bài viết này Blog Lại Văn Đức sẽ giới thiệu tới các bạn 12 dấu hiệu thường gặp nhất khi website trên nền tảng WordPress của bạn có nguy cơ đang bị tấn công.
WordPress Bị Hack như thế nào ?
WordPress là nền tảng CSM lớn nhất thế giới. Theo thống kê từ w3techs, đến tháng 3/2022 số lượng website sử dụng nền tảng WordPress chiếm 43,1% trên toàn thế giới. Như vậy là cứ 100 website thì có 43 website được làm bằng WordPress.
Nhiều người nói rằng website sử dụng WordPress hay bị hack. Điều này cũng đúng vì cứ 100 website trên thế giới thì có 43 website sử dụng WordPress. Chính vì sự phổ biến của WordPress như vậy nên nếu tính tổng số lượng website bị hack và chia đều cho các nền tảng CMS thì WordPress bị hack luôn nhiều hơn.
Có rất nhiều lý do khiến WordPress bị hack. Có những vụ việc có chủ đích và có những vụ việc auto bị hack. Giả sử website của bạn rất lớn và là đối thủ của nhiều đơn vị khác, khó tránh khỏi các đơn vị hack thuê hack phá hoại website của bạn. Tuy nhiên trường hợp này rất ít.
Đại đa số Website WordPress bị hack thường là lỗi do người sử dụng. Đặc biệt trong đó là các lỗi cơ bản như:
- Sử dụng Theme, Plugin WordPress được chia sẻ trên mạng.
- Sử dụng Theme và Plugin lậu bẻ khoá sử dụng.
- Sử dụng WordPress nhưng không bao giờ update mã nguồn, theme và plugin.
- Không sử dụng bất kỳ biện pháp bảo mật nào cho website.
- ………
Trong trường hợp bạn để nhiều website trong 1 gói hosting thì khi 1 website bị hack thì khả năng tất cả website khác trong gói Hosting đó bị hack sẽ rất cao.
Bạn đừng bao giờ nghĩ rằng website của bạn là mới, website chưa có gì thì ai hack làm gì. Mình đã nhận thấy rất nhiều website không có gì cả những cũng bị hack auto chèn link rất nhiều. WordPress bị hack đa số là về vấn đề bị chèn link ẩn, chèn link auto sang các website khác.
12 Dấu hiệu nhận biết WordPress bị hack
Bên trên mình đã đưa ra một số thông tin liên quan đến WordPress và các nguyên nhân phổ biến dẫn đến việc Website trên nền tảng WordPress sẽ bị hack.
Ngay bên dưới là tổng hợp 12 dấu hiệu cho thấy Website đã bị hack. Nếu bạn gặp phải 1 trong 12 dấu hiệu bên trên. Bạn nên kiểm tra lại website của mình vì có thể website của bạn đang bị hacker dòm ngó.
1. Traffic website giảm đột ngột
Nếu bạn nhìn vào báo cáo Google Analytics của mình và thấy lưu lượng truy cập giảm đột ngột, thì đây có thể là dấu hiệu cho thấy Website WordPress của bạn đang bị tấn công.
Có rất nhiều phần mềm độc hại và trojans trên mạng giúp xâm chiếm lưu lượng truy cập trang web của bạn và chuyển hướng nó tới các trang web spam. Một lý do khác khiến lượng truy cập giảm đột ngột là công cụ duyệt web an toàn của Google, có thể cảnh báo cho người dùng rằng website của bạn không an toàn. Và tất nhiên với thông báo này thì không ai truy cập vào website của bạn nữa.
Mỗi tuần, Google sẽ liệt kê khoảng 20.000 trang web về phần mềm độc hại và khoảng 50.000 trang lừa đảo. Đó là lý do tại sao mọi blogger và chủ sở hữu doanh nghiệp đều phải quan tâm đến bảo mật Website WordPress của họ.
Nếu bạn đang nghi ngờ website WordPress bị hack. Hãy kiểm tra bằng Trạng thái trang web duyệt web an toàn của Google để xem báo cáo cho website của bạn.
2. Các Liên kết Xấu bị thêm vào Website của Bạn
Một trong những dấu hiệu phổ biến nhất khi website WordPress bị hack là việc chèn dữ liệu ẩn. Các hacker tạo một backdoor trên trang web của bạn, cho phép họ truy cập để sửa đổi các tập tin và cơ sở dữ liệu WordPress của bạn.
Hầu hết chúng ta thường bị chuyển hướng đến các trang web spam, xxx. Thông thường các liên kết này được thêm vào phần cuối của trang web của bạn, nhưng thực sự có thể là bất kỳ nơi nào. Nếu bạn có tìm thấy liên kết bẩn này và bạn xóa chúng đi thì cũng chưa chắc website của bạn đã an toàn.
Bạn sẽ cần phải tìm và sửa các backdoor được sử dụng để thêm dữ liệu này vào trang web của bạn.
