Website bị hack phải làm sao?

Website bị hack là một trong những sự cố nghiêm trọng mà bất kỳ cá nhân hay doanh nghiệp nào cũng có thể gặp phải. Không chỉ làm gián đoạn hoạt động kinh doanh, website bị tấn công còn khiến dữ liệu bị đánh cắp, giảm uy tín thương hiệu và ảnh hưởng tiêu cực đến SEO nếu không được xử lý kịp thời.

Điều quan trọng là bạn không nên quá hoảng loạn. Hầu hết các cuộc tấn công đều có thể được khắc phục nếu thực hiện đúng quy trình. Trong bài viết này, chúng ta sẽ tìm hiểu các dấu hiệu nhận biết website bị hack, cách xử lý từng bước và những biện pháp giúp hạn chế nguy cơ tái diễn trong tương lai.

Website bị hack phải làm sao?

Những dấu hiệu cho thấy website đã bị xâm nhập

Không phải lúc nào hacker cũng làm sập website ngay lập tức. Nhiều trường hợp chúng âm thầm cài mã độc để đánh cắp dữ liệu hoặc lợi dụng tài nguyên máy chủ. Vì vậy, việc phát hiện sớm là vô cùng quan trọng.

Website tự động chuyển hướng sang trang lạ

Khi người dùng truy cập website nhưng bị chuyển sang một tên miền khác, đặc biệt là các trang cá cược, quảng cáo hoặc website chứa mã độc, khả năng cao website đã bị chèn mã chuyển hướng.

Xuất hiện nội dung không phải do bạn đăng

Nếu website bỗng có thêm bài viết, trang mới hoặc liên kết quảng cáo mà quản trị viên không tạo, đây là dấu hiệu rõ ràng của việc tài khoản quản trị hoặc mã nguồn đã bị xâm nhập.

Google cảnh báo website không an toàn

Khi truy cập website xuất hiện thông báo như "Trang web này có thể gây hại", "Deceptive Site Ahead" hoặc trình duyệt chặn truy cập, rất có thể website đã bị phát hiện chứa mã độc.

Lượng truy cập giảm đột ngột

Nếu lượng truy cập từ Google giảm mạnh trong thời gian ngắn mà không có nguyên nhân rõ ràng, hãy kiểm tra xem website có bị hack hay không. Nhiều website bị Google tạm thời hạn chế hiển thị do phát hiện mã độc.

Máy chủ hoạt động bất thường

CPU luôn ở mức cao, dung lượng lưu trữ tăng nhanh hoặc hosting liên tục gửi cảnh báo sử dụng tài nguyên quá mức cũng là dấu hiệu cần kiểm tra.

Những việc cần làm ngay khi phát hiện website bị hack

Thời gian xử lý càng nhanh thì thiệt hại càng ít. Hãy thực hiện các bước dưới đây theo đúng thứ tự.

Bình tĩnh và xác nhận tình trạng website

Đầu tiên cần xác định website thật sự bị hack hay chỉ gặp lỗi kỹ thuật. Kiểm tra bằng nhiều thiết bị khác nhau, đăng nhập quản trị và xem log của hosting nếu có.

Sao lưu toàn bộ dữ liệu hiện tại

Dù website đã bị nhiễm mã độc, bạn vẫn nên tạo một bản sao lưu để phục vụ việc phân tích nguyên nhân hoặc khôi phục những dữ liệu cần thiết sau này.

Đưa website về chế độ bảo trì

Nếu website đang phục vụ khách hàng, nên tạm thời chuyển sang chế độ bảo trì để tránh người dùng tiếp tục truy cập vào môi trường không an toàn.

Đổi toàn bộ mật khẩu quan trọng

Ngay sau khi phát hiện sự cố, hãy thay đổi tất cả mật khẩu liên quan như:

  • Tài khoản quản trị website.
  • Hosting.
  • FTP hoặc SFTP.
  • SSH.
  • Database.
  • Email quản trị.
  • Tài khoản Cloud.

Nên sử dụng mật khẩu mạnh, có độ dài lớn và khác nhau cho từng dịch vụ.

