Website bị hack phải làm sao?
Bùi Tấn Lực
- 18/07/2026
- 108
Website bị hack là một trong những sự cố nghiêm trọng mà bất kỳ cá nhân hay doanh nghiệp nào cũng có thể gặp phải. Không chỉ làm gián đoạn hoạt động kinh doanh, website bị tấn công còn khiến dữ liệu bị đánh cắp, giảm uy tín thương hiệu và ảnh hưởng tiêu cực đến SEO nếu không được xử lý kịp thời.
Điều quan trọng là bạn không nên quá hoảng loạn. Hầu hết các cuộc tấn công đều có thể được khắc phục nếu thực hiện đúng quy trình. Trong bài viết này, chúng ta sẽ tìm hiểu các dấu hiệu nhận biết website bị hack, cách xử lý từng bước và những biện pháp giúp hạn chế nguy cơ tái diễn trong tương lai.

Những dấu hiệu cho thấy website đã bị xâm nhập
Không phải lúc nào hacker cũng làm sập website ngay lập tức. Nhiều trường hợp chúng âm thầm cài mã độc để đánh cắp dữ liệu hoặc lợi dụng tài nguyên máy chủ. Vì vậy, việc phát hiện sớm là vô cùng quan trọng.
Website tự động chuyển hướng sang trang lạ
Khi người dùng truy cập website nhưng bị chuyển sang một tên miền khác, đặc biệt là các trang cá cược, quảng cáo hoặc website chứa mã độc, khả năng cao website đã bị chèn mã chuyển hướng.
Xuất hiện nội dung không phải do bạn đăng
Nếu website bỗng có thêm bài viết, trang mới hoặc liên kết quảng cáo mà quản trị viên không tạo, đây là dấu hiệu rõ ràng của việc tài khoản quản trị hoặc mã nguồn đã bị xâm nhập.
Google cảnh báo website không an toàn
Khi truy cập website xuất hiện thông báo như "Trang web này có thể gây hại", "Deceptive Site Ahead" hoặc trình duyệt chặn truy cập, rất có thể website đã bị phát hiện chứa mã độc.
Lượng truy cập giảm đột ngột
Nếu lượng truy cập từ Google giảm mạnh trong thời gian ngắn mà không có nguyên nhân rõ ràng, hãy kiểm tra xem website có bị hack hay không. Nhiều website bị Google tạm thời hạn chế hiển thị do phát hiện mã độc.
Máy chủ hoạt động bất thường
CPU luôn ở mức cao, dung lượng lưu trữ tăng nhanh hoặc hosting liên tục gửi cảnh báo sử dụng tài nguyên quá mức cũng là dấu hiệu cần kiểm tra.
Những việc cần làm ngay khi phát hiện website bị hack
Thời gian xử lý càng nhanh thì thiệt hại càng ít. Hãy thực hiện các bước dưới đây theo đúng thứ tự.
Bình tĩnh và xác nhận tình trạng website
Đầu tiên cần xác định website thật sự bị hack hay chỉ gặp lỗi kỹ thuật. Kiểm tra bằng nhiều thiết bị khác nhau, đăng nhập quản trị và xem log của hosting nếu có.
Sao lưu toàn bộ dữ liệu hiện tại
Dù website đã bị nhiễm mã độc, bạn vẫn nên tạo một bản sao lưu để phục vụ việc phân tích nguyên nhân hoặc khôi phục những dữ liệu cần thiết sau này.
Đưa website về chế độ bảo trì
Nếu website đang phục vụ khách hàng, nên tạm thời chuyển sang chế độ bảo trì để tránh người dùng tiếp tục truy cập vào môi trường không an toàn.
Đổi toàn bộ mật khẩu quan trọng
Ngay sau khi phát hiện sự cố, hãy thay đổi tất cả mật khẩu liên quan như:
- Tài khoản quản trị website.
- Hosting.
- FTP hoặc SFTP.
- SSH.
- Database.
- Email quản trị.
- Tài khoản Cloud.
