Quy trình xử lý với một website wordpress khi bị hack như sau:
Có thể linh động tùy trường hợp
I, Xử lý với source code và database
Bước 1 : Backup source + database về local
Bước 2:
Xem version wordpress, plugin hiện tại của site
a, Tải đúng wordpress version https://wordpress.org/download/releases/
b, Tải đúng plugin version hoặc có thể hơn ( Tìm kiếm plugin tại đây )
https://wordpress.org/plugins/
Bước 3: Import database vào local và xử lý kiểm tra mã độc
Bước 4: Kiểm tra theme đang sử dụng
a, Với các theme bản quyền
– Nếu theme là theme bản quyền và chưa qua sửa chữa ( Ví dụ flatsome ) mạnh dạn tải bản mới về và thay thế cho bản hiện tại
– Nếu theme đã qua chỉnh sửa thì dùng bản mới compare với nội dung đã chỉnh sửa và copy sang ( Chỉ lấy những nội dung đã chỉnh sửa)
Sử dụng Beyond Compare 4 để compare giữa 2 theme
b, Với theme tự phát triển
– Zip folder lại và up lên https://www.virustotal.com/gui/ để quét tự động
– Tự check tay các file đặc biệt là các file header.php, footer.php, index.php , functions.php xem có bị chèn các đoạn code lạ không
– Tìm kiếm theo các từ khóa base64 để tìm kiếm sự khả nghi
Bước 5: Với thư mục uploads thì cần dùng tool quét xem có file nào k là ảnh không để xóa các file đó đi
Liên hệ tải tool tại đây
Bước 6: Import theme vào bản wordpress vừa cài
Bước 7:
a, Tìm trong bảng (wp_options) tìm và thay thế giá trị của 2 record có option_name là home và blogname . đổi option_value thành đường dẫn dưới local
b, Sử dụng plugin để replace đường dẫn cũ thành đường dẫn mới
Update URLs – Quick and Easy way to search old links and replace them with new links in WordPress
c, Vào update lại đường dẫn tĩnh để đảm bảo hoạt động đúng
Bước 8: Tìm trong users những users khả nghi xóa hết toàn bộ users này đi, đồng thời đổi password đăng nhập
Bước 9: Cài plugin scan virus Plugin Wordfence
II, Xử lý đối với hosting + vps
– Với vps thì cần resintall lại OS + Change OS mới
Bước 01: Tải toàn bộ database và source code về máy tính và kiểm tra database
Khi xử lý mã độc, bạn nên thực hiện trên máy tính, tránh làm việc trực tiếp trên VPS hay hosting. Tiếp đến, tiến hành cài đặt trên localhost (wamp, xampp…) nhưng không được chạy trang web.
Sau khi cài đặt localhost và nhập database, bạn kiểm tra bảng wp_options xem 2 dòng home và siteurl có đúng địa chỉ website không bằng cách truy cập vào phpmyadmin. Nếu thông tin không đúng, bạn hãy sửa lại.
Tiếp theo, bạn sử dụng công cụ tìm kiếm tất cả bảng trong phpmyadmin để tìm lần lượt các từ khóa: %shell%, %base64%, %eval%, %<script>%. Nếu phát hiện dữ liệu ở bảng nào, bạn cần loại bỏ chúng ngay lập tức.
