Trang web WordPress của bạn có đang chuyển hướng người dùng đến các trang web độc hại không xác định không? Nếu có, thì trang web của bạn có thể bị tấn công. Hack chuyển hướng WordPress nổi tiếng là một trong những cách hack WP bị khai thác nhiều nhất bởi các hacker. Có một lý do đằng sau việc điều này được khai thác quá nhiều, hãy tìm hiểu thêm về nó bên dưới.
Các biến thể và triệu chứng của Hack chuyển hướng WordPress
'WordPress bị tấn công chuyển hướng' đến các miền có vấn đề không phải là một cách hack mới. Trong nhiều năm, tin tặc đã phát triển loại virus này để khiến nó trở nên tinh vi và khó phát hiện hơn đối với bạn. Dưới đây là một số biến thể của hack chuyển hướng WordPress:
Các loại tấn công | Các từ đồng nghĩa |
---|---|
Hack Chuyển hướng Cổ điển | Chuyển hướng bị tấn công đã có từ lâu nhất. Mỗi khi ai đó truy cập trang web của bạn, họ được chuyển hướng đến các liên kết đáng ngờ như trang dược phẩm, trang web người lớn, v.v. |
Chuyển hướng qua Kết quả Tìm kiếm | Khi trang web được mở bằng cách nhập URL vào trình duyệt, nó sẽ mở tốt. Nhưng khi được mở bằng cách tìm kiếm trên Google, nó sẽ chuyển hướng đến các trang web độc hại. |
Chuyển hướng WordPress dành riêng cho Thiết bị | Trang web chỉ chuyển hướng khi được mở từ thiết bị di động hoặc chỉ chuyển hướng khi được mở từ máy tính để bàn tùy thuộc vào loại phần mềm độc hại hiện có. |
Đẩy thông báo bị tấn công | Chúng tôi đã thấy điều này kể từ vài tháng trước, nơi tin tặc cũng hiển thị thông báo đẩy của trình duyệt cho khách truy cập của bạn. Thông thường, các thông báo đẩy này trỏ đến các trang web khiêu dâm. |
Chuyển hướng Địa lý Cụ thể | Trong một số trường hợp, một số khách truy cập của bạn có thể thấy chuyển hướng và một số khác thì không. Điều này có thể là do tin tặc lập trình phần mềm độc hại chỉ hoạt động cho một số khu vực địa lý nhất định. Nơi chính xác các chuyển hướng phần mềm độc hại cũng có thể được điều chỉnh theo vị trí địa lý bởi tin tặc. |
Các triệu chứng của Chuyển hướng bị tấn công WordPress:
- Sự chuyển hướng rõ ràng đến các trang web spam hoặc độc hại
- Kết quả tìm kiếm của Google cho trang web của bạn chứa đầy spam
- Thông báo đẩy chưa xác định trên trang web của bạn
- Mã javascript độc hại trong tệp index.php
- Mã chưa được xác định trong .htaccess
- Trang web WordPress chuyển hướng đến màn hình xác minh của con người
- Các tệp chưa được xác định trên máy chủ có tên vô nghĩa
- Liên kết bit.ly đáng ngờ:Đây là một thủ thuật mới được tin tặc sử dụng. Tin tặc đang tiêm bit.ly mã trên các trang web, là phiên bản rút gọn của URL độc hại thực sự gây ra chuyển hướng. Máy quét bảo mật thường không gắn cờ chúng.
Hiện tại, chúng tôi đang thấy các trường hợp trang web WordPress đang được chuyển hướng đến các liên kết như travelinskydream [.] ga, track.lowerskyactive và các trang lừa đảo qua outlook.
WordPress Spam Redirect:Làm thế nào mà trang web WordPress của bạn bị nhiễm?
Sự thật mà nói, có thể có hàng chục hoặc nhiều phương pháp sử dụng mà tin tặc có thể thực hiện vụ hack này. Một số trong số chúng được liệt kê dưới đây:
Hack chuyển hướng gần đây - Trang web WordPress đang chuyển hướng để tiêu hóa [.] com
Bằng cách khai thác lỗ hổng plugin (XSS)
Các lỗ hổng như Stored Cross-site Scripting (XSS) trong các plugin WordPress khiến tin tặc có thể thêm mã JavaScript độc hại vào trang web của bạn. Khi tin tặc biết rằng một plugin dễ bị tấn công XSS, họ sẽ tìm tất cả các trang web đang sử dụng plugin đó và cố gắng hack nó. Các plugin như Hỗ trợ trò chuyện trực tiếp của WordPress và Elementor Pro từng là mục tiêu của các vụ hack chuyển hướng như vậy.
