Trang web WordPress của bạn đã bị hack chưa?
Tin tặc thường sẽ cài đặt một backdoor để đảm bảo họ có thể quay trở lại ngay cả sau khi bạn bảo mật trang web của mình. Trừ khi bạn có thể loại bỏ backdoor đó, không có gì ngăn cản chúng. Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách tìm backdoor trong một trang web WordPress bị hack và khắc phục nó.
Nếu bạn đang chạy một trang web WordPress, thì bạn cần phải thực hiện bảo mật một cách nghiêm túc. Đó là bởi vì các trang web bị tấn công trung bình 44 lần mỗi ngày.
Nhưng nếu trang web của bạn đã bị hack thì sao?
Một số dấu hiệu cho thấy trang web WordPress của bạn đã bị tấn công bao gồm giảm lưu lượng truy cập hoặc hiệu suất trang web, thêm liên kết xấu hoặc tệp không xác định, trang chủ bị xóa, không có khả năng đăng nhập, tài khoản người dùng mới đáng ngờ và hơn thế nữa.
Dọn dẹp một trang web bị hack có thể vô cùng đau đớn và khó khăn. Bạn cũng nên chắc chắn rằng bạn quét trang web của bạn cho bất kỳ phần mềm độc hại mà tin tặc để lại.
Và đừng quên đóng backdoor.
Một hacker thông minh biết rằng cuối cùng bạn sẽ dọn dẹp trang web của mình. Điều đầu tiên họ có thể làm là cài đặt một backdoor, để họ có thể lẻn trở lại sau khi bạn tăng cường bảo mật cửa trước của trang web WordPress.
Backdoor là gì?
Backdoor là mã được thêm vào một trang web cho phép tin tặc truy cập vào máy chủ trong khi vẫn không bị phát hiện và bỏ qua việc đăng nhập thông thường. Nó cho phép một hacker lấy lại quyền truy cập ngay cả sau khi bạn tìm thấy và loại bỏ plugin bị khai thác hoặc lỗ hổng cho trang web của bạn.
Backdoors là bước tiếp theo của một hack sau khi đã đột nhập vào hệ thống.
Backdoors thường sống sót sau khi nâng cấp WordPress. Điều đó có nghĩa là trang web của bạn sẽ vẫn dễ bị tổn thương cho đến khi bạn tìm thấy và sửa chữa mọi backdoor.
Backdoors hoạt động như thế nào?
Một số backdoor chỉ đơn giản là tên người dùng quản trị ẩn. Nó cho phép hacker đăng nhập như bình thường bằng cách nhập tên người dùng và mật khẩu. Vì tên người dùng bị ẩn, bạn thậm chí không biết rằng người khác có quyền truy cập vào trang web của bạn.
Các backdoor phức tạp hơn có thể cho phép hacker thực thi mã PHP. Họ tự gửi mã đến trang web của bạn bằng trình duyệt web khác.
Những người khác đăng nhập vào giao diện quản trị sẽ cho phép họ gửi email dưới dạng mail từ trang web của bạn, thực hiện các truy vấn cơ sở dữ liệu SQL và nhiều hơn nữa.
Một số tin tặc sẽ để lại nhiều hơn một backdoor. Sau khi họ tải lên một, họ sẽ thêm một cái khác để đảm bảo quyền truy cập của họ sau này.
Backdoors ẩn ở đâu?
Trong mọi trường hợp chúng tôi đã tìm thấy, backdoor được ngụy trang để trông giống như một tệp WordPress. Code của backdoor trên trang Web WordPress được lưu trữ phổ biến nhất ở các vị trí sau:
- Một chủ đề WordPress, nhưng có lẽ không phải là themes bạn đang sử dụng. Code trong một chủ đề không được ghi đè khi bạn cập nhật WordPress, vì vậy đó là một nơi tốt để đặt backdoor. Đó là lý do tại sao chúng tôi khuyên bạn nên xóa tất cả các chủ đề không hoạt động.
