Bỏ qua tới nội dung
Liên hệ ngay
Bảo mật website· ·5 phút đọc

Website bị tự chuyển hướng sang trang lạ — nguyên nhân và cách xử lý

Vũ Đức Minh
Website bị tự chuyển hướng sang trang lạ — nguyên nhân và cách xử lý

Website bị tự chuyển hướng sang trang lạ là một trong những kiểu nhiễm mã độc khó chịu nhất: khách bấm vào web của bạn nhưng bị đẩy sang trang quảng cáo bẩn, cờ bạc hay lừa đảo. Bực hơn nữa, nhiều khi chính bạn vào lại thấy web bình thường — vì mã độc cố tình chừa người quản trị ra. Bài này giải thích vì sao, và cách tìm ra chỗ ẩn.

Vì sao chỉ khách bị đẩy, còn bạn thì không

Mã chuyển hướng độc hại thường kèm logic che mắt: nó kiểm tra người truy cập là ai. Nếu là người đã đăng nhập quản trị, hoặc truy cập thẳng địa chỉ web, nó im lặng. Chỉ khi khách đến từ kết quả Google, hoặc vào bằng điện thoại, nó mới kích hoạt. Vậy nên đừng kết luận “web không sao” chỉ vì bạn vào thấy ổn — hãy thử mở web ở chế độ ẩn danh, từ điện thoại, hoặc bấm qua một kết quả tìm kiếm.

Phân biệt chuyển hướng độc hại và chuyển hướng hợp lệ trên website
Không phải chuyển hướng nào cũng xấu — cần phân biệt.

Mã chuyển hướng thường nấp ở đâu

Lệnh đẩy có thể nằm ở nhiều tầng khác nhau, và đó là lý do gỡ một chỗ vẫn chưa hết:

  • File .htaccess: nơi phổ biến nhất. Kẻ tấn công thêm lệnh chuyển hướng chạy ngay ở tầng máy chủ, trước cả khi WordPress khởi động.
  • File wp-config.php: mã chèn ở đây chạy rất sớm, khó phát hiện.
  • File functions.php của theme: đoạn mã chuyển hướng có điều kiện, kèm logic che mắt.
  • Cơ sở dữ liệu: thẻ <script> chèn vào wp_options đẩy khách bằng JavaScript.
  • File JavaScript của theme/plugin: bị nhét thêm đoạn mã đẩy phía trình duyệt.
Sơ đồ các nơi mã chuyển hướng độc hại ẩn trong website — .htaccess, wp-config, functions.php, database, file JavaScript
Mã chuyển hướng có thể nấp ở nhiều nơi khác nhau.

Cách tìm và xử lý

Trình tự an toàn để gỡ chuyển hướng:

  • Sao lưu trước rồi mới đụng vào.
  • Xác định kiểu đẩy: nếu địa chỉ đổi ngay trước khi trang tải xong thường là ở tầng máy chủ (.htaccess/wp-config); nếu trang chớp hiện rồi mới nhảy thì thiên về JavaScript (theme/plugin/database).
  • Soi .htaccesswp-config.php trước tiên, gỡ mọi dòng lạ.
  • Dò theme và cơ sở dữ liệu tìm đoạn mã hoặc thẻ script chèn vào.
  • Diệt cửa hậu và đổi mật khẩu — nếu không, mã chuyển hướng sẽ được cài lại.

Các bước này gắn chặt với quy trình chung ở bài tự gỡ mã độc WordPress và phần truy tìm ở bài mã độc giấu ở đâu trong WordPress.

Quy trình 5 bước xử lý website bị tự chuyển hướng sang trang lạ
Năm bước gỡ một website bị chuyển hướng độc hại.

Đừng nhầm với chuyển hướng hợp lệ

Không phải mọi chuyển hướng đều là mã độc. Web tự nhảy từ http sang https, hay từ tên miền phụ về tên miền chính, là chuyện bình thường do bạn (hoặc plugin) cài có chủ đích. Dấu hiệu để biết là độc hại: nó đẩy sang trang lạ không liên quan, chỉ xảy ra với một số khách, và bạn không hề thiết lập.

Khi nào nên dừng tự làm

Chuyển hướng độc hại gần như luôn đi kèm cửa hậu — nên gỡ xong mà chưa truy cửa hậu thì rất dễ tái phát. Nếu web đẩy đi đẩy lại sau mỗi lần bạn sửa, đó là dấu hiệu rõ còn lối vào bí mật. Lúc này nên để Web22 xử lý mã độc website để dứt điểm cả phần gốc. Web bị ảnh hưởng nặng hơn thì xem dịch vụ sửa chữa website.

Đọc tiếp

Bài viết
cùng chủ đề.

Tất cả bài viết
So sánh plugin quét mã độc WordPress (Wordfence, Sucuri, MalCare…) Cách bảo vệ WordPress khỏi nhiễm mã độc — checklist gia cố Cách dọn backdoor (cửa hậu) để mã độc không quay lại