Bỏ qua tới nội dung
Liên hệ ngay
Bảo mật website· ·5 phút đọc

Cách xử lý khi website bị deface (đổi trang chủ)

Vũ Đức Minh
Cách xử lý khi website bị deface (đổi trang chủ)
Cỡ chữ

Website bị deface là khi hacker thay nội dung trang chủ — thường để khoe danh hoặc gài thông điệp. Đây là phần “nổi” của một vụ tấn công; bên dưới gần như luôn có cửa hậu ẩn. Vì vậy chỉ sửa lại trang chủ cho đẹp là chưa đủ — phải dọn tận gốc, nếu không sẽ bị deface lại.

Ứng phó khẩn theo thứ tự

  1. Bật chế độ bảo trì, đưa web offline tạm để không hại khách và uy tín thương hiệu.
  2. Sao lưu nguyên trạng bản đang bị deface — làm bằng chứng và điểm phục hồi.
  3. Đổi toàn bộ mật khẩu (quản trị, hosting, FTP, cơ sở dữ liệu) và bật xác thực hai lớp.
  4. Tìm file bị sửa: thường là index.php hoặc index.html lạ ở thư mục gốc hoặc trong theme. So với bản sạch.
  5. Thay sạch lõi: thay wp-admin + wp-includes bằng bản WordPress gốc; cài lại theme/plugin từ nguồn chính thức.
  6. Truy cửa hậu — bước không được bỏ qua, vì nếu còn sót, web sẽ bị deface lại. Phần bóc mã chi tiết xem cụm xử lý mã độc và bài dọn backdoor.
  7. Cập nhật toàn bộ lõi/plugin/theme để vá lỗ hổng đã bị khai thác.
  8. Gỡ cảnh báo Google nếu web đã bị gắn cờ.

Vì sao deface hay đi kèm cửa hậu

Để thay được trang chủ, hacker đã có đường vào hệ thống. Họ thường cài thêm cửa hậu để quay lại kể cả khi bạn dọn xong. Đó là lý do quy trình trên luôn gồm bước truy cửa hậu và vá lỗ hổng, chứ không chỉ khôi phục giao diện.

Vì sao deface nguy hiểm hơn vẻ ngoài

Deface trông đáng sợ nhưng thực ra là kiểu tấn công “ồn ào” — hacker cố tình cho bạn thấy. Cái đáng lo lại là phần im lặng đi kèm: để thay được trang chủ, kẻ tấn công đã có quyền ghi file, nghĩa là họ rất có thể đã cài cửa hậu, tạo tài khoản ẩn, hoặc chèn mã spam ở nơi khác mà bạn chưa thấy. Vì vậy đừng chỉ vui mừng khi khôi phục được trang chủ — hãy coi deface là tín hiệu để rà soát toàn bộ web như một vụ xâm nhập đầy đủ (xem website bị hack phải làm gì).

Phòng tái diễn

Vá kịp thời (lỗ hổng plugin/theme là cửa chính); chặn sửa file qua trang quản trị bằng DISALLOW_FILE_EDIT; dùng tường lửa ứng dụng web; đặt quyền file đúng (không bao giờ 777). Tham khảo thêm checklist gia cố WordPress. Cần cứu hộ gấp, xem dịch vụ sửa chữa website.

Giữ uy tín sau khi bị deface

Deface không chỉ là vấn đề kỹ thuật mà còn là vấn đề niềm tin — khách hoặc đối tác lỡ thấy trang bị thay sẽ lo lắng. Vài việc nên làm song song với khắc phục: đưa web về chế độ bảo trì với thông báo lịch sự (“đang nâng cấp, sớm trở lại”) thay vì để lộ trang bị deface; sau khi xử xong, nếu sự cố ảnh hưởng tới khách (ví dụ web bán hàng), một thông báo ngắn gọn, trung thực rằng đã khắc phục sẽ tạo thiện cảm hơn là im lặng.

Về phía tìm kiếm: nếu Google đã kịp ghi nhận trang bị hack, hãy vào Search Console kiểm mục Vấn đề bảo mật và gửi yêu cầu xét lại sau khi dọn sạch — để cảnh báo “trang có thể gây hại” được gỡ, tránh mất khách từ kết quả tìm kiếm.

Câu hỏi thường gặp

Tôi sửa lại trang chủ rồi, vậy là xong chưa?

Chưa. Nếu chưa truy cửa hậu và vá lỗ hổng, web sẽ bị deface lại. Khôi phục giao diện chỉ là phần ngọn.

Có nên khôi phục từ bản sao lưu cũ không?

Có, nhưng phải chọn bản trước thời điểm bị tấn công và vẫn phải vá lỗ hổng — nếu không sẽ bị tấn công lại ngay.

Nguồn: MalCare — Recover a Defaced WordPress Site.

Đọc tiếp

Bài viết
cùng chủ đề.

Tất cả bài viết
Website bị hack phải làm gì? Dấu hiệu và cách xử lý So sánh plugin quét mã độc WordPress (Wordfence, Sucuri, MalCare…) Cách bảo vệ WordPress khỏi mã độc (checklist gia cố)