Nên sử dụng mật khẩu mạnh, có độ dài lớn và khác nhau cho từng dịch vụ.
Kiểm tra phạm vi bị tấn công
Trước khi xóa mã độc, cần xác định chính xác hacker đã can thiệp vào những thành phần nào.
Kiểm tra mã nguồn
Đối chiếu với bản sao lưu sạch hoặc mã nguồn gốc để phát hiện các tập tin bị thay đổi.
Những vị trí thường bị chèn mã độc gồm:
- index.php
- header.php
- footer.php
- .htaccess
- config.php
- Các plugin hoặc theme.
Kiểm tra tài khoản quản trị
Xem có tài khoản quản trị nào được tạo trái phép hay không. Nếu phát hiện tài khoản lạ cần khóa hoặc xóa ngay.
Kiểm tra cơ sở dữ liệu
Nhiều cuộc tấn công chèn JavaScript hoặc iframe trực tiếp vào dữ liệu bài viết.
Hãy kiểm tra:
- Bài viết.
- Trang.
- Widget.
- Cài đặt website.
- Menu.
Kiểm tra tập tin tải lên
Thư mục upload thường bị lợi dụng để chứa web shell hoặc mã độc.
Đặc biệt chú ý các tập tin:
- .php
- .phtml
- .phar
- .cgi
- .exe
Trong nhiều trường hợp, thư mục upload chỉ nên chứa hình ảnh và tài liệu.
Loại bỏ mã độc khỏi website
Sau khi xác định được phạm vi ảnh hưởng, bước tiếp theo là loại bỏ toàn bộ mã độc và các thành phần mà hacker đã cài vào hệ thống. Đây là công việc cần thực hiện cẩn thận vì chỉ cần bỏ sót một tập tin độc hại, website có thể tiếp tục bị kiểm soát.
Xóa các tập tin đáng ngờ
Hãy rà soát toàn bộ mã nguồn và xóa những tập tin không thuộc mã nguồn gốc hoặc có dấu hiệu bị chèn mã độc.
Một số đặc điểm thường gặp của tập tin độc hại:
- Tên tập tin ngẫu nhiên, khó hiểu.
- Được tạo gần thời điểm website gặp sự cố.
- Chứa các đoạn mã được mã hóa.
- Có quyền thực thi bất thường.
- Nằm trong thư mục upload hoặc cache.
Kiểm tra các đoạn mã đã bị mã hóa
Hacker thường sử dụng các hàm PHP nhằm che giấu mã độc, khiến việc đọc mã nguồn trở nên khó khăn hơn.
Ví dụ một đoạn mã đáng nghi:
<?php
eval(base64_decode('Tm9uZS4uLg=='));
?>
Ngoài ra còn có thể xuất hiện những hàm như:
- eval()
- base64_decode()
- gzinflate()
- str_rot13()
- assert()
- system()
- shell_exec()
Không phải mọi trường hợp sử dụng các hàm trên đều là mã độc, tuy nhiên nếu chúng xuất hiện trong các tập tin lạ thì cần kiểm tra kỹ.
Khôi phục từ bản sao lưu sạch
Nếu có bản sao lưu được tạo trước khi website bị tấn công, đây thường là phương án nhanh và an toàn nhất.
Tuy nhiên, trước khi phục hồi cần đảm bảo:
- Bản sao lưu chưa bị nhiễm mã độc.
- Đã xác định nguyên nhân khiến website bị hack.
- Đã vá lỗ hổng bảo mật.
Nếu chỉ khôi phục dữ liệu mà không xử lý nguyên nhân gốc, website rất dễ bị tấn công trở lại.
Khắc phục nguyên nhân dẫn đến sự cố
Việc xóa mã độc chỉ giải quyết phần ngọn. Quan trọng hơn là tìm ra nguyên nhân để ngăn chặn các cuộc tấn công trong tương lai.
Cập nhật hệ thống quản trị
Nếu website sử dụng WordPress, Joomla, Drupal hoặc các CMS khác, hãy cập nhật lên phiên bản mới nhất.