Bằng cách chèn mã vào .htaccess
hoặc wp-config.php
tệp
Khi quét một trang web để tìm phần mềm độc hại, thường xuyên hơn không phải là .htaccess
và wp-config.php
các tệp bị bỏ qua bởi các plugin bảo mật miễn phí. Đối với các trang web WordPress chuyển hướng đến các trang web Dược phẩm, chúng tôi đã thấy rằng mã xấu được thêm vào .htaccess
các tệp được ngụy trang dưới dạng bất kỳ mã bình thường nào. Tin tặc đặt mã theo cách mà bạn thậm chí không thể tìm thấy mã này ẩn trong tệp trừ khi bạn cuộn nhiều sang bên phải. Điều này làm cho việc xác định và loại bỏ các hack chuyển hướng như vậy trở nên khó khăn hơn. Ngoài hai tệp này, bạn cũng nên kiểm tra tất cả các tệp cốt lõi của WordPress như functions.php
, header.php
, footer.php
, wp-load.php
, wp-settings.php
vv
Khi quét phần mềm độc hại trên trang web của khách hàng, chúng tôi đã tìm thấy mã sau được ẩn trong .htaccess
tập tin. Nó chuyển hướng khách truy cập trang web đến các trang web dược phẩm spam &nguy hiểm.
Bằng cách chèn JavaScript vào tiêu đề trang web
Một số plugin &chủ đề cho phép bạn thêm mã vào <head>
hoặc ngay trước </body>
nhãn. Điều này có thể hữu ích khi thêm mã JS cho Google Analytics, Facebook, Google Search Console, v.v. Chúng tôi đã thấy các tính năng như vậy bị tin tặc lạm dụng để chuyển hướng trang web WordPress.
Để gây khó khăn cho việc tìm kiếm, URL của trang web độc hại thường được chuyển đổi từ định dạng chuỗi sang các mã ký tự tương ứng. Mã được chuyển đổi trông giống như sau:
Bằng cách thêm chính họ làm quản trị viên ma cho wp-admin
Do lỗ hổng leo thang đặc quyền trong các plugin, đôi khi tin tặc có thể tạo người dùng quản trị ma hoặc giả mạo cho trang web của bạn. Sau khi tin tặc trở thành quản trị viên, họ có toàn quyền truy cập vào trang web của bạn và thêm các cửa hậu và mã chuyển hướng trên trang web của bạn.
Nhiễm trùng chuyển hướng WordPress ở đâu?
Tệp chủ đề &WordPress cốt lõi
Những kẻ tấn công có thể lây nhiễm trang web bằng cách chèn mã vào bất kỳ tệp cốt lõi nào trên WordPress. Kiểm tra các tệp này để tìm mã độc hại:
-
index.php
-
wp-config.php
-
wp-settings.php
-
wp-load.php
-
.htaccess
- Tệp chủ đề (
wp-content/themes/{themeName}/
)-
footer.php
-
header.php
-
functions.php
-
Tất cả các tệp JavaScript
Một số biến thể của phần mềm độc hại chuyển hướng lây nhiễm TẤT CẢ JavaScript (.js)
các tập tin trên các trang web. Điều này bao gồm các tệp JS trong wp-include
, plugin, thư mục chủ đề, v.v. Mã xáo trộn giống nhau thường được thêm vào đầu mỗi tệp JS.
Cơ sở dữ liệu WordPress
wp_posts
và wp_options
bảng là những bảng được nhắm mục tiêu nhiều nhất trong cơ sở dữ liệu WordPress. Liên kết trang web spam &mã JS thường được tìm thấy trong mỗi bài viết hoặc trang của bạn.
Giả mạo favicon.ico
tệp
Một số phần mềm độc hại tạo ra favicon.ico
giả mạo hoặc ngẫu nhiên .ico
các tệp trên máy chủ của bạn có chứa mã PHP độc hại bên trong chúng. Mã PHP độc hại này được biết là thực hiện các hành động nguy hiểm trên trang web như chèn URL, tạo tài khoản quản trị viên, cài đặt phần mềm gián điệp / trojan, tạo trang lừa đảo, v.v.
Hướng dẫn có liên quan - Loại bỏ Hack WordPress
Nó gây ô nhiễm máy chủ của bạn với các tệp thư rác. Các tệp này chứa mã độc hại bên trong chúng thay vì mã hình ảnh biểu tượng chính hãng. Bạn có thể xem một số mã được sử dụng để tải các tệp như vậy bên dưới:
@include "\x2f/sg\x62/fa\x76ico\x6e_54\x656ed\x2eico";
WordPress Redirect Hack - Quét phần mềm độc hại chuyển hướng WordPress:
Để bắt đầu với quy trình quét phần mềm độc hại, trước tiên bạn sẽ phải xác định loại tấn công chuyển hướng mà trang web của bạn đang gặp phải. Khi bạn đã thực hiện điều đó bằng cách tham khảo các bước được cung cấp ở trên, chúng tôi sẽ phải thực sự tìm thấy mã độc hại và xóa nó khỏi trang web của bạn.