Kiểm tra phạm vi bị tấn công

Trước khi xóa mã độc, cần xác định chính xác hacker đã can thiệp vào những thành phần nào.

Kiểm tra mã nguồn

Đối chiếu với bản sao lưu sạch hoặc mã nguồn gốc để phát hiện các tập tin bị thay đổi.

Những vị trí thường bị chèn mã độc gồm:

  • index.php
  • header.php
  • footer.php
  • .htaccess
  • config.php
  • Các plugin hoặc theme.

Kiểm tra tài khoản quản trị

Xem có tài khoản quản trị nào được tạo trái phép hay không. Nếu phát hiện tài khoản lạ cần khóa hoặc xóa ngay.

Kiểm tra cơ sở dữ liệu

Nhiều cuộc tấn công chèn JavaScript hoặc iframe trực tiếp vào dữ liệu bài viết.

Hãy kiểm tra:

  • Bài viết.
  • Trang.
  • Widget.
  • Cài đặt website.
  • Menu.

Kiểm tra tập tin tải lên

Thư mục upload thường bị lợi dụng để chứa web shell hoặc mã độc.

Đặc biệt chú ý các tập tin:

  • .php
  • .phtml
  • .phar
  • .cgi
  • .exe

Trong nhiều trường hợp, thư mục upload chỉ nên chứa hình ảnh và tài liệu.

Loại bỏ mã độc khỏi website

Sau khi xác định được phạm vi ảnh hưởng, bước tiếp theo là loại bỏ toàn bộ mã độc và các thành phần mà hacker đã cài vào hệ thống. Đây là công việc cần thực hiện cẩn thận vì chỉ cần bỏ sót một tập tin độc hại, website có thể tiếp tục bị kiểm soát.

Xóa các tập tin đáng ngờ

Hãy rà soát toàn bộ mã nguồn và xóa những tập tin không thuộc mã nguồn gốc hoặc có dấu hiệu bị chèn mã độc.

Một số đặc điểm thường gặp của tập tin độc hại:

  • Tên tập tin ngẫu nhiên, khó hiểu.
  • Được tạo gần thời điểm website gặp sự cố.
  • Chứa các đoạn mã được mã hóa.
  • Có quyền thực thi bất thường.
  • Nằm trong thư mục upload hoặc cache.

Kiểm tra các đoạn mã đã bị mã hóa

Hacker thường sử dụng các hàm PHP nhằm che giấu mã độc, khiến việc đọc mã nguồn trở nên khó khăn hơn.

Ví dụ một đoạn mã đáng nghi:

<?php
eval(base64_decode('Tm9uZS4uLg=='));
?>

Ngoài ra còn có thể xuất hiện những hàm như:

  • eval()
  • base64_decode()
  • gzinflate()
  • str_rot13()
  • assert()
  • system()
  • shell_exec()

Không phải mọi trường hợp sử dụng các hàm trên đều là mã độc, tuy nhiên nếu chúng xuất hiện trong các tập tin lạ thì cần kiểm tra kỹ.

Khôi phục từ bản sao lưu sạch

Nếu có bản sao lưu được tạo trước khi website bị tấn công, đây thường là phương án nhanh và an toàn nhất.

Tuy nhiên, trước khi phục hồi cần đảm bảo:

  • Bản sao lưu chưa bị nhiễm mã độc.
  • Đã xác định nguyên nhân khiến website bị hack.
  • Đã vá lỗ hổng bảo mật.

Nếu chỉ khôi phục dữ liệu mà không xử lý nguyên nhân gốc, website rất dễ bị tấn công trở lại.

Khắc phục nguyên nhân dẫn đến sự cố

Việc xóa mã độc chỉ giải quyết phần ngọn. Quan trọng hơn là tìm ra nguyên nhân để ngăn chặn các cuộc tấn công trong tương lai.

Cập nhật hệ thống quản trị

Nếu website sử dụng WordPress, Joomla, Drupal hoặc các CMS khác, hãy cập nhật lên phiên bản mới nhất.

Các bản cập nhật thường vá những lỗ hổng bảo mật đã được phát hiện trước đó.