3. Trang chủ website bị báo cáo lừa đảo
Đây có lẽ là một trong những dấu hiệu rõ ràng nhất cho việc website WordPress bị hack. Nếu bạn nhìn thấy thông báo này trên trang chủ thì rõ ràng là website của bạn đã bị nhiễm mã độc khá lâu rồi. Bởi hầu hết các hacking luôn muốn sử dụng nguồn tài nguyên trên website của bạn và không muốn bạn phát hiện ra.
Tuy nhiên, một số hacker có thể làm hỏng trang web của bạn để thông báo rằng nó đã bị tấn công. Những tin tặc như vậy thường thay thế trang chủ của bạn với thông điệp của họ, đại loại như: Hacker by …. Và một số khác có thể đòi tiền chuộc nếu website của bạn có giá trị cao.
Lưu Ý: Cũng có thể website của bạn đang bị Lỗi SSL hoặc SSL hết hạn và bạn cũng sẽ thấy Cảnh Báo Không An Toàn.
4. Bạn không thể Đăng nhập vào WordPress
Ngoại trừ khả năng bạn quên thông tin đăng nhập. Nếu bạn không thể đăng nhập vào trang WordPress của bạn, thì có một cơ hội mà tin tặc có thể đã xóa tài khoản quản trị viên của bạn khỏi WordPress.
Vì tài khoản không tồn tại, bạn sẽ không thể đặt lại mật khẩu từ trang đăng nhập. Có nhiều cách khác để thêm tài khoản quản trị viên từ phpMyAdmin hoặc qua FTP. Tuy nhiên, trang web của bạn sẽ không an toàn cho đến khi bạn tìm ra cách hacker xâm nhập vào trang web của bạn.
Để thêm tài khoản qua FTP bạn hãy xem bài viết này : File Functions WordPress
5. Nhiều tài khoản người dùng trong website mà bạn không biết
Nếu website của bạn cho phép người dùng đăng ký thành viên và bạn không sử dụng bất kỳ biện pháp bảo vệ đăng ký spam nào thì tài khoản người dùng mà bạn không biết đó có thể là tài khoản spam bình thường.
Để kiểm tra: Bạn hãy truy cập vào admin > Users
Tuy nhiên, nếu website của bạn không cho phép đăng ký thành viên và bạn nhận thấy có tài khoản người dùng mới, thì chắc rằng Website WordPress bị hack. Thông thường tài khoản đáng ngờ sẽ có vai trò người dùng quản trị viên, và trong một số trường hợp, bạn không thể xoá nó khỏi khu vực quản trị WordPress của bạn.
6. Có thêm nhiều thư mục và tập tin không xác định trên máy chủ
Nếu bạn đang sử dụng các plugin bảo mật có chức năng Scanner, thì nó sẽ cảnh báo bạn khi tìm thấy tệp hoặc tập lệnh không xác định trên máy chủ của bạn.
Để kiểm tra xem website WordPress bị hack theo cách này không thì bạn cần phải truy cập vào FTP. Một bộ mã nguồn website sạch chắc các bạn đã biết, nếu bạn còn mơ hồ hãy lên wordpress.org tải về xem sét.
Các file lạ này có thể xuất hiện bất cứ nơi đâu và thường tập trung nhiều nhất trong thư mục /wp-content/ và hệ thống thư mục con của nó.
Và tất nhiên, các tập tin lạ này cũng sẽ được hackert đặt tên như tệp WordPress để bạn không phát hiện ra. Vì vậy bạn cần chú ý khi kiểm tra và đề phòng backup trước khi xóa bất kỳ tập tin nào.
Xem thêm: Plugin Backup WordPress tự động tốt nhất hiện nay
7. Trang web của bạn thường chậm hoặc không phản hồi
Tất cả các trang web trên Internet có thể trở thành nạn nhân của các cuộc tấn công từ chối dịch vụ phân tán (tấn công DDoS – Distributed Denial Of Service). Vì vậy bạn đừng ngạc nhiên khi website WordPress của bạn là mới, bạn sử dụng Theme và Plugin bản quyền chính hãng mà vẫn bị hacker nhòm ngó. Các cuộc tấn công này sử dụng một số máy tính bị tấn công và các máy chủ từ khắp nơi trên thế giới sử dụng IP giả mạo. Đôi khi họ chỉ gửi quá nhiều yêu cầu tới máy chủ của bạn, đôi khi họ đang tích cực tìm cách xâm nhập vào trang web của bạn.
Bất kỳ hoạt động nào của việc tấn công từ chối dịch vụ sẽ làm cho website của bạn chậm, không phản hồi. Bạn cần phải kiểm tra các bản ghi máy chủ của bạn để xem IP nào đang gửi yêu cầu quá nhiều và ngay lập tức hãy chặn Ip đó lại. Nếu bạn không rành về việc này, hãy yêu cầu nhà cung cấp máy chủ của bạn hỗ trợ.
