Bỏ qua điều hướng

Tại sao website bị dính mã độc và cách quét dọn tận gốc

Website của bạn đang bị chuyển hướng, chèn link rác hoặc bị Google cảnh báo đỏ? Hãy tìm hiểu nguyên nhân cốt lõi và thực hiện theo hướng dẫn từng bước để tự quét sạch mã độc mà không tốn một đồng chi phí dịch vụ.

Website bị dính mã độc chủ yếu do sử dụng theme, plugin bẻ khóa (null), không cập nhật phiên bản mới, hoặc bảo mật mật khẩu kém. Để xử lý triệt để, bạn cần quét mã độc bằng plugin Wordfence Security, sau đó vào hosting xóa file lạ, cài lại mã nguồn sạch và đổi toàn bộ mật khẩu quản trị.

Nhiều đơn vị làm web hiện nay sau khi bàn giao xong là hết trách nhiệm. Tệ hơn, một số bên cố tình cài cắm mã độc ẩn hoặc khóa tính năng để buộc bạn phải đóng tiền bảo trì hàng tháng. Đến khi website gặp sự cố, bạn mới ngỡ ngàng nhận ra mình không hề được bàn giao quyền quản trị tối cao (tài khoản Hosting/Cpanel) để tự cứu lấy tài sản của mình. Tại TOPWEB, chúng tôi luôn bàn giao 100% chìa khóa cho khách hàng. Dưới đây là hướng dẫn chi tiết, không giấu nghề để bạn tự xử lý website bị nhiễm độc từ gốc đến ngọn.

3 nguyên nhân chính khiến website WordPress bị dính mã độc

  • Sử dụng theme và plugin crack (nulled) chia sẻ miễn phí: Đây là con đường ngắn nhất và phổ biến nhất đưa mã độc vào hệ thống. Các file cài đặt được chia sẻ "bố thí" trên các diễn đàn, hội nhóm thực chất đã bị hacker can thiệp, chèn sẵn các đoạn mã độc ẩn (backdoor). Khi bạn cài vào web, backdoor này sẽ kích hoạt, tạo quyền truy cập cho hacker hoặc tự động chèn link ẩn, link quảng cáo cờ bạc, thuốc kích dục.
  • Không cập nhật phiên bản WordPress core, theme và plugin: Các nhà phát triển liên tục vá lỗi bảo mật khi phát hiện lỗ hổng. Nếu bạn bỏ bê website nhiều tháng, nhiều năm không cập nhật, hacker sẽ dùng các công cụ quét tự động để tìm ra các lỗi bảo mật cũ này và khai thác, chiếm quyền điều khiển website dễ dàng.
  • Đặt mật khẩu quá yếu: Sử dụng các mật khẩu phổ biến như "admin", "123456", "matkhau123" cho tài khoản admin WordPress hoặc tài khoản hosting khiến website dễ dàng bị tấn công bằng phương thức dò quét mật khẩu liên tục (Brute Force Attack).

Cách quét mã độc website bằng plugin miễn phí

Chúng ta sẽ sử dụng công cụ Wordfence Security - một trong những plugin bảo mật tốt nhất hiện nay trên WordPress để quét tìm các file bị sửa đổi hoặc chứa mã độc.

Bước 1: Cài đặt và kích hoạt plugin

Bạn truy cập vào trang quản trị WordPress, tìm đến mục Plugin -> Cài mới (Add New). Gõ từ khóa "Wordfence Security" vào thanh tìm kiếm. Chọn đúng plugin có biểu tượng hình chiếc khiên màu xanh dương của nhà phát triển Wordfence, bấm Cài đặt (Install Now) và sau đó bấm Kích hoạt (Activate).

Bước 2: Cấu hình chế độ quét sâu

Sau khi kích hoạt, bạn vào menu Wordfence ở cột bên trái -> chọn Scan. Tại đây, hãy bấm vào dòng Scan Options and Scheduling. Cuộn xuống phần General Options, bạn chọn chế độ quét là High Sensitivity (Quét chuyên sâu độ nhạy cao) để hệ thống kiểm tra kỹ cả các file nằm ngoài thư mục WordPress tiêu chuẩn.

Bước 3: Tiến hành quét và đọc kết quả

Quay lại giao diện chính của mục Scan, bạn bấm nút Start New Scan. Quá trình này sẽ mất từ 5 đến 15 phút tùy thuộc vào dung lượng website của bạn. Sau khi quét xong, Wordfence sẽ liệt kê danh sách các file bị nghi ngờ ở mục bên dưới. Bạn cần chú ý các file có cảnh báo màu đỏ hoặc vàng, hệ thống sẽ chỉ rõ file đó bị thay đổi nội dung gì hoặc chứa đoạn mã độc nào.

Hướng dẫn dọn dẹp mã độc thủ công qua Hosting

Quét bằng plugin chỉ là bước phát hiện. Để dọn sạch tận gốc, bạn phải can thiệp thủ công vào hosting để thay thế các file bị nhiễm độc bằng file sạch.

Bước 1: Chuẩn bị mã nguồn sạch

Bạn truy cập vào trang chủ wordpress.org để tải phiên bản WordPress mới nhất (dạng file .zip) về máy tính và giải nén ra. Đồng thời, tải lại các file cài đặt gốc của theme và các plugin bạn đang sử dụng từ các nguồn chính thống (tuyệt đối không lấy từ các nguồn chia sẻ lậu).

