Hướng dẫn tự gỡ mã độc WordPress thủ công — từng bước

Nếu bạn rành kỹ thuật và web không quá phức tạp, tự gỡ mã độc WordPress là việc làm được. Bài này đi theo trình tự an toàn — quan trọng là làm đúng thứ tự để không xoá nhầm hay bỏ sót. Nhưng hãy đọc cả phần cuối về giới hạn: gỡ phần nhìn thấy thì dễ, dọn sạch cửa hậu mới là chỗ khó.

Chuẩn bị trước khi đụng vào

Đừng vội xoá. Hai việc bắt buộc trước tiên:

• Sao lưu hiện trạng. Lưu cả mã nguồn lẫn cơ sở dữ liệu, kể cả khi đang nhiễm — để có đường lùi nếu thao tác sai, và để đối chiếu khi truy nguồn.
• Chuẩn bị bản gốc sạch. Tải WordPress mới nhất từ wordpress.org, và bản cài đặt gốc của theme/plugin bạn đang dùng từ nguồn chính thống.

Thay file lõi bằng bản gốc

Phần lõi WordPress (thư mục wp-admin, wp-includes và các file gốc ở thư mục gốc) không nên khác bản chuẩn. Cách sạch nhất: xoá hai thư mục wp-admin và wp-includes rồi tải lên từ bản gốc vừa tải. Tuyệt đối giữ lại wp-config.php và thư mục wp-content (chứa theme, plugin, dữ liệu của bạn).

Cài lại theme và plugin từ nguồn sạch

Theme và plugin là nơi nhiễm thường gặp nhất, đặc biệt là bản lậu (nulled). Cách an toàn: gỡ hẳn rồi cài lại từ kho WordPress hoặc từ nhà phát triển chính thống. Riêng theme/plugin lậu thì nên bỏ hẳn — đó là nguồn lây số một, giữ lại là mời mã độc quay về.

Dọn thư mục uploads và cơ sở dữ liệu

Hai nơi này chứa dữ liệu riêng của bạn nên không thể “thay bản gốc”, phải dọn thủ công:

• Thư mục uploads: tìm và xoá mọi file .php (ở đây lẽ ra chỉ có ảnh và tài liệu).
• Cơ sở dữ liệu: qua phpMyAdmin, dò các trường trong wp_options và bài viết có chèn <script> lạ hoặc link ẩn, rồi dọn sạch.
• File .htaccess và wp-config.php: mở ra xem có dòng lệnh lạ được thêm vào đầu/cuối không — đây là chỗ hay bị chèn mã chuyển hướng.

Để biết chính xác những ngóc ngách mã độc hay nấp, đọc thêm mã độc thường giấu ở đâu trong WordPress.

Đổi mật khẩu, khoá lại và quét lần cuối

Sau khi dọn, chặn đường quay lại của kẻ tấn công:

• Đổi toàn bộ mật khẩu: quản trị WordPress, hosting, cơ sở dữ liệu, FTP.
• Thay bộ khoá bảo mật (security keys/salt) trong wp-config.php để vô hiệu mọi phiên đăng nhập cũ.
• Xoá các tài khoản quản trị lạ.
• Cập nhật WordPress, theme, plugin lên bản mới nhất rồi quét lại bằng công cụ ở bài cách kiểm tra website nhiễm mã độc.

Chỗ tự gỡ hay thất bại

Phần lớn người tự gỡ làm tốt đến bước dọn file, nhưng vấp ở cửa hậu. Kẻ tấn công thường cài nhiều cửa hậu, giấu trong file trông rất bình thường, có khi nằm ngoài cả thư mục WordPress. Gỡ sót một cái là vài ngày sau nhiễm lại — và nhiều người cứ lặp lại vòng gỡ–nhiễm mãi. Đây là lý do nên đọc kỹ bài dọn backdoor.

Nếu sau khi làm hết các bước mà web vẫn nhiễm lại, hoặc bạn không có thời gian lẫn sự chắc chắn, đừng đốt thêm công sức — để Web22 xử lý mã độc website dứt điểm, có truy diệt cửa hậu và vá lỗ hổng gốc. Web hỏng nặng thì xem thêm dịch vụ sửa chữa website.