Website WordPress bị tấn công qua plugin lỗi thời: Nhận diện và xử lý từ A đến Z

Plugin lỗi thời là một trong những nguyên nhân chính khiến website WordPress trở thành mục tiêu tấn công của hacker. Việc kiểm soát và cập nhật plugin thường xuyên là yếu tố quan trọng giúp phòng ngừa rủi ro bảo mật. Bài viết này sẽ mang đến hướng dẫn chi tiết từ cách nhận diện sự cố, khôi phục hệ thống và xử lý các nội dung không mong muốn đã bị index trên Google Search thông qua case study cụ thể. Hãy cùng khám phá nhé!

Bảo mật là một trong những yếu tố sống còn đối với bất kỳ hệ thống nào vận hành trên nền tảng CMS WordPress bởi những nguyên nhân dưới đây:

• Hơn 40% số lượng website toàn cầu hiện nay đang được xây dựng bằng WordPress (thống kê từ W3Techs.com), tính phổ biến này đồng thời cũng đã khiến nền tảng trở thành mục tiêu tấn công phổ biến của các hacker.
• Đặc thù của WordPress là mã nguồn mở (open-source), đồng nghĩa với việc toàn bộ mã lõi (core) đều được công khai với cộng đồng và có thể được nghiên cứu bởi bất kỳ ai – bao gồm cả những đối tượng xấu có mục tiêu khai thác lỗ hổng bảo mật. Mặc dù đội ngũ phát triển WordPress thường xuyên cập nhật phiên bản mới để vá lỗi và tăng cường bảo mật, nhưng không phải tất cả người dùng đều theo kịp các bản cập nhật này.
• Bên cạnh đó, hệ sinh thái plugin và theme của WordPress cực kỳ phong phú với hàng chục nghìn plugin miễn phí và trả phí được phát triển bởi cộng đồng hoặc bên thứ ba. Đây là điểm mạnh nhưng cũng chính là rủi ro bảo mật tiềm ẩn: rất nhiều plugin không còn được duy trì, hoặc không tuân thủ tiêu chuẩn bảo mật nghiêm ngặt, dẫn đến việc tồn tại các lỗ hổng nghiêm trọng trong hệ thống mà quản trị viên không kịp thời phát hiện.
• Việc mã nguồn và các plugin không được theo dõi cập nhật thường xuyên là yếu tố làm gia tăng rủi ro bảo mật cho các website sử dụng WordPress.

Bài viết này sẽ chia sẻ một trường hợp thực tế mà đội ngũ kỹ thuật của chúng tôi từng gặp phải: website WordPress bị tấn công do sử dụng plugin lỗi thời. Từ quá trình nhận diện đến các bước xử lý và khắc phục, đây là một minh chứng rõ ràng cho việc sử dụng plugin không được cập nhật có thể dẫn đến rủi ro bảo mật nghiêm trọng.

Dấu hiệu website đã bị tấn công

Website có biểu hiện bất thường, cụ thể:

• Khi truy cập từ thiết bị di động hoặc trình duyệt không đăng nhập, trang web tự động chuyển hướng sang một trang web lạ, thường là nội dung spam hoặc cá độ trực tuyến.
• Google Search cảnh báo an toàn “Trang này có thể đã bị tấn công”.
• Xuất hiện index lạ từ Google Search với những đường dẫn không phải từ nội dung chính thống của trang (có thể nhìn thấy khi tìm kiếm từ Google Search với từ khóa “site:domain.com”).
• Một số plugin không còn hoạt động, có dấu hiệu đã bị can thiệp vào mã nguồn.

Xác định nguyên nhân sự cố

Sau khi rà soát log máy chủ và mã nguồn, nhóm kỹ thuật phát hiện plugin xyz-forms-lite (*tên plugin và các file hệ thống đã được thay đổi để bảo mật thông tin) – vốn đã không được cập nhật trong hơn 3 năm qua – có chứa các tệp lạ như wp-fix.php, db1.php, cùng với những đoạn mã nghi ngờ sử dụng base64_decode() và eval() được chèn vào các tệp hệ thống như functions.php.