Các bản cập nhật thường vá những lỗ hổng bảo mật đã được phát hiện trước đó.
Cập nhật plugin và giao diện
Plugin hoặc theme lỗi thời là nguyên nhân phổ biến khiến website bị khai thác.
Hãy:
- Cập nhật plugin lên phiên bản mới.
- Xóa plugin không còn sử dụng.
- Gỡ bỏ giao diện cũ.
- Chỉ sử dụng phần mềm có nguồn gốc rõ ràng.
Kiểm tra quyền của tập tin
Phân quyền không hợp lý sẽ tạo điều kiện cho hacker ghi dữ liệu lên máy chủ.
Thông thường:
- Thư mục nên có quyền 755.
- Tập tin nên có quyền 644.
- Không nên đặt quyền 777 nếu không thực sự cần thiết.
Kiểm tra tài khoản người dùng
Loại bỏ các tài khoản không còn sử dụng hoặc có quyền quản trị nhưng không cần thiết.
Đối với mỗi tài khoản quản trị nên:
- Sử dụng mật khẩu mạnh.
- Kích hoạt xác thực hai lớp.
- Không dùng tên đăng nhập mặc định.
Kiểm tra lại toàn bộ website
Sau khi hoàn tất việc xử lý, cần kiểm tra kỹ để chắc chắn website đã hoạt động bình thường.
Kiểm tra chức năng
Truy cập các trang quan trọng và kiểm tra:
- Trang chủ.
- Danh mục.
- Bài viết.
- Biểu mẫu liên hệ.
- Thanh toán nếu có.
- Trang đăng nhập.
Kiểm tra tốc độ tải trang
Một số mã độc chạy ngầm có thể khiến website hoạt động chậm hơn bình thường.
Nếu tốc độ vẫn giảm mạnh sau khi xử lý, cần tiếp tục kiểm tra các tiến trình đang chạy trên máy chủ.
Kiểm tra kết quả tìm kiếm
Hãy tìm kiếm tên miền trên Google để xem còn xuất hiện tiêu đề lạ, mô tả bất thường hoặc các trang spam được lập chỉ mục hay không.
Nếu vẫn còn, cần xử lý các URL bị chèn và gửi yêu cầu cập nhật lại chỉ mục sau khi website đã sạch mã độc.
Yêu cầu Google xem xét lại website
Nếu website từng bị Google cảnh báo chứa mã độc hoặc phát tán nội dung độc hại, sau khi đã xử lý hoàn toàn sự cố bạn nên gửi yêu cầu xem xét lại để khôi phục trạng thái bình thường trên kết quả tìm kiếm.
Kiểm tra cảnh báo bảo mật
Đăng nhập vào Google Search Console để xem website có đang gặp vấn đề về bảo mật hay không.
Nếu có cảnh báo, hãy đọc kỹ nguyên nhân trước khi gửi yêu cầu xem xét.
Gửi yêu cầu đánh giá lại
Sau khi chắc chắn website đã được làm sạch hoàn toàn, hãy gửi yêu cầu đánh giá lại và mô tả ngắn gọn những biện pháp đã thực hiện để khắc phục.
Việc xem xét có thể mất từ vài ngày đến vài tuần tùy từng trường hợp.
Những việc nên làm sau khi website hoạt động trở lại
Website đã sạch mã độc không có nghĩa là hoàn toàn an toàn. Việc theo dõi trong thời gian tiếp theo rất quan trọng để phát hiện sớm nếu hacker cố gắng quay trở lại.
Theo dõi nhật ký hệ thống
Thường xuyên kiểm tra log của hosting hoặc máy chủ để phát hiện:
- Nhiều lần đăng nhập thất bại.
- Địa chỉ IP bất thường.
- Tập tin bị chỉnh sửa ngoài ý muốn.
- Lưu lượng truy cập tăng đột biến.
Kiểm tra tính toàn vẹn của mã nguồn
Định kỳ so sánh mã nguồn hiện tại với bản sao lưu sạch để phát hiện các thay đổi bất thường.