Cập nhật plugin và giao diện

Plugin hoặc theme lỗi thời là nguyên nhân phổ biến khiến website bị khai thác.

Hãy:

  • Cập nhật plugin lên phiên bản mới.
  • Xóa plugin không còn sử dụng.
  • Gỡ bỏ giao diện cũ.
  • Chỉ sử dụng phần mềm có nguồn gốc rõ ràng.

Kiểm tra quyền của tập tin

Phân quyền không hợp lý sẽ tạo điều kiện cho hacker ghi dữ liệu lên máy chủ.

Thông thường:

  • Thư mục nên có quyền 755.
  • Tập tin nên có quyền 644.
  • Không nên đặt quyền 777 nếu không thực sự cần thiết.

Kiểm tra tài khoản người dùng

Loại bỏ các tài khoản không còn sử dụng hoặc có quyền quản trị nhưng không cần thiết.

Đối với mỗi tài khoản quản trị nên:

  • Sử dụng mật khẩu mạnh.
  • Kích hoạt xác thực hai lớp.
  • Không dùng tên đăng nhập mặc định.

Kiểm tra lại toàn bộ website

Sau khi hoàn tất việc xử lý, cần kiểm tra kỹ để chắc chắn website đã hoạt động bình thường.

Kiểm tra chức năng

Truy cập các trang quan trọng và kiểm tra:

  • Trang chủ.
  • Danh mục.
  • Bài viết.
  • Biểu mẫu liên hệ.
  • Thanh toán nếu có.
  • Trang đăng nhập.

Kiểm tra tốc độ tải trang

Một số mã độc chạy ngầm có thể khiến website hoạt động chậm hơn bình thường.

Nếu tốc độ vẫn giảm mạnh sau khi xử lý, cần tiếp tục kiểm tra các tiến trình đang chạy trên máy chủ.

Kiểm tra kết quả tìm kiếm

Hãy tìm kiếm tên miền trên Google để xem còn xuất hiện tiêu đề lạ, mô tả bất thường hoặc các trang spam được lập chỉ mục hay không.

Nếu vẫn còn, cần xử lý các URL bị chèn và gửi yêu cầu cập nhật lại chỉ mục sau khi website đã sạch mã độc.

Yêu cầu Google xem xét lại website

Nếu website từng bị Google cảnh báo chứa mã độc hoặc phát tán nội dung độc hại, sau khi đã xử lý hoàn toàn sự cố bạn nên gửi yêu cầu xem xét lại để khôi phục trạng thái bình thường trên kết quả tìm kiếm.

Kiểm tra cảnh báo bảo mật

Đăng nhập vào Google Search Console để xem website có đang gặp vấn đề về bảo mật hay không.

Nếu có cảnh báo, hãy đọc kỹ nguyên nhân trước khi gửi yêu cầu xem xét.

Gửi yêu cầu đánh giá lại

Sau khi chắc chắn website đã được làm sạch hoàn toàn, hãy gửi yêu cầu đánh giá lại và mô tả ngắn gọn những biện pháp đã thực hiện để khắc phục.

Việc xem xét có thể mất từ vài ngày đến vài tuần tùy từng trường hợp.

Những việc nên làm sau khi website hoạt động trở lại

Website đã sạch mã độc không có nghĩa là hoàn toàn an toàn. Việc theo dõi trong thời gian tiếp theo rất quan trọng để phát hiện sớm nếu hacker cố gắng quay trở lại.

Theo dõi nhật ký hệ thống

Thường xuyên kiểm tra log của hosting hoặc máy chủ để phát hiện:

  • Nhiều lần đăng nhập thất bại.
  • Địa chỉ IP bất thường.
  • Tập tin bị chỉnh sửa ngoài ý muốn.
  • Lưu lượng truy cập tăng đột biến.

Kiểm tra tính toàn vẹn của mã nguồn

Định kỳ so sánh mã nguồn hiện tại với bản sao lưu sạch để phát hiện các thay đổi bất thường.

Đối với website lớn, có thể sử dụng các công cụ giám sát thay đổi tập tin để nhận cảnh báo ngay khi có chỉnh sửa.