Đây là những kỹ thuật phổ biến mà tin tặc thường sử dụng để chèn mã độc và kiểm soát website từ xa.

Quy trình xử lý sự cố

Bước 1: Tạm thời vô hiệu hóa website

Website được tạm ngừng hoạt động thông qua chỉnh sửa tệp .htaccess để chuyển toàn bộ truy cập sang trang thông báo bảo trì nhằm ngăn chặn việc người dùng tiếp cận trang bị nhiễm mã độc.

Bước 2: Backup toàn bộ hệ thống

Toàn bộ mã nguồn và cơ sở dữ liệu được sao lưu lại để lưu giữ tình trạng ban đầu trước khi xử lý, phòng trường hợp cần khôi phục hoặc điều tra sau này.

Bước 3: Gỡ bỏ plugin nghi vấn và mã độc

Xóa plugin xyz-forms-lite hoàn toàn khỏi hệ thống.

Dùng lệnh shell để tìm kiếm các đoạn mã nghi ngờ:

grep -R “base64_decode” .
grep -R “eval(” .

So sánh mã nguồn của theme và plugin với bản gốc từ nhà cung cấp để phát hiện những thay đổi bất thường.

Bước 4: Cài đặt lại WordPress và plugin từ nguồn sạch

Tải lại bộ core WordPress mới nhất:

wp core download –force

Xóa và cài đặt lại toàn bộ plugin từ wordpress.org, đảm bảo chỉ sử dụng những plugin cộng đồng đang được cập nhật thường xuyên.

Bước 5: Quét mã độc và tăng cường bảo mật

Cài đặt các plugin bảo mật như Wordfence để rà quét và xử lý các tệp còn sót lại.
Kích hoạt tường lửa ứng dụng (Web Application Firewall) và thiết lập hệ thống cảnh báo qua email.

Bước 6: Cập nhật toàn bộ hệ thống

Tiến hành cập nhật tất cả plugin cộng đồng lên phiên bản mới nhất để vá các lỗ hổng bảo mật tiềm ẩn.
Update code của theme và các plugin tự viết để tương thích với core WordPress mới nhất.

Bước 7: Khôi phục hoạt động và gửi yêu cầu đánh giá lại từ Google

Trường hợp website đã bị cảnh báo trên Google Search hoặc xuất hiện các index lạ trong Google Search Console:

• Truy cập Google Search Console, vào phần “Security & Manual Actions” và gửi yêu cầu xem xét lại sau khi đã xử lý toàn bộ mã độc.
• Tiến hành submit yêu cầu xóa các đường dẫn lạ đã được index trước đó trong Google Search Console mục Removals.

Tiến hành khai báo xóa các URL độc hại trong Google Search Console sau khi đã giải quyết sự cố

Bài học kinh nghiệm

Tuyệt đối không sử dụng plugin không còn được cập nhật hoặc có cảnh báo bảo mật.
Sao lưu hệ thống định kỳ để có phương án khôi phục khi cần thiết.
Theo dõi thay đổi mã nguồn thường xuyên thông qua hệ thống kiểm soát phiên bản hoặc công cụ giám sát (ví dụ: WP Activity Log).
Cài đặt plugin bảo mật và cấu hình cảnh báo để phát hiện sớm các hành vi bất thường như Wordfence.
Giới hạn quyền truy cập vào trang quản trị (sử dụng CAPTCHA, giới hạn IP hoặc xác thực hai bước).

Một số công cụ/plugin WordPress hữu ích

Bảo mật WordPress không chỉ là việc “cài plugin và quên đi”, mà là một quá trình duy trì, kiểm tra và giám sát thường xuyên. Việc sử dụng plugin lỗi thời có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến uy tín và dữ liệu của cả doanh nghiệp.

Hy vọng bài viết chia sẻ trên giúp các quản trị viên WordPress nhận diện và ứng phó tốt hơn với các rủi ro bảo mật tiềm ẩn.

Phùng Hữu Kiên S-Chief