Cách tự kiểm tra website WordPress có bị nhiễm mã độc không

Kiểm tra website WordPress có bị nhiễm mã độc không là việc bạn nên làm định kỳ, chứ không chỉ khi web đã trục trặc. Tin tốt: phần lớn bước kiểm tra ban đầu không cần biết lập trình — vài công cụ miễn phí là soi ra được kha khá. Bài này đi từ cách kiểm nhanh nhất tới cách kỹ nhất, kèm cả giới hạn của việc tự kiểm.

Kiểm tra nhanh từ bên ngoài

Đây là tuyến đầu, làm được trong vài phút mà không cần đụng vào hosting:

• Sucuri SiteCheck — dán địa chỉ web vào, công cụ quét và báo web có bị gắn cờ danh sách đen (blacklist) hay phát hiện mã độc nhìn thấy được không.
• VirusTotal — soi một địa chỉ qua hàng chục hệ thống bảo mật cùng lúc, hữu ích khi nghi một trang con bị nhiễm.
• Google Search Console — mục Bảo mật & Tác vụ thủ công → Vấn đề bảo mật. Đây là kênh đáng tin nhất: nếu Google đã phát hiện, nó báo ở đây kèm ví dụ trang bị nhiễm.

Các công cụ ngoài có điểm yếu: chúng chỉ thấy phần mã độc “ra mặt” với khách. Mã độc giấu kỹ, chỉ kích hoạt theo điều kiện, thì quét ngoài dễ bỏ sót.

Kiểm tra dấu hiệu trong trang quản trị

Đăng nhập WordPress và soi vài chỗ kẻ tấn công hay để lại dấu:

• Thành viên → Tất cả người dùng: có admin nào bạn không tạo? Tên ngẫu nhiên, email lạ là dấu hiệu xấu.
• Bài viết & Trang: xuất hiện bài tiếng nước ngoài, bài về thuốc / cờ bạc bạn chưa từng đăng?
• Plugin: có plugin lạ tự bật, hoặc plugin đã xoá mà vẫn còn thư mục?
• Bảng điều khiển: WordPress, plugin, theme có đang ở phiên bản quá cũ không — đó là cửa ngõ nhiễm phổ biến.

Soi file và mã nguồn

Bước này cần quyền vào hosting (trình quản lý file của cPanel, hoặc FTP). Không cần giỏi lập trình, chỉ cần để ý điều bất thường:

• Sắp xếp file theo ngày sửa đổi. Một loạt file lõi cùng bị sửa vào một thời điểm bạn không hề đụng tới — rất đáng ngờ.
• Tìm file PHP trong thư mục uploads. Thư mục wp-content/uploads lẽ ra chỉ chứa ảnh và tài liệu. Có file .php ở đó gần như chắc chắn là mã độc.
• Để ý tên file lạ. Các file tên ngẫu nhiên kiểu wp-xz12.php, hoặc trùng tên file lõi nhưng đặt sai thư mục.

Muốn hiểu sâu hơn mã độc hay nấp ở những chỗ nào, đọc bài mã độc thường giấu ở đâu trong WordPress.

Kiểm tra cơ sở dữ liệu

Mã độc không chỉ nằm ở file — nó còn chèn vào cơ sở dữ liệu (database). Qua phpMyAdmin, để ý:

• Bảng wp_users: tài khoản lạ với quyền quản trị.
• Bảng wp_options: đoạn mã JavaScript hoặc thẻ <script> lạ chèn vào các trường như siteurl hay phần header/footer.
• Bài viết chứa link ẩn, thẻ <div style="display:none"> nhồi hàng loạt link thuốc, cờ bạc.

Giới hạn của việc tự kiểm tra

Nói thẳng để bạn không chủ quan: tự kiểm tra giúp phát hiện, nhưng “không thấy gì” chưa chắc là web sạch. Mã độc đời mới biết che mắt người quản trị, và cửa hậu (backdoor) thường được giấu rất kỹ trong một file trông vô hại. Quét online báo “clean” chỉ nghĩa là chưa thấy phần lộ thiên.

Vì vậy, nếu bạn đã thấy một dấu hiệu rõ (xem bài dấu hiệu website bị nhiễm mã độc), đừng dừng ở việc kiểm tra — hãy xử lý. Bạn có thể tự gỡ mã độc WordPress nếu rành kỹ thuật, hoặc để Web22 xử lý mã độc website trọn gói khi cần chắc chắn web sạch hẳn.