- Các plugin WordPress là một nơi tốt khác để ẩn backdoor. Giống như các chủ đề, chúng không bị ghi đè bởi các bản cập nhật WordPress và nhiều người dùng không muốn nâng cấp các plugin.
- Thư mục uploads có thể chứa hàng trăm hoặc hàng ngàn tệp, vì vậy đây là một nơi tốt khác để ẩn backdoor. Các blogger hầu như không bao giờ kiểm tra nội dung của nó bởi vì họ chỉ tải lên một hình ảnh và sau đó sử dụng nó trong một bài đăng.
- Tệp wp-config.php chứa thông tin nhạy cảm được sử dụng để cấu hình WordPress. Đây là một trong những tập tin được nhắm mục tiêu nhiều nhất bởi tin tặc.
- Thư mục wp-include chứa các tệp PHP cần thiết để WordPress chạy đúng. Đó là một nơi khác mà chúng tôi tìm thấy backdoors vì hầu hết chủ sở hữu trang web không kiểm tra xem thư mục này chứa gì.
Ví dụ về Backdoors chúng tôi đã tìm thấy
Dưới đây là một số ví dụ về nơi tin tặc đã tải lên backdoors. Trong một trang web chúng tôi đã dọn dẹp, backdoor nằm trong thư mục wp-includes. Tệp có tên là wp-user.php, trông rất bình thường, nhưng tệp đó không thực sự tồn tại trong cài đặt WordPress bình thường.
Trong một trường hợp khác, chúng tôi đã tìm thấy một tệp PHP có tên hello.php trong thư mục uploads. Nó được ngụy trang thành plugin Hello Dolly. Điều kỳ lạ là hacker đã đưa nó vào thư mục uploads thay vì thư mục plugins.
Chúng tôi cũng đã tìm thấy các backdoor không sử dụng phần mở rộng tệp .php. Một ví dụ là một tệp có tên wp-content.old.tmp và chúng tôi cũng đã tìm thấy các backdoor trong các tệp có phần mở rộng .zip.
Như bạn có thể thấy, tin tặc có thể thực hiện các cách tiếp cận rất sáng tạo khi ẩn một backdoor.
Trong hầu hết các trường hợp, các tệp được mã hóa bằng mã Base64 có thể thực hiện tất cả các loại hoạt động. Ví dụ: họ có thể thêm liên kết spam, thêm các trang bổ sung, chuyển hướng trang web chính đến các trang spam và hơn thế nữa.
Với điều đó đang được nói, chúng ta hãy xem làm thế nào để tìm một backdoor trong một trang web WordPress bị hack và sửa chữa nó.
Làm thế nào để tìm một backdoor sau khi trang web WordPress bị tấn công và khắc phục nó
Bây giờ bạn đã biết backdoor là gì và nó có thể bị ẩn ở đâu. Phần khó là tìm ra nó! Sau đó, việc dọn dẹp nó cũng dễ dàng như xóa tệp hoặc code.
1. Quét mã độc hại tiềm ẩn
Cách dễ nhất để quét trang web của bạn để tìm các backdoor và lỗ hổng bảo mật là sử dụng plugin quét phần mềm độc hại WordPress. Chúng tôi khuyên dùng Securi vì nó đã giúp chúng tôi chặn 450.000 cuộc tấn công WordPress trong 3 tháng, bao gồm 29.690 cuộc tấn công liên quan đến backdoor.
Họ cung cấp một plugin Sucuri Security miễn phí cho WordPress cho phép bạn quét trang web của mình để tìm các mối đe dọa phổ biến và tăng cường bảo mật WordPress của bạn. Phiên bản trả phí bao gồm một quét phía máy chủ một lần mỗi ngày và tìm kiếm các backdoor và các vấn đề bảo mật khác.