Sao lưu dữ liệu định kỳ

Luôn duy trì nhiều bản sao lưu ở các thời điểm khác nhau và lưu tại vị trí tách biệt với máy chủ đang vận hành.

Nên kiểm tra khả năng khôi phục của bản sao lưu thay vì chỉ tạo backup mà chưa từng thử phục hồi.

Biện pháp giúp hạn chế website bị hack trong tương lai

Sử dụng mật khẩu mạnh

Mỗi tài khoản quan trọng nên có mật khẩu riêng với độ dài lớn, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.

Không nên sử dụng cùng một mật khẩu cho nhiều dịch vụ.

Bật xác thực hai lớp

Xác thực hai lớp giúp giảm đáng kể nguy cơ tài khoản quản trị bị chiếm quyền ngay cả khi mật khẩu bị lộ.

Cập nhật phần mềm thường xuyên

Đừng trì hoãn việc cập nhật hệ điều hành, CMS, plugin, theme và các thành phần liên quan vì nhiều bản cập nhật được phát hành nhằm vá các lỗ hổng bảo mật nghiêm trọng.

Chỉ cài đặt phần mềm từ nguồn đáng tin cậy

Không nên sử dụng plugin hoặc theme được chia sẻ miễn phí từ các nguồn không chính thức vì chúng có thể đã bị chèn mã độc.

Thiết lập tường lửa ứng dụng web

Tường lửa ứng dụng web giúp lọc nhiều loại tấn công phổ biến như dò mật khẩu, khai thác lỗ hổng hay gửi lưu lượng độc hại đến website.

Quét mã độc theo lịch

Việc quét website định kỳ giúp phát hiện sớm những dấu hiệu bất thường trước khi hacker gây ra thiệt hại lớn.

Giới hạn quyền truy cập

Chỉ cấp quyền cần thiết cho từng tài khoản và thu hồi quyền ngay khi không còn nhu cầu sử dụng.

Những sai lầm thường gặp khi xử lý website bị hack

Chỉ xóa mã độc mà không tìm nguyên nhân

Đây là sai lầm phổ biến nhất. Nếu lỗ hổng vẫn còn tồn tại, hacker có thể quay lại chỉ sau vài phút hoặc vài ngày.

Khôi phục từ bản sao lưu đã nhiễm mã độc

Nếu bản sao lưu được tạo sau khi website đã bị xâm nhập, việc phục hồi sẽ đưa mã độc quay trở lại hệ thống.

Không thay đổi mật khẩu

Dù đã làm sạch website nhưng vẫn giữ nguyên mật khẩu cũ sẽ khiến tài khoản tiếp tục có nguy cơ bị truy cập trái phép.

Bỏ qua việc theo dõi sau khi xử lý

Nhiều quản trị viên cho rằng website đã an toàn sau khi hoạt động trở lại. Thực tế, hacker có thể để lại cửa hậu nhằm quay lại bất cứ lúc nào nếu không được phát hiện.

Kết luận

Website bị hack không chỉ gây gián đoạn hoạt động mà còn ảnh hưởng đến uy tín thương hiệu, dữ liệu khách hàng và thứ hạng SEO. Điều quan trọng là cần xử lý theo đúng quy trình: xác định phạm vi ảnh hưởng, sao lưu dữ liệu, loại bỏ mã độc, vá lỗ hổng, thay đổi toàn bộ thông tin đăng nhập và kiểm tra kỹ trước khi đưa website hoạt động trở lại.

Bên cạnh việc khắc phục sự cố, hãy xây dựng thói quen cập nhật hệ thống, sao lưu định kỳ, sử dụng mật khẩu mạnh, bật xác thực hai lớp và áp dụng các giải pháp bảo mật phù hợp. Chủ động phòng ngừa luôn hiệu quả và ít tốn kém hơn rất nhiều so với việc xử lý hậu quả sau khi website đã bị tấn công.

CEO Bùi Tấn Lực
Bùi Tấn Lực
CEO Bùi Tấn Lực người sáng lập ra Web Mới, là một lập trình viên, người viết content, chuyên tư vấn các vấn đề về website và SEO website, quý khách hãy liên hệ để trao đổi thiết kế website