Khắc phục website bị nhiễm mã độc chèn link lạ

29/10/2024

Nếu website của bạn bị khai thác SEO Black Hat (SEO Spam), điều đó có nghĩa là hacker đã cài đặt mã độc hoặc chèn các liên kết, từ khóa, hoặc nội dung spam vào website của bạn nhằm nâng cao thứ hạng tìm kiếm cho các website khác. Tình trạng này không chỉ ảnh hưởng đến uy tín và chất lượng của website mà còn làm giảm thứ hạng trên công cụ tìm kiếm và có thể khiến trang của bạn bị phạt hoặc loại bỏ khỏi kết quả tìm kiếm. Dưới đây là các bước khắc phục khi website bị khai thác SEO Black Hat:

Mục lục

1. Kiểm tra và xác định mức độ bị tấn công

Sử dụng Google Search Console: Google Search Console sẽ giúp bạn phát hiện các vấn đề liên quan đến SEO spam. Đăng nhập vào Google Search Console, vào mục Security Issues (Vấn đề bảo mật) để kiểm tra xem Google có báo cáo website của bạn bị spam hay không.
Kiểm tra các trang và URL lạ: Kiểm tra xem có bất kỳ URL hoặc trang nào không thuộc về website của bạn nhưng lại xuất hiện trong cấu trúc website hoặc kết quả tìm kiếm.
Sử dụng công cụ quét bảo mật: Các công cụ như Sucuri, Wordfence (nếu bạn sử dụng WordPress) hoặc Malwarebytes sẽ giúp quét website và phát hiện mã độc hoặc liên kết spam được chèn vào.
Các link lạ mà Google search console cảnh báo ở hình 1 bên dưới, đây là URL link dùng để chuyển hướng trang về các website khác. Khắc phục bằng cách sử dụng các chương trình rà quét mã độc, quét virus, malware tất các tệp file trên website, nếu biết code - lập trình bạn có thể bắt đường dẫn không hợp pháp này chuyển hướng về trang chủ website của bạn.

Hình 1: Khắc phục website bị nhiễm mã độc chèn link lạ

2. Kiểm tra và làm sạch mã nguồn và cơ sở dữ liệu

Kiểm tra mã nguồn: Kiểm tra mã nguồn của các tệp tin website, đặc biệt là các tệp tin như index.php, header.php, footer.php, và các tệp theme hoặc plugin, vì hacker thường nhắm vào những tệp này.
Kiểm tra cơ sở dữ liệu: Nếu bạn dùng CMS (như WordPress, Joomla, Magento), hãy kiểm tra cơ sở dữ liệu để tìm kiếm các nội dung hoặc liên kết spam được chèn vào.
Tìm kiếm các đoạn mã độc (malicious code): Các mã độc này có thể là các mã iframe, eval, base64_decode, hoặc các chuỗi mã bị mã hóa. Loại bỏ chúng ngay nếu phát hiện.

3. Xóa các tệp tin hoặc plugin không rõ nguồn gốc

Xóa plugin hoặc theme không sử dụng: Xóa hoặc vô hiệu hóa các plugin hoặc theme không sử dụng, hoặc không rõ nguồn gốc. Hacker thường chèn mã độc thông qua các plugin/thêm miễn phí nhưng không đáng tin cậy.
Cập nhật tất cả các plugin, theme, và hệ thống CMS: Các phiên bản mới nhất thường được vá lỗi bảo mật. Việc sử dụng phiên bản lỗi thời dễ tạo cơ hội cho hacker tấn công.
Khắc phục:
- Xóa file trực tiếp bằng cách đăng nhập vào hosting Cpanel / File manager / public_html / tại folder public_html các file như app.php, m.php, order.php ... bên dưới là file được hacker đưa lên để SEO Spam chuyển hướng sang website.
- Hãy cẩn trong download backup lại website trước khi xóa bỏ file hoặc liên hệ với các đơn vị lập trình website để họ xử lý