2. Xóa thư mục plugin của bạn
Việc tìm kiếm trong các thư mục plugin của bạn để tìm kiếm các tệp và mã đáng ngờ rất tốn thời gian. Và bởi vì tin tặc rất cẩn thận, không có gì đảm bảo bạn sẽ tìm thấy một cửa sau.
Điều tốt nhất bạn có thể làm là xóa thư mục plugin của mình, sau đó cài đặt lại các plugin của bạn từ đầu. Đây là cách duy nhất để biết chắc chắn rằng không có backdoor nào trong các plugin của bạn.
Bạn có thể truy cập thư mục plugin của mình bằng ứng dụng FTP hoặc trình quản lý tệp của máy chủ lưu trữ WordPress của bạn. Bạn sẽ cần sử dụng phần mềm để điều hướng đến thư mục wp-content trên trang web của mình. Khi đó, bạn phải nhấp chuột phải vào plugins thư mục và chọn ‘Delete‘.
3. Xóa thư mục Themes của bạn
Theo cách tương tự, thay vì dành thời gian tìm kiếm một backdoor trong số các tệp chủ đề của bạn, tốt hơn là bạn chỉ cần xóa chúng đi.
Sau khi bạn xóa thư mục plugins của mình, chỉ cần đánh dấu thư mục themes và xóa nó theo cách tương tự.
Bạn không biết liệu có một backdoor trong thư mục đó hay không, nhưng nếu có, nó đã biến mất ngay. Bạn vừa tiết kiệm được thời gian vừa loại bỏ được thêm một điểm tấn công.
Bây giờ bạn có thể cài đặt lại bất kỳ chủ đề nào bạn cần.
4. Tìm kiếm trong Thư mục tải lên cho các tệp PHP
Tiếp theo, bạn nên xem qua thư mục uploads và đảm bảo rằng không có tệp PHP nào bên trong.
Không có lý do chính đáng để tệp PHP nằm trong thư mục này vì nó được thiết kế để lưu trữ các tệp phương tiện như hình ảnh. Nếu bạn tìm thấy một tệp PHP ở đó, thì nó sẽ bị xóa.
Giống như thư mục plugins và themes, bạn sẽ tìm thấy uploads thư mục trong thư mục wp-content. Bên trong thư mục, bạn sẽ tìm thấy nhiều thư mục cho mỗi năm và tháng bạn đã tải tệp lên. Bạn sẽ cần kiểm tra từng thư mục để tìm tệp PHP.
Một số ứng dụng khách FTP cung cấp các công cụ sẽ tìm kiếm thư mục một cách đệ quy. Ví dụ: nếu bạn sử dụng FileZilla, thì bạn có thể nhấp chuột phải vào thư mục và chọn ‘Thêm tệp vào hàng đợi’. Mọi tệp được tìm thấy trong bất kỳ thư mục con nào của thư mục sẽ được thêm vào hàng đợi ở ngăn dưới cùng.
Bây giờ bạn có thể cuộn qua danh sách để tìm các tệp có phần mở rộng .php.
Ngoài ra, người dùng nâng cao, quen thuộc với SSH có thể viết lệnh sau:
find uploads -name "*.php" -print
5. Xóa tệp .htaccess
Một số tin tặc có thể thêm mã chuyển hướng vào tệp .htaccess của bạn để đưa khách truy cập của bạn đến một trang web khác.
Sử dụng ứng dụng khách FTP hoặc trình quản lý tệp, chỉ cần xóa tệp khỏi thư mục gốc của trang web của bạn và tệp sẽ được tạo lại tự động.
Nếu vì lý do nào đó mà nó không được tạo lại, bạn có thể tạo 1 tệp tin mới với nội dung sau:
# BEGIN WordPress
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress6. Kiểm tra tệp wp-config.php
Tệp wp-config.php là một tệp WordPress cốt lõi chứa thông tin cho phép WordPress giao tiếp với cơ sở dữ liệu, các khóa bảo mật để cài đặt WordPress của bạn và các tùy chọn dành cho nhà phát triển.
