Cách xử lý hack trên web wordpress như thế nào?

Bước 1: Việc đầu tiên bạn phải thay hết code mã nguồn web wordpress của bạn, chỉ giữ lại cái themes /wp-content/themes .. và /wp-content/uploads thôi ha.

Rồi sửa lại file wp-config.php cho web chạy vô được.

Bước 2:

• Cài đặt pluign Wordfence để scan tìm kiếm xem trong mục themes có file gì hay file hack gì không và xóa nó đi.
• Cài pluign Wordfence không tìm được lỗi nào, thì thử các plugin sau: Plugin: Sucuri WordPress Auditing và Theme Authenticity Checker (TAC): kiểm tra toàn bộ code và plugin có gì khả nghi không.
• ITHEMES SECURITY: cài đặt pluign tăng cường bảo mật cho web.

Bước 3: truy cập vào SSH (vps nếu có) để tìm kiếm xem có bị chèn code hack vào mục Uplaods hay không.

Di chuyển tới mục web trên vps bằng lênh CD:

Mã:

# cd /home/user_domain/domains/domain_name_cua_ban.com/public_html

Sử dụng lệnh sau để tìm xem có file hack nào chèn vào mục upload không:

Mã:

# find wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.pdf" -not -name "*.webp" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

• Chạy xong code vào mục: root của hosting (thư mục gốc của code web trên hosting/VPS) sẽ có thêm file uploads-non-binary.log.
• Tải file này xem log, xem có chứa file nào không thì vào xóa đi.

Tham khảo các lệnh khác như sau:

Kiểm tra trong mục tìm kiếm xem có gì thay đổi trong 10 ngày gần nhất không:

Mã:

find /home /yourdirectory/yoursite/ -mtime -10 -ls

• thay số 10 thành số ngày bạn muốn kiểm tra

Một công cụ hữu ích khác trong SSH là ‘grep’. Ví dụ: để tìm kiếm các tệp có chứa base64 (thường được sử dụng bởi tin tặc), bạn có thể chạy lệnh sau:

Mã:

# grep -ril base64 *

Điều này sẽ chỉ liệt kê các tên tập tin. Bạn có thể bỏ qua tùy chọn ‘l’ để xem nội dung thực tế của tệp nơi chuỗi base64 xảy ra:

Mã:

# grep -ri base64 *

Hãy nhớ rằng “base64” có thể xuất hiện trong mã hợp pháp. Trước khi xóa mọi thứ, bạn sẽ muốn đảm bảo rằng bạn không xóa tệp đang được sử dụng bởi một chủ đề hoặc plugin trên trang web của mình. Một tìm kiếm tinh tế hơn có thể trông như thế này:

Mã:

# grep –include = *. php -rn. -e "base64_decode"

Lệnh này tìm kiếm tất cả các tệp .php cho chuỗi “base64_decode” và in số dòng để bạn có thể dễ dàng tìm thấy mà chuỗi xuất hiện.

Bây giờ bạn đã biết cách sử dụng ‘grep’, chúng tôi khuyên bạn nên sử dụng grep kết hợp với ‘find’. Những gì bạn cần làm là tìm các tệp đã được sửa đổi gần đây, xem những gì đã được sửa đổi trong tệp và nếu bạn tìm thấy một chuỗi văn bản phổ biến như “bad hacker was here” thì bạn có thể grep tất cả các tệp của mình cho văn bản đó như sau:

Mã:

# grep -irl "bad hacker was here" *

• Điều này sẽ cho bạn thấy tất cả các tệp bị nhiễm chứa văn bản “bad hacker was here”.

Nếu bạn có kinh nghiệm khôi phục lại rất nhiều trang web bị nhiễm, bạn sẽ bắt đầu nhận thấy các file nhiễm mã độc thường được tìm thấy ở các thư mục tải lên trong cài đặt WordPress. Lệnh dưới đây cho thấy cách tìm tất cả các tệp trong thư mục tải lên KHÔNG phải là tệp hình ảnh của WordPress. Đầu ra được lưu trong tệp nhật ký có tên là “uploads-non-binary.log” trong thư mục hiện tại của bạn.

Mã:

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Tham khảo tại: vinahost.vn/khac-phuc-website-ma-doc/