Bước 2: Xóa các thư mục chứa mã nguồn cũ trên hosting

Đăng nhập vào tài khoản quản trị Hosting (cPanel hoặc DirectAdmin) -> mở File Manager -> truy cập thư mục gốc chứa website (thường là public_html). Hãy xóa toàn bộ các thư mục và file sau đây:

  • Thư mục wp-admin
  • Thư mục wp-includes
  • Các file có đuôi .php lẻ nằm ở thư mục gốc (Ví dụ: index.php, wp-login.php, wp-settings.php...). CẤM XÓA file wp-config.php (chứa thông tin kết nối database) và file .htaccess (chứa cấu hình đường dẫn).

Bước 3: Tải bộ mã nguồn sạch lên

Tải các thư mục wp-admin, wp-includes và các file .php lẻ từ bộ mã nguồn WordPress sạch mà bạn đã giải nén ở máy tính lên lại thư mục gốc trên hosting để thay thế cho những file vừa xóa.

Bước 4: Làm sạch thư mục wp-content/uploads

Thư mục wp-content/uploads là nơi chứa hình ảnh, video của website. Hacker rất hay giấu các file chạy mã độc đuôi .php ẩn sâu trong các thư mục con của uploads. Bạn hãy dùng tính năng tìm kiếm của File Manager trên hosting, tìm tất cả các file có đuôi .php nằm trong thư mục uploads và xóa sạch chúng đi. Thư mục này chỉ được phép chứa các file ảnh (png, jpg, webp...), tuyệt đối không được có file thực thi .php.

Các bước phòng ngừa mã độc quay trở lại

  • Đổi toàn bộ mật khẩu ngay lập tức: Tiến hành đổi mật khẩu mới có độ khó cao (bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt) cho tất cả các tài khoản sau: Tài khoản Admin WordPress, tài khoản đăng nhập Hosting, tài khoản Database và tài khoản FTP.
  • Nói không với đồ lậu: Gỡ bỏ hoàn toàn và vĩnh viễn các theme, plugin crack. Nếu không có kinh phí mua bản quyền, hãy dùng các theme/plugin miễn phí có sẵn trên thư viện WordPress.org.
  • Cài đặt backup tự động: Cài đặt plugin backup tự động (như UpdraftPlus) để hệ thống tự động sao lưu dữ liệu hàng tuần và đẩy trực tiếp lên Google Drive cá nhân của bạn. Nếu có sự cố xảy ra, bạn chỉ cần một cú click chuột là khôi phục lại bản sạch.

Tự dọn mã độc mất bao lâu và khi nào nên thuê dịch vụ?

Nếu bạn tự làm theo hướng dẫn trên, thời gian xử lý sẽ mất khoảng 2 đến 4 tiếng mò mẫm nếu bạn đã có một chút kiến thức cơ bản về cách sử dụng Hosting và quản trị WordPress. Việc tự làm giúp bạn hiểu sâu hơn về website của mình và hoàn toàn chủ động.

Tuy nhiên, tự xử lý thủ công cũng đi kèm rủi ro: Nếu bạn vô tình xóa nhầm file cấu hình database quan trọng hoặc xóa lệch thư mục, website có thể bị lỗi trắng trang hoặc mất mát dữ liệu hình ảnh cũ.

Nếu bạn quá bận rộn, không có thời gian mò mẫm hoặc lo sợ thao tác sai làm hỏng dữ liệu của web, bạn có thể tham khảo dịch vụ thiết kế website và hỗ trợ kỹ thuật của TOPWEB. Chúng tôi sẽ giúp bạn quét sạch mã độc, tối ưu bảo mật và bàn giao lại toàn bộ tài khoản quản trị tối cao cho bạn giữ chìa khóa, với mức chi phí được niêm yết rõ ràng, minh bạch, tuyệt đối không có chi phí ẩn.

Câu hỏi thường gặp

Tại sao tôi đã xóa file chứa mã độc rồi mà vài ngày sau nó lại tự xuất hiện?

Do bạn chưa tìm ra và xóa bỏ file backdoor (cửa sau) mà hacker cài cắm sâu trong hệ thống, hoặc do chưa đổi mật khẩu hosting/database nên hacker vẫn có thể truy cập lại để tiếp tục ghi đè mã độc lên.

Dùng plugin bảo mật bản crack (nulled) để quét mã độc được không?

Tuyệt đối không. Sử dụng plugin bảo mật crack chính là cách nhanh nhất để bạn rước thêm mã độc mới vào website của mình. Chỉ nên cài bản miễn phí trực tiếp từ thư viện WordPress.

Google báo đỏ website của tôi chứa phần mềm độc hại thì sau khi dọn sạch bao lâu mới hết?

Sau khi dọn sạch mã độc, bạn cần vào Google Search Console, gửi yêu cầu xem xét lại cho Google. Thường mất từ 24 đến 72 giờ để Google quét lại hệ thống và gỡ bỏ cảnh báo đỏ cho website của bạn.

Đọc thêm

TOPWEBVIETNAMdịch vụ thiết kế website — giá công khai ngay trên trang, không có nút “liên hệ để nhận báo giá”. Nhắn cho chúng tôi kèm sản phẩm và ngân sách, chúng tôi trả lời trong hôm nay.

Bài này đủ để bạn tự làm.

Thật đấy — chúng tôi không giấu bước nào. Nhưng tự làm thì tốn thời gian, và thời gian của bạn có thể đáng giá hơn số tiền dưới đây. Thuê chúng tôi là mua lại chỗ thời gian đó.

Thiết kế web
3.500.000đ
/ gói cơ bản
Zalo