8. Hoạt động bất thường trong nhật ký máy chủ
Nhật ký máy chủ là các tệp văn bản thuần túy được lưu trữ trên máy chủ web của bạn, chúng ta thường được nghe và gọi là file log. Các tệp này ghi lại tất cả các lỗi xảy ra trên máy chủ của bạn cũng như tất cả lưu lượng internet của bạn.
Bạn có thể tìm thấy file log trong thư mục /public_html đối với hosting, còn đối với server riêng (VPS/Dedicated) thì bạn mở file cấu hình domain đang bị lỗi của bạn ra sẽ thấy dòng khai báo log và cứ dò theo đường dẫn đó mà mở lên. Nếu dùng Shared Host bạn không thể tìm ra file log thì hãy gửi hỗ trợ đến bộ phận kỹ thuật để họ tìm giúp.
Nếu không có file error_log, bạn hãy mở file wp-config.php ra và tìm:
define ( 'WP_DEBUG', false);
Sửa false thành true và save lại.
Các File Log này có thể giúp bạn thấy điều gì đang xảy ra khi Website WordPress bị hack. Nó cũng ghi tất cả các địa chỉ IP sử dụng để truy cập website của bạn. Từ đó bạn có thể chặn các IP đáng ngờ.
Nên xem: Plugin bảo mật WordPress tốt nhất
9. Không gửi hoặc không thể nhận được Email trong website
Lưu ý: Nếu ngay từ trước đó website của bạn đã không thể gửi và nhận Email được thì bạn hãy cấu hình SMTP cho WordPress.
Các máy chủ bị tấn công thường được sử dụng cho việc spam. Hầu hết các nhà cung cấp hosting sẽ cung cấp cho bạn tài khoản email miễn phí đi kèm với hosting của bạn. Và nhiều bạn vẫn sử dụng host’s mail của Hosting để gửi và nhận Email cho website.
Nếu bạn không thể gửi hoặc nhận email WordPress , thì có khả năng là host’s mail của bạn bị tấn công để gửi email spam. Đây thường là tiền đề cho việc WordPress bị hack.
10. Các tác vụ theo lịch trình đáng ngờ
Hầu hết tất cả các máy chủ lưu trữ đều có thể thiết lập cron job. Đây là các tác vụ theo lịch trình mà bạn có thể thêm vào máy chủ của mình. WordPress tự sử dụng cron job để thiết lập các tác vụ theo lịch trình như xuất bản các bài đăng đã lên lịch, xóa các nhận xét cũ khỏi thùng rác, dọn dẹp database định kỳ hay backup dữ liệu mỗi ngày …
Các hacker có thể khai thác cron job để chạy các tác vụ theo lịch trình trên máy chủ của bạn mà bạn không biết.
11. Kết quả tìm kiếm bị thay đổi
Nếu kết quả tìm kiếm từ các công cụ tìm kiếm như Google, Bing … hiển thị trang web của bạn với tiêu đề hoặc mô tả không chính xác, thì đây là dấu hiệu cho thấy trang web WordPress của bạn đã bị tấn công.
Và khi vào website của bạn thì vẫn thấy không hề bị thay đổi. Hacker đã khai thác lại một lỗ hổng để chèn mã độc sửa đổi dữ liệu trang web của bạn theo cách mà nó chỉ hiển thị với các công cụ tìm kiếm.
Đây là dấu hiệu thường gặp nhất trong thời gian qua khi wordpress bị hack. Khi mà có rất nhiều website bị hiển thị tiếng Nhật trên công cụ tìm kiếm.
12. Quảng cáo lạ hiển thị trên Website của Bạn
Những hacker này đang cố kiếm tiền bằng cách chiếm quyền điều khiển lưu lượng truy cập website của bạn và hiển thị quảng cáo spam của họ cho các trang web bất hợp pháp. Các popups này thường sẽ không hiển thị cho người dùng đã đăng nhập hoặc người dùng truy vào website trực tiếp.
Các popups chỉ hiển thị khi người dùng truy cập từ các công cụ tìm kiếm và sẽ mở ra trong trình duyệt mới ẩn dưới trình duyệt hiện tại. Và tất nhiên, người dùng sẽ khó phát hiện ra popups này. Ngay cả bạn là admin truy cập website từ google, nếu trình duyệt của bạn mở quá nhiều tab thì bạn cũng chẳng biết được popups đó đến từ website nào.
Thế Thôi
Bên trên là tổng hợp 12 Dấu hiệu cho thấy Website WordPress bị hack mà bất cứ ai sử dụng nền tảng WordPress làm website đều phải biết. Chúng ta cần phải biết và tìm cách khắc phục. Đồng thời thay đổi cách sử dụng WordPress và luôn tìm cách giữ cho website của mình an toàn hơn. Chúc website của bạn luôn hoạt động ổn định.
Nên xem Series: Bảo Mật WordPress
Bài viết liên quan: