Website tạo bởi wordpress bị nhiễm mã độc và cách xử lý - Phần 2

Giải pháp Tối ưu hóa công cụ tìm kiếm cực tốt!
May
28

Website tạo bởi wordpress bị nhiễm mã độc và cách xử lý - Phần 2

05/28/2024 12:00 AM bởi Hồng Nhung trong Seo nâng cao


Tiếp phần 1

     Trong thời đại số hóa hiện nay, việc sở hữu một website không còn là điều xa lạ đối với nhiều doanh nghiệp và cá nhân. Đặc biệt, nền tảng WordPress đã trở thành một lựa chọn phổ biến nhờ vào tính linh hoạt và dễ sử dụng. Tuy nhiên, chính sự phổ biến này cũng khiến cho các website WordPress trở thành mục tiêu hấp dẫn của tin tặc. Một trong những vấn đề thường gặp là website bị nhiễm độc, gây ra nhiều hậu quả nghiêm trọng như mất dữ liệu, thông tin khách hàng bị rò rỉ, và ảnh hưởng đến uy tín của doanh nghiệp. Bên cạnh đó, Website bị nhiễm độc sẽ bị Google đánh rớt thứ hạng thảm hại, điều đó dẫn đến website của bạn sẽ khó có cơ hội xuất hiện trong TOP các kết quả trả về từ Google hay các bộ máy tìm kiếm khác. Điều này sẽ ảnh hưởng đến trải nghiệm khách hàng, thậm chí sẽ bị mất khách hàng rất nhiều do họ không có cơ hội tiếp cận website của bạn.

     Để giúp bạn giải quyết những rắc rối gây ra bởi các đoạn mã độc trên website của Bạn, Bài viết này sẽ phân tích các dấu hiệu nhận biết khi website WordPress bị nhiễm độc và hướng dẫn cách xử lý để bảo vệ website của bạn khỏi những mối đe dọa an ninh mạng. Đồng thời giúp website của bạn tránh bị tình trạng mã độc tấn công vào những lần sau và giúp website của bạn dần lấy lại thứ hạng và niềm tin từ các bộ máy tìm kiếm.

NỘI DUNG BÀI VIẾT

1. Mã độc là gì?

2. Những dấu hiệu để nhận biết website wordpress bị nhiễm mã độc

3. Nguyên nhân dẫn đến website wordpress bị nhiễm mã độc

4. Những tác hại gây ra cho bạn và doanh nghiệp khi website wordpress bị nhiễm mã độc

5. Các giải pháp để xử lý mã độc ra khỏi website wordpress và giúp website lấy lại thứ hạng

6. Những điều cần lưu ý khi vận hành web để tránh bị nhiễm mã độc

NỘI DUNG CHI TIẾT

5. Các giải pháp để xử lý mã độc ra khỏi website wordpress và giúp website lấy lại thứ hạng

     Để xử lý mã độc ra khỏi website WordPress và giúp website lấy lại thứ hạng trên công cụ tìm kiếm, bạn cần thực hiện một loạt các bước cụ thể và toàn diện. Dưới đây là các giải pháp chi tiết:

5.1. Giải pháp xử lý tạm thời

5.1.1. Xử lý mã độc khỏi website (Trường hợp trước đó Bạn không Sao lưu dữ liệu)

     Sao lưu dữ liệu:

Trước khi bắt đầu quá trình làm sạch, hãy sao lưu toàn bộ dữ liệu website để đảm bảo bạn có thể khôi phục lại trong trường hợp cần thiết.

     Kiểm tra và quét mã độc:

  • Sử dụng các công cụ bảo mật như Sucuri, Wordfence, hoặc MalCare để quét website và phát hiện mã độc(Nếu sử dụng hosting thì bạn nhờ nhà cung cấp hosting xử lý hộ, nếu bạn dùng VPS và tự quản lý VPS thì bạn cần cài đặt chương trình diệt virus Linux Malware Detect kèm với chương trình hỗ trợ ClamAV, sau đó tiến hành dùng lệnh tương ứng để quét virus trên VPS của bạn.
  • Kiểm tra các tệp tin, cơ sở dữ liệu và thư mục để tìm ra các tệp tin lạ hoặc bị nhiễm.