Hình 2: Xóa các file lạ mã độc malware trên website

Cấu trúc file code mã hóa — Hình 2.1: Cấu trúc file code mã độc đã mã hóa

4. Thay đổi mật khẩu và kiểm tra tài khoản người dùng

Đổi mật khẩu: Thay đổi tất cả mật khẩu của tài khoản quản trị (admin), cơ sở dữ liệu, FTP, và bất kỳ tài khoản nào có quyền truy cập vào hệ thống quản trị website.
Xác minh tài khoản người dùng: Kiểm tra danh sách tài khoản người dùng của website để đảm bảo không có tài khoản nào đáng ngờ. Nếu phát hiện tài khoản lạ, hãy xóa hoặc vô hiệu hóa ngay.

5. Chặn các lỗ hổng bảo mật

Cài đặt tường lửa (Web Application Firewall - WAF): Các tường lửa như Sucuri Firewall, Cloudflare, hoặc Astra có thể giúp chặn các cuộc tấn công và bảo vệ website khỏi các mối đe dọa bảo mật.
Đổi quyền truy cập của các tệp quan trọng: Đảm bảo các tệp nhạy cảm của hệ thống (như wp-config.php trong WordPress) có quyền truy cập hạn chế để ngăn chặn việc sửa đổi không mong muốn.
Bảo mật thư mục uploads: Đây là thư mục hacker thường nhắm tới để tải lên mã độc. Bạn có thể bảo mật thư mục uploads bằng cách hạn chế quyền truy cập hoặc thêm .htaccess để ngăn chặn việc thực thi mã độc từ thư mục này.

6. Kiểm tra lại website và yêu cầu Google xem xét lại

Quét lại toàn bộ website: Sau khi bạn đã thực hiện các biện pháp làm sạch, hãy quét lại website một lần nữa để đảm bảo không còn bất kỳ mã độc nào sót lại.
Yêu cầu Google xem xét lại: Trong Google Search Console, nếu website của bạn bị cảnh báo hoặc bị phạt do chứa mã độc hoặc spam, bạn có thể gửi yêu cầu xem xét lại (Request a Review) để Google đánh giá lại website của bạn sau khi đã làm sạch.

7. Cài đặt các biện pháp bảo vệ lâu dài

Cài đặt plugin bảo mật: Nếu bạn sử dụng CMS như WordPress, hãy cài đặt các plugin bảo mật như Wordfence, iThemes Security, hoặc Sucuri để giúp giám sát và bảo vệ website khỏi các cuộc tấn công trong tương lai.
Sao lưu thường xuyên: Đảm bảo bạn có bản sao lưu định kỳ của website và cơ sở dữ liệu để có thể khôi phục lại nếu xảy ra sự cố.
Theo dõi lưu lượng truy cập: Sử dụng Google Analytics hoặc các công cụ tương tự để theo dõi các hoạt động bất thường trên website, như lưu lượng tăng đột ngột từ các quốc gia hoặc nguồn lạ, điều này có thể báo hiệu một cuộc tấn công.

8. Giáo dục nhân viên và cập nhật kiến thức về bảo mật

Nếu website của bạn được quản lý bởi nhiều người, hãy đảm bảo rằng mọi người đều hiểu rõ các nguyên tắc bảo mật cơ bản, chẳng hạn như không tải lên tệp tin không rõ nguồn gốc, không sử dụng mật khẩu yếu, và không truy cập vào website từ các mạng công cộng không bảo mật.
Theo dõi các xu hướng bảo mật và lỗ hổng mới, đặc biệt là đối với các công nghệ mà website của bạn đang sử dụng.

Kết luận

Việc website bị khai thác SEO Black Hat (SEO Spam) là một vấn đề nghiêm trọng, nhưng nếu bạn thực hiện đúng các bước trên, bạn có thể khôi phục và bảo vệ website hiệu quả. Quan trọng hơn cả, hãy duy trì các biện pháp bảo vệ lâu dài để tránh bị tấn công lại trong tương lai.