Đối với website lớn, có thể sử dụng các công cụ giám sát thay đổi tập tin để nhận cảnh báo ngay khi có chỉnh sửa.
Sao lưu dữ liệu định kỳ
Luôn duy trì nhiều bản sao lưu ở các thời điểm khác nhau và lưu tại vị trí tách biệt với máy chủ đang vận hành.
Nên kiểm tra khả năng khôi phục của bản sao lưu thay vì chỉ tạo backup mà chưa từng thử phục hồi.
Biện pháp giúp hạn chế website bị hack trong tương lai
Sử dụng mật khẩu mạnh
Mỗi tài khoản quan trọng nên có mật khẩu riêng với độ dài lớn, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.
Không nên sử dụng cùng một mật khẩu cho nhiều dịch vụ.
Bật xác thực hai lớp
Xác thực hai lớp giúp giảm đáng kể nguy cơ tài khoản quản trị bị chiếm quyền ngay cả khi mật khẩu bị lộ.
Cập nhật phần mềm thường xuyên
Đừng trì hoãn việc cập nhật hệ điều hành, CMS, plugin, theme và các thành phần liên quan vì nhiều bản cập nhật được phát hành nhằm vá các lỗ hổng bảo mật nghiêm trọng.
Chỉ cài đặt phần mềm từ nguồn đáng tin cậy
Không nên sử dụng plugin hoặc theme được chia sẻ miễn phí từ các nguồn không chính thức vì chúng có thể đã bị chèn mã độc.
Thiết lập tường lửa ứng dụng web
Tường lửa ứng dụng web giúp lọc nhiều loại tấn công phổ biến như dò mật khẩu, khai thác lỗ hổng hay gửi lưu lượng độc hại đến website.
Quét mã độc theo lịch
Việc quét website định kỳ giúp phát hiện sớm những dấu hiệu bất thường trước khi hacker gây ra thiệt hại lớn.
Giới hạn quyền truy cập
Chỉ cấp quyền cần thiết cho từng tài khoản và thu hồi quyền ngay khi không còn nhu cầu sử dụng.
Những sai lầm thường gặp khi xử lý website bị hack
Chỉ xóa mã độc mà không tìm nguyên nhân
Đây là sai lầm phổ biến nhất. Nếu lỗ hổng vẫn còn tồn tại, hacker có thể quay lại chỉ sau vài phút hoặc vài ngày.
Khôi phục từ bản sao lưu đã nhiễm mã độc
Nếu bản sao lưu được tạo sau khi website đã bị xâm nhập, việc phục hồi sẽ đưa mã độc quay trở lại hệ thống.
Không thay đổi mật khẩu
Dù đã làm sạch website nhưng vẫn giữ nguyên mật khẩu cũ sẽ khiến tài khoản tiếp tục có nguy cơ bị truy cập trái phép.
Bỏ qua việc theo dõi sau khi xử lý
Nhiều quản trị viên cho rằng website đã an toàn sau khi hoạt động trở lại. Thực tế, hacker có thể để lại cửa hậu nhằm quay lại bất cứ lúc nào nếu không được phát hiện.
Kết luận
Website bị hack không chỉ gây gián đoạn hoạt động mà còn ảnh hưởng đến uy tín thương hiệu, dữ liệu khách hàng và thứ hạng SEO. Điều quan trọng là cần xử lý theo đúng quy trình: xác định phạm vi ảnh hưởng, sao lưu dữ liệu, loại bỏ mã độc, vá lỗ hổng, thay đổi toàn bộ thông tin đăng nhập và kiểm tra kỹ trước khi đưa website hoạt động trở lại.
Bên cạnh việc khắc phục sự cố, hãy xây dựng thói quen cập nhật hệ thống, sao lưu định kỳ, sử dụng mật khẩu mạnh, bật xác thực hai lớp và áp dụng các giải pháp bảo mật phù hợp. Chủ động phòng ngừa luôn hiệu quả và ít tốn kém hơn rất nhiều so với việc xử lý hậu quả sau khi website đã bị tấn công.