     Loại bỏ mã độc:

  • Xóa các tệp tin mã độc được phát hiện.
  • Kiểm tra và làm sạch các tệp tin core, theme, và plugin của WordPress. Nếu không chắc chắn, hãy tải lại các phiên bản sạch từ nguồn chính thức.

Xóa mã độc ra khỏi website là một công việc cực khó và phức tạp

Hình 5: Loại bỏ mã độc ra khỏi website là một công việc cực khó và phức tạp

5.1.2. Xử lý mã độc khỏi website (Trường hợp trước đó Bạn đã Sao lưu dữ liệu)

  • Bạn cần xóa toàn bộ Code website và Database trên Hosting.
  • Tiến hành Phục hồi lại Website từ bản sau lưu sạch gần đây nhất.

5.2. Loại bỏ theme và pluggin bản nulled

     Bạn cần rà soát để loại bỏ và thay thế theme và các pluggin không rõ nguồn gốc (bản nulled hoặc crack hoặc lấy từ nguồn không rõ ràng).

5.3. Cập nhật WordPress, theme, và plugin

  • Cập nhật WordPress lên phiên bản mới nhất.
  • Cập nhật tất cả các theme và plugin lên phiên bản mới nhất để đảm bảo không có lỗ hổng bảo mật.
  • Cập nhật PHP lên phiên bản cao nhất.

5.4. Kiểm tra các tài khoản người dùng

  • Kiểm tra danh sách tài khoản người dùng và xóa bỏ các tài khoản không hợp lệ hoặc đáng ngờ.
  • Đổi mật khẩu cho tất cả các tài khoản quản trị.
  • Kiểm tra và sửa file .htaccess và wp-config.php:
  • Kiểm tra tệp .htaccess để đảm bảo không có các mã độc hại hoặc chuyển hướng không mong muốn.
  • Kiểm tra tệp wp-config.php để đảm bảo không có thay đổi bất thường.

5.5. Bảo vệ website khỏi các mối đe dọa trong tương lai

5.5.1. Cài đặt plugin bảo mật

     Cài đặt các plugin bảo mật như Wordfence, Sucuri, hay iThemes Security để bảo vệ website khỏi các cuộc tấn công trong tương lai.

5.5.2. Thiết lập tường lửa (Firewall)

     Sử dụng tường lửa ứng dụng web (WAF) để bảo vệ website khỏi các cuộc tấn công từ bên ngoài.

5.5.3. Thay đổi thông tin đăng nhập

  • Sử dụng mật khẩu mạnh và thay đổi thường xuyên.
  • Đổi tên người dùng quản trị nếu đang sử dụng tên đăng nhập phổ biến như “admin”.

5.5.4. Giới hạn quyền truy cập

  • Thiết lập quyền truy cập tệp tin và thư mục một cách hợp lý.
  • Chỉ cấp quyền quản trị cho những người thực sự cần thiết.

5.5.5. Theo dõi và kiểm tra định kỳ

  • Thường xuyên kiểm tra và quét website để phát hiện sớm các mối đe dọa.
  • Theo dõi nhật ký (logs) để phát hiện các hoạt động bất thường.

5.6. Khôi phục thứ hạng SEO

5.6.1. Xóa cảnh báo của Google

  • Sau khi làm sạch mã độc, yêu cầu Google kiểm tra lại website bằng cách gửi yêu cầu xem xét lại (Reconsideration Request) trong Google Search Console.
  • Giải thích rõ ràng rằng website đã được làm sạch và bảo mật.

5.6.2. Xóa toàn bộ các link bẩn ra khỏi Google Console

      Bằng cách sử dụng công cụ báo cáo và gỡ link bẩn ra khỏi website của Google, bạn truy cập và thực hiện gỡ link bẩn theo link sau: https://search.google.com/search-console/disavow-links

Loại bỏ link bẩn ra khỏi website là việc làm rất cần thiết

Hình 6: Loại bỏ link bẩn, link Gãy liên quan đến website của bạn ra khỏi cơ sở dữ liệu của Google là việc làm rất cần thiết

5.6.3. Cải thiện nội dung và SEO on-page

  • Đảm bảo nội dung chất lượng và tối ưu hóa SEO on-page, bao gồm tiêu đề, mô tả meta, từ khóa, và thẻ H1-H6.
  • Tạo nội dung mới và chất lượng để thu hút lưu lượng truy cập tự nhiên.

5.6.4. Xây dựng liên kết (Backlink)

  • Xây dựng lại các liên kết chất lượng từ các trang web uy tín.
  • Liên hệ với các trang web đã từng liên kết và thông báo rằng website của bạn đã được làm sạch.

5.6.5. Tối ưu hóa tốc độ website

  • Sử dụng các công cụ như Google PageSpeed Insights để kiểm tra và cải thiện tốc độ tải trang.
  • Sử dụng bộ nhớ đệm (caching) và nén tệp tin để tăng tốc độ website.

5.6.6. Index lại website lên Google

     Sau khi thực hiện các nội dung ở trên, hiện tại, Website của bạn đã ở trạng thái sạch, Bạn cần đệ trình lên Google để Google index lại toàn bộ website của bạn. Khi Google Index website của bạn theo dữ liệu mới thì tự khắc website của bạn sẽ dần cải thiện được thứ hạng.

5.6.7. Giám sát và phân tích

  • Sử dụng các công cụ phân tích như Google Analytics để theo dõi lưu lượng truy cập và hiệu suất SEO.
  • Điều chỉnh chiến lược SEO dựa trên dữ liệu và kết quả phân tích.

     Bằng cách thực hiện các bước trên, bạn không chỉ loại bỏ được mã độc khỏi website WordPress mà còn khôi phục lại thứ hạng trên công cụ tìm kiếm và bảo vệ website khỏi các mối đe dọa trong tương lai.

5.2. Giải pháp xử lý triệt để

     Với giải pháp được đề cập ở mục 5.1 bên trên chỉ là giải pháp tạm thời trước mắt, bởi vì bản chất Code website trên đã bị nhiềm mã độc, việc tìm và loại bỏ mã độc ra khỏi website là một công việc rất khó đòi hỏi mất thời gian, công sức và tiền bạc. Công việc này đến những lập trình viên chuyên nghiệp, lâu năm còn khó, huống chi với người không biết code.

    Vì vậy, giải pháp xử lý triệt để là làm lại website mới với Code web, theme, pluggin sạch, rõ nguồn gốc.

   Bạn lưu ý NÓI KHÔNG với web giá rẻ, vì website giá rẻ thường do cá nhân những người biết về IT kèm theo kinh nghiệm yếu nên mới đưa ra mức giá rẻ, và để làm được website giá rẻ thì rõ ràng họ phải sử dụng các theme, pluggin bản nulled, bản crack (bản không rõ nguồn gốc). Do đó, nguyên cơ website nhiễm mã độc rất cao và kéo theo các hệ lụy không tốt cho thứ hạng của website và trải nghiệm khách hàng sau này.

     Bạn có thể tham khảo thư viện mẫu website chuẩn SEO sạch (không dính mã độc) tại: Mau.WebChuanSEO365.Com để chọn ra cho mình một mẫu website chuẩn SEO và sạch phù hợp.

6. Những điều cần lưu ý khi vận hành web để tránh bị nhiễm mã độc

     Để tránh bị nhiễm mã độc khi vận hành một website WordPress, cần chú ý đến một số yếu tố quan trọng về bảo mật và quản lý. Dưới đây là những điều cần lưu ý:

6.1. Thường xuyên cập nhật code wordpress, theme, pluggin lên phiên bản mới nhất

     WordPress Core: Luôn cập nhật phiên bản mới nhất của WordPress để đảm bảo bạn được bảo vệ khỏi các lỗ hổng bảo mật đã được vá.

     Plugin và Theme: Đảm bảo tất cả các plugin và theme được cập nhật thường xuyên. Chỉ sử dụng plugin và theme từ nguồn tin cậy, chẳng hạn như từ WordPress.org hoặc các nhà phát triển có uy tín.

Thường xuyên nâng cấp code web, theme, pluggin lên phiên bản mới nhất

Hình 7: Thường xuyên nâng cấp code web, theme, pluggin lên phiên bản mới nhất

6. 2. Sử dụng mật khẩu mạnh

     Mật khẩu phức tạp: Sử dụng mật khẩu mạnh, phức tạp và thay đổi định kỳ cho tài khoản quản trị và các tài khoản người dùng khác.

     Tránh mật khẩu phổ biến: Không sử dụng mật khẩu phổ biến hoặc dễ đoán như "admin", "123456", hay "password".

6.3. Quản lý người dùng

     Giới hạn quyền truy cập: Chỉ cấp quyền quản trị cho những người thực sự cần thiết. Các tài khoản người dùng khác nên được gán các quyền hạn phù hợp với vai trò của họ.

     Xóa tài khoản không cần thiết: Xóa các tài khoản người dùng không còn sử dụng để giảm thiểu nguy cơ bị tấn công.

6.4. Sử dụng các plugin bảo mật

     Plugin bảo mật: Cài đặt và cấu hình các plugin bảo mật như Wordfence, Sucuri, hay iThemes Security để bảo vệ website khỏi các mối đe dọa.

     Tường lửa (Firewall): Sử dụng tường lửa ứng dụng web (WAF) để chặn các cuộc tấn công từ bên ngoài.

6.5. Bảo mật tệp tin và thư mục

     Quyền truy cập tệp tin: Thiết lập quyền truy cập tệp tin và thư mục một cách hợp lý (ví dụ: 644 cho tệp tin và 755 cho thư mục).

     Bảo vệ tệp tin quan trọng: Sử dụng .htaccess để bảo vệ các tệp tin quan trọng như wp-config.php và cấm truy cập vào thư mục wp-includes.

6.6. Sử dụng giao thức HTTPS cho website

     Chứng chỉ SSL: Cài đặt chứng chỉ SSL và sử dụng HTTPS để mã hóa dữ liệu truyền tải giữa máy chủ và người dùng, giúp bảo vệ thông tin cá nhân và tài chính.

6.7. Sao lưu thường xuyên

     Sao lưu định kỳ: Thực hiện sao lưu định kỳ toàn bộ website, bao gồm cơ sở dữ liệu và các tệp tin.

     Lưu trữ sao lưu an toàn: Lưu trữ bản sao lưu ở nhiều nơi khác nhau, chẳng hạn như trên cloud hoặc các thiết bị ngoại vi.

6.8. Giám sát và kiểm tra định kỳ

     Quét mã độc: Thường xuyên quét website để phát hiện và loại bỏ mã độc.

     Giám sát hoạt động: Theo dõi nhật ký hoạt động (logs) để phát hiện sớm các hoạt động đáng ngờ.

6.9. Đào tạo nhân viên

     Nhận thức về bảo mật: Đào tạo nhân viên về các nguy cơ bảo mật và cách nhận biết các mối đe dọa như phishing, malware.

     Thực hành bảo mật tốt: Khuyến khích nhân viên thực hành các thói quen bảo mật tốt như không mở email hoặc tệp đính kèm từ nguồn không xác định.

6.10. Chọn dịch vụ hosting uy tín

     Nhà cung cấp hosting: Chọn nhà cung cấp dịch vụ hosting uy tín, có các biện pháp bảo mật mạnh mẽ như tường lửa, bảo vệ DDoS, và sao lưu tự động.

     Bảo mật máy chủ: Đảm bảo máy chủ hosting được cấu hình bảo mật đúng cách và luôn cập nhật các phần mềm và hệ điều hành.

     Bằng cách tuân thủ các nguyên tắc và thực hành bảo mật này, bạn sẽ giảm thiểu nguy cơ website WordPress của bạn bị nhiễm mã độc và bảo vệ dữ liệu cũng như thông tin của người dùng một cách hiệu quả.

     Hy vọng nội dung bài viết này sẽ mang lại thật nhiều giá trị hữu ích cho Bạn!


Để lại một lời bình
Vui lòng nhập lời bình của bạn tại đây.


Back To Top