Tệp được tìm thấy trong thư mục gốc của trang web của bạn. Bạn có thể xem nội dung của tệp bằng cách chọn tùy chọn Mở hoặc Chỉnh sửa trong ứng dụng FTP Client của mình.
Bây giờ bạn nên xem kỹ nội dung của hồ sơ để xem có gì khác lạ không. Có thể hữu ích nếu so sánh tệp với tệp wp-config-sample.php mặc định nằm trong cùng một thư mục.
Bạn nên xóa bất kỳ mã nào mà bạn chắc chắn không đúng, tức là nó sai cấu trúc.
7. Khôi phục bản sao lưu trang web
Nếu bạn đã thường xuyên sao lưu trang web của mình và vẫn lo lắng rằng trang web của bạn không hoàn toàn sạch sẽ, thì khôi phục bản sao lưu là một giải pháp tốt.
Bạn sẽ cần phải xóa hoàn toàn trang web của mình và sau đó khôi phục bản sao lưu đã được thực hiện trước khi trang web của bạn bị tấn công. Đây không phải là một lựa chọn cho tất cả mọi người, nhưng nó sẽ giúp bạn hoàn toàn tin tưởng rằng trang web của bạn an toàn.
Làm thế nào để ngăn chặn các cuộc tấn công trong tương lai?
Bây giờ bạn đã dọn dẹp trang web của mình, đã đến lúc cải thiện tính bảo mật của trang web để ngăn chặn các vụ tấn công trong tương lai. Nó không rẻ tiền hoặc thờ ơ khi nói đến bảo mật trang web.
1. Thường xuyên sao lưu trang web của bạn
Nếu bạn chưa thực hiện sao lưu trang web của mình thường xuyên, thì hôm nay là ngày để bắt đầu.
WordPress không đi kèm với giải pháp sao lưu tích hợp. Tuy nhiên, có một số plugin sao lưu WordPress tuyệt vời cho phép bạn tự động sao lưu và khôi phục trang web WordPress của mình.
UpdraftPlus là một trong những plugin sao lưu WordPress tốt nhất. Nó cho phép bạn thiết lập lịch trình sao lưu tự động và sẽ giúp bạn khôi phục trang web WordPress của mình nếu có điều gì đó xấu xảy ra.
Chúng tôi có một bài viết để hướng dẫn bạn cách sử dụng plugin này để sao lưu trang web WordPress một cách tự động hướng dẫn bạn cách sử dụng plugin này để sao lưu trang web WordPress một cách tự động, bạn có thể tham khảo để bảo vệ trang web của mình.
2. Cài đặt một Plugin bảo mật
Bạn không thể giám sát mọi thứ diễn ra trên trang web của mình khi bạn đang bận rộn với công việc kinh doanh của mình. Đó là lý do tại sao chúng tôi khuyên bạn nên sử dụng một plugin bảo mật như Sucuri.
Chúng tôi giới thiệu Sucuri vì họ giỏi trong những gì họ làm. Các ấn phẩm lớn như CNN, USA Today, PC World, TechCrunch, The Next Web và những người khác cũng đồng ý như vậy.
3. Làm cho đăng nhập WordPress an toàn hơn
Điều quan trọng là bạn phải làm cho thông tin đăng nhập WordPress của mình an toàn hơn. Cách tốt nhất để bắt đầu là thực thi việc sử dụng mật khẩu mạnh khi người dùng tạo tài khoản trên trang web của bạn. Chúng tôi cũng khuyên bạn nên bắt đầu sử dụng tiện ích quản lý mật khẩu như 1Password.
Điều tiếp theo bạn nên làm là thêm xác thực hai yếu tố. Điều này sẽ bảo vệ trang web của bạn khỏi bị đánh cắp mật khẩu và các cuộc tấn công quét mật khẩu. Nó có nghĩa là ngay cả khi một hacker biết tên người dùng và mật khẩu của bạn, họ vẫn sẽ không thể đăng nhập vào trang web của bạn.
