Bỏ qua tới nội dung
Liên hệ ngay
Bảo mật website· ·8 phút đọc

Website bị hack phải làm gì? Dấu hiệu và cách xử lý

Vũ Đức Minh
Website bị hack phải làm gì? Dấu hiệu và cách xử lý
Cỡ chữ

Website bị hack là khi kẻ tấn công chiếm được quyền điều khiển một phần hoặc toàn bộ web của bạn — để chèn mã độc, chuyển hướng khách, phát tán thư rác hay thay trang chủ. Bài này tóm dấu hiệu nhận biết và quy trình ứng phó tổng thể, để bạn xử đúng thứ tự thay vì hoảng loạn dọn mò rồi bị hack lại.

Dấu hiệu website đã bị hack

  • Web tự chuyển hướng sang trang lạ, hiện pop-up hoặc quảng cáo rác.
  • Trình duyệt hoặc Google báo “trang này có thể gây hại”.
  • Kết quả Google hiện tiêu đề rác (thuốc, cờ bạc, chữ nước ngoài) cho web bạn.
  • Xuất hiện tài khoản quản trị lạ, mật khẩu tự đổi, hoặc file lạ trên máy chủ.
  • Trang chủ bị thay nội dung (deface), hoặc tài nguyên máy chủ tăng vọt bất thường.

Nhiều loại mã độc cố tình giấu mặt với chủ web, nên “tôi vào vẫn bình thường” chưa đủ để yên tâm. Nếu nghi ngờ, hãy đối chiếu thêm các dấu hiệu website bị nhiễm mã độc.

Các kiểu tấn công thường gặp

Biết web mình dính kiểu nào giúp xử đúng hướng:

  • Chèn mã chuyển hướng: đẩy khách sang trang lừa đảo, cờ bạc — thường chỉ kích hoạt với khách lạ để né chủ web.
  • Spam SEO: tạo hàng loạt trang/từ khoá thuốc, cờ bạc để lợi dụng thứ hạng bạn gây dựng.
  • Deface: thay trang chủ bằng thông điệp của hacker — xem bài website bị deface.
  • Cửa hậu (backdoor): mở lối vào bí mật để quay lại — thứ khiến web dọn rồi vẫn dính.
  • Phát tán thư rác / đào tiền ảo: mượn máy chủ của bạn để trục lợi, khiến web ì và bị nhà cung cấp khoá.

Quy trình ứng phó tổng thể

Làm theo thứ tự — bỏ bước hoặc làm tắt là nguyên nhân số một khiến web “dọn xong lại dính”:

  1. Giữ bình tĩnh, đừng xoá vội. Sao lưu nguyên trạng bản đang bị hack trước — vừa làm bằng chứng, vừa là điểm phục hồi nếu dọn lỗi.
  2. Bật chế độ bảo trì để bảo vệ khách trong lúc xử lý.
  3. Đổi tất cả mật khẩu: quản trị WordPress (mọi tài khoản), hosting/cPanel, FTP/SFTP, người dùng cơ sở dữ liệu — và đổi lại API key của các dịch vụ bên thứ ba (email, cổng thanh toán). Bật xác thực hai lớp.
  4. Quét và bóc mã độc — phần đi sâu xem cụm bài xử lý mã độc website.
  5. Thay sạch lõi: thay toàn bộ wp-adminwp-includes bằng bản WordPress gốc tải từ wordpress.org, thay vì dò sửa từng file.
  6. Rà cơ sở dữ liệu: kiểm wp_options (redirect lạ), wp_posts (thẻ script lạ), wp_users (admin lạ).
  7. Cập nhật toàn bộ lõi, plugin, theme lên bản mới nhất để vá lỗ hổng đã bị khai thác.
  8. Gỡ cảnh báo Google (nếu có) qua Search Console.
Sơ đồ quy trình 8 bước ứng phó khi website WordPress bị hack, từ sao lưu đến gỡ cảnh báo Google
Quy trình ứng phó khi website bị hack — làm đúng thứ tự để không bị hack lại.

Vì sao web bị hack lại sau khi dọn

Ba lý do thường gặp: còn sót cửa hậu (backdoor) cho hacker quay lại; chưa vá lỗ hổng gốc nên bị khai thác tiếp; hoặc khôi phục từ bản sao lưu đã nhiễm. Vì vậy quy trình trên luôn gồm cả vá lỗ hổng và đổi mật khẩu, không chỉ xoá phần thấy được.

Sau khi dọn: theo dõi và gia cố

Dọn xong chưa phải là hết. Trong một đến hai tuần đầu, hãy quét lại định kỳ và theo dõi nhật ký đăng nhập xem có truy cập lạ không — cửa hậu tinh vi có thể nằm im vài ngày rồi mới hoạt động lại. Đồng thời gia cố để lần sau khó bị hơn: bật xác thực hai lớp, cập nhật đều, chặn sửa file qua trang quản trị, dùng tường lửa ứng dụng web, và sao lưu tự động. Chi tiết các lớp phòng thủ xem bài bảo vệ WordPress khỏi mã độc.

Tự làm hay nhờ chuyên gia

Web nhỏ, dấu hiệu rõ, có bản sao lưu sạch — bạn có thể tự xử theo quy trình trên. Nhưng nếu là web bán hàng / có thanh toán, bị nhiễm lại nhiều lần, hoặc nghi có cửa hậu sâu, nên để người làm nghề lo. Web22 nhận cứu hộ và sửa chữa website bị hack — bóc mã, vá lỗ hổng, gia cố để không tái phát.

Phân biệt “bị hack” với lỗi kỹ thuật thường

Không phải sự cố nào cũng do bị tấn công, và nhầm lẫn khiến bạn xử sai hướng. Dấu hiệu nghiêng về bị hack là khi có yếu tố “có chủ đích” mà bạn không tạo ra: chuyển hướng sang trang cờ bạc, nội dung lạ tiếng nước ngoài trong kết quả Google, tài khoản quản trị bạn không lập, file lạ mới xuất hiện, hoặc cảnh báo đỏ từ Google. Ngược lại, web chậm có thể chỉ do hosting yếu, lỗi hiển thị có thể do xung đột plugin sau cập nhật, và tụt hạng có thể do thuật toán Google thay đổi. Khi phân vân, hãy quét web và đối chiếu file gốc — vừa tránh hoảng nhầm, vừa không bỏ sót dấu hiệu thật.

Một điểm nữa cần nhớ: mã độc đời mới thường cố giấu mặt với chủ web, chỉ giở trò với khách lạ hoặc với Google. Vì vậy đừng dựa vào cảm giác “tôi vào vẫn bình thường” — hãy kiểm như một khách lạ (bấm từ Google, mở ẩn danh, thử trên điện thoại) trước khi kết luận web sạch.

Câu hỏi thường gặp

Web bị hack có mất dữ liệu không?

Không nhất thiết. Nếu có bản sao lưu sạch và xử kịp, bạn khôi phục được. Đó là lý do nên sao lưu tự động và sao lưu trước mỗi lần cập nhật.

Cài một plugin bảo mật là đủ chống hack chưa?

Chưa. Plugin chỉ là một lớp. Cập nhật đều, mật khẩu mạnh, sao lưu và vá lỗ hổng mới là nền tảng.

Nguồn: WordPress.com — How to Fix a Hacked Website (2025).

Đọc tiếp

Bài viết
cùng chủ đề.

Tất cả bài viết
Cách xử lý khi website bị deface (đổi trang chủ) So sánh plugin quét mã độc WordPress (Wordfence, Sucuri, MalCare…) Cách bảo vệ WordPress khỏi mã độc (checklist gia cố)