Hướng dẫn cài lại Wordpress khi bị dính mã độc

(Ngày: 10/07/2019)
Hiện nay việc website Wordpress bị dính mã độc do sử dụng thêm/plugin không rõ nguồn gốc hoặc đặt mật khẩu đơn giản, dễ đoán đã là chuyện rất thường xuyên xảy ra. Vậy bạn phải làm sao khi website bị dính mã độc, tham khảo ngay bài viết dưới đây nhé.

Cần làm gì khi website bị hack?

Khi website bị hack bạn thường tìm các công cụ quét mã độc. Nhưng thường các công cụ này không được dùng miễn phí. Và hơn hết là sau khi gỡ xong, chưa chắc website của bạn thật sự đã sạch sẽ mà chỉ có cách duy nhất đó là cài lại từ đầu.

Việc cài lại website không có nghĩa là bạn sẽ phải viết lại nội dung hay sản phẩm vì các dữ liệu này sẽ lưu vô database, nhưng không có mã độc náo đính kèm vô database của bạn cả. Cài lại website có nghĩa là ta lấy dữ liệu mềm lưu trong database ở website cũ, sau đó cài website mới và nhập các dữ liệu này vào. Tiến hành cài lại plugin và theme từ đầu với nguồn gốc rõ ràng hơn.

Các bước cài lại website từ đầu

Bước 1: Cài mới website

Hãy tiến hành cài đặt một website WordPress mới trên host hoặc localhost và sử dụng một tên miền khác để chạy website này để đảm bảo bạn vừa truy cập vào website mới và cả website cũ để kiểm tra, đối chiếu.

Tiếp đến mở tập tin wp-config.php của website mới và chèn đoạn sau vào dưới <?php:

01

02

define('WP_HOME','http://example.com');

define('WP_SITEURL','http://example.com');

Thay example.com thành địa chỉ của website mới.

Bước 2. Backup dữ liệu ở website cũ

Hãy truy cập phpMyAdmin để export dữ liệu của database website đang sử dụng ra và tải về máy. Nếu host không có phpMyAdmin, thì có thể dùng plugin BackWUP để backup database và tải về, chỉ cần database thôi.

Kế tiếp là mang các thư mục chứa hình ảnh upload trong /wp-content/uploads/ như 2017, 2016,… về máy. Chú ý là để đảm bảo an toàn bạn chỉ cần các thư mục chứa hình ảnh upload, các thư mục khác không cần lấy về. Còn nếu bạ dùng Hosting thì có thể vào File Manager dùng tính nắng Compress để nén thư mục này lại và tải về. Nếu bạn cài website mới trên cùng host thì không cần tải mà chỉ cần copy dữ liệu các thư mục này vào /wp-content/uploads/ ở thư mục website mới.

Bước 3: Nhập dữ liệu cũ vào website mới

Bạn hãy truy cập vào phpMyAdmin tại host (hoặc localhost) đang chạy website mới và tìm tên database của website đó, sau đó ấn Nhập (Import) và tải lên tập tin .sql mà bạn có được ở bước 1.

Lỗi khi import database

Nếu bạn gặp lỗi khi import database thì hãy tạo một database mới hoàn toàn và import vào database mới. Sau đó thiết lập website sử dụng database mới nhé.

Sau khi nhập xong, hãy xem tên bảng dữ liệu có tiền tố là wp_ hay một tiền tố khác. Nếu sử dụng tên tiền tố khác với wp_ thì hãy mở tập tin wp-config.php ở website mới, tìm $table_prefix và thay wp_ thành tiền tố của bảng database. Chẳng hạn, mình có bảng tên 38dug_options trong cơ sở dữ liệu thì sẽ thay thành:

01

$table_prefix = '38dug_';

Sau đó hãy tải các thư mục hình ảnh trong website cũ đang chạy trên host (wp-content/uploads) vào thư mục wp-content/uploads ở website mới để đảm bảo hình ảnh không bị mất.

Để kiểm tra, bạn có thể truy cập vào phần Media Library trên website mới để xem đã có hiển thị hình ảnh đầy đủ hay chưa. Nếu hình ảnh hiển thị ra bình thường thì đã hoàn tất.

Bước 4: Cài lại theme an toàn hơn

Nếu bạn dùng theme trả phí thì nên mua bản quyền theme đó để đảm bảo hơn, được cập nhật phiên bản mới thường xuyên nếu xảy ra lổ hổng bảo mật.

Bước 5: Upload mã nguồn vào website chính

Khi đã thiết lập website hoàn tất và bắt đầu sử dụng. Hãy tiến hành truy cập vào website cũ và xóa toàn bộ dữ liệu trên host đi, sau đó chuyển mã nguồn của website bạn mới tạo trên host vào thư mục của website chính. Bạn thực hiện giống như việc chuyển host của một website bình thường gồm 2 bước:

  • Backup và khô phục mã nguồn website mới lên host.
  • Backup database và khôi phục database trên host.

Sau khi chuyển hoàn tất, mở tập tin wp-config.php của website mới trên host và sửa lại WP_HOME, WP_SITEURL thành địa chỉ website chính. Thí dụ:

01

02

define('WP_HOME','http://example.com');

define('WP_SITEURL','http://example.com');

Bước 6: Thay địa chỉ website trong database

Bây giờ hãy đăng nhập vào website mới trên host và cài plugin Better Search Replace, sau đó vào mục Tools -> Better Search Replace và tìm tên miền cũ trong tất cả bảng database và đổi sang tên miền mới, bỏ chọn Run as dry run như hình dưới.

Bước 7: Thiết lập bảo mật cho website Wordpress

Ngay sau khi website đã hoạt động hoàn tất, hãy tiến hành thiết lập bảo mật cho website. Quan trọng là không sử dụng các plugin/theme được chia sẻ không rõ nguồn gốc vì có thể đây là nguyên nhân của 90% trường hợp bị dính mã độc. Và nếu bạn không cài cái gì lạ vào website, mật khẩu quản trị phức tạp, thiết lập plugin bảo mật tốt thì bạn sẽ không phải cần quan tâm đến các giải pháp bảo mật nào nữa.

Chúc bạn website của bạn sớm phục hồi và hoạt động ổn định.

thachpham.com