Cuối cùng, bạn nên hạn chế các lần đăng nhập trong WordPress. WordPress cho phép người dùng nhập mật khẩu bao nhiêu lần tùy thích. Việc khóa người dùng sau năm lần đăng nhập không thành công sẽ làm giảm đáng kể cơ hội của tin tặc trong việc tìm ra chi tiết đăng nhập của bạn.
4. Bảo vệ khu vực quản trị WordPress
Bảo vệ khu vực quản trị khỏi truy cập trái phép cho phép bạn chặn nhiều mối đe dọa bảo mật phổ biến.
Ví dụ: bạn có thể bảo vệ bằng mật khẩu thư mục wp-admin . Điều này bổ sung một lớp bảo vệ khác cho điểm vào quan trọng nhất đối với trang web của bạn.
Bạn cũng có thể giới hạn quyền truy cập vào khu vực quản trị đối với các địa chỉ IP được nhóm của bạn sử dụng. Đây là một cách khác để khóa những tin tặc phát hiện ra tên người dùng và mật khẩu của bạn.
5. Tắt trình chỉnh sửa chủ đề và plugin
Bạn có biết rằng WordPress đi kèm với một trình chỉnh sửa chủ đề và plugin tích hợp sẵn không? Trình chỉnh sửa văn bản thuần túy này cho phép bạn chỉnh sửa các tệp chủ đề và plugin của mình trực tiếp từ bảng điều khiển WordPress.
Mặc dù điều này hữu ích nhưng nó có thể dẫn đến các vấn đề bảo mật tiềm ẩn. Ví dụ: nếu một tin tặc đột nhập vào khu vực quản trị WordPress của bạn, thì họ có thể sử dụng trình chỉnh sửa tích hợp để có quyền truy cập vào tất cả dữ liệu WordPress của bạn.
Sau đó, họ sẽ có thể phát tán phần mềm độc hại hoặc khởi chạy các cuộc tấn công DDoS từ trang web WordPress của bạn.
Để cải thiện tính bảo mật của WordPress, chúng tôi khuyên bạn nên xóa hoàn toàn các trình chỉnh sửa tệp tích hợp sẵn.
6. Tắt thực thi PHP trong một số thư mục WordPress nhất định
Theo mặc định, các tập lệnh PHP có thể được chạy trong bất kỳ thư mục nào trên trang web của bạn. Bạn có thể làm cho trang web của mình an toàn hơn bằng cách tắt thực thi PHP trong các thư mục không cần đến nó.
Ví dụ: WordPress không bao giờ cần chạy mã được lưu trữ trong thư mục uploads. Nếu bạn tắt thực thi PHP cho thư mục đó, thì tin tặc sẽ không thể chạy một cửa sau ngay cả khi họ đã tải lên thành công một backdoor ở đó.
7. Giữ cho trang web của bạn được cập nhật
Mọi phiên bản mới của WordPress đều an toàn hơn phiên bản trước. Bất cứ khi nào một lỗ hổng bảo mật được báo cáo, nhóm WordPress sẽ làm việc để phát hành bản cập nhật khắc phục sự cố.
Điều này có nghĩa là nếu bạn không cập nhật WordPress, thì bạn đang sử dụng phần mềm có lỗ hổng bảo mật đã biết. Tin tặc có thể tìm kiếm các trang web chạy phiên bản cũ hơn và sử dụng lỗ hổng để truy cập.
Đó là lý do tại sao bạn nên luôn sử dụng phiên bản mới nhất của WordPress.
Đừng chỉ cập nhật WordPress. Bạn cần đảm bảo rằng bạn cũng luôn cập nhật các plugin và chủ đề WordPress của mình .
Chúng tôi hy vọng hướng dẫn này đã giúp bạn tìm hiểu cách tìm và sửa lỗi cửa sau trong một trang web WordPress bị tấn công. Bạn cũng có thể muốn tìm hiểu cách chuyển WordPress từ HTTP sang HTTPS.