Bạn có thể chọn giải pháp quét phần mềm độc hại tự động hoặc tiếp tục bằng phương pháp thủ công. Dưới đây là một số bước bạn có thể thực hiện để xóa các chuyển hướng độc hại khỏi trang web của mình và ngăn chặn việc hack chuyển hướng:
1. Sử dụng Trình quét phần mềm độc hại WordPress
Đối với người dùng WordPress không rành về kỹ thuật, giải pháp loại bỏ phần mềm độc hại như Astra sẽ là cách nhanh nhất và dễ dàng nhất để tìm, xóa và khắc phục sự cố chuyển hướng WordPress mà không làm hỏng trang web của bạn.
Nếu bạn muốn quét trang web của mình theo cách thủ công và tìm giải pháp dựa trên loại hack chuyển hướng mà bạn đang gặp phải, hãy làm theo từng bước được đưa ra phía trước.
2. Kiểm tra bằng các công cụ quét bảo mật trực tuyến
Để kiểm tra sơ bộ, bạn có thể quét trang web của mình bằng các công cụ như Trình quét bảo mật miễn phí của Astra và Duyệt web an toàn của Google. Nếu trang web của bạn có liên kết đến bất kỳ URL nào trong danh sách đen, bạn sẽ được cảnh báo bởi các công cụ này. Bạn cũng sẽ nhận được danh sách ngắn (không đầy đủ) một số đoạn mã độc hại được tìm thấy trong trang web của bạn. Để quét chi tiết, bạn sẽ phải quét tất cả các tệp trang web theo cách thủ công hoặc quét phần mềm độc hại.
3. Xác minh tính toàn vẹn của tệp lõi WordPress
Để xem liệu có bất kỳ mã độc hại nào đã được đưa vào các tệp WordPress cốt lõi hay không, bạn có thể chạy kiểm tra tính toàn vẹn của tệp bằng cách sử dụng WP-CLI. Để chạy các kiểm tra như vậy, hãy làm theo các bước sau:
- Đăng nhập vào máy chủ của bạn qua SSH
- Cài đặt WP-CLI
- Thay đổi thư mục thành vị trí bạn đã cài đặt WordPress
cd /var/www/html/
- Kiểm tra WordPress hiện tại của bạn bằng lệnh sau
wp core version
- Bây giờ, hãy chạy lệnh mà chúng tôi sẽ chạy để nhận danh sách các tệp có tổng tổng kiểm tra không khớp với bản phát hành WordPress ban đầu
wp core verify-checksums
- Nhìn vào kết quả từ lệnh trên. Một số cảnh báo là được. Tuy nhiên, nếu các tệp lõi không khớp với tổng kiểm tra, bạn có thể cần phải thay thế tệp lõi của mình hoặc khôi phục bản sao lưu.
Để xem sự khác biệt giữa tệp CMS gốc và tệp thực một cách trực quan, bạn có thể chạy quét toàn vẹn tệp lõi bằng Astra.
4. Xóa các cửa hậu ẩn và mã chuyển hướng
Tin tặc thường để lại một cách để vào lại trang web của bạn. Backdoor thường có trong các tệp được đặt tên giống như các tệp hợp pháp.
Bạn có thể tìm kiếm thủ công các tệp trên trang web của mình để tìm các hàm PHP độc hại phổ biến, chẳng hạn như eval
, base64_decode
, gzinflate
, preg_replace
, str_rot13
, eval
v.v ... Lưu ý rằng các chức năng này cũng được sử dụng bởi các plugin WordPress vì những lý do chính đáng, vì vậy hãy đảm bảo bạn tạo một bản sao lưu hoặc nhận trợ giúp để không vô tình làm hỏng trang web.
5. Xem có người dùng quản trị mới nào được thêm vào không
Đăng nhập vào khu vực quản trị WordPress của bạn và kiểm tra xem có người dùng quản trị viên ma / không xác định nào đã được thêm hay không. Tin tặc thường tự thêm mình làm quản trị viên để họ giữ quyền truy cập vào trang web của bạn và lây nhiễm lại nó ngay cả sau khi bạn gỡ bỏ bản hack chuyển hướng.
Nếu bạn tìm thấy bất kỳ người dùng nào như vậy, hãy nhanh chóng xóa tài khoản và thay đổi mật khẩu cho tất cả các tài khoản Quản trị viên khác.
Trong khi bạn đang ở đó, cũng hãy đảm bảo (tùy thuộc vào yêu cầu của trang web của bạn) rằng tùy chọn Tư cách thành viên có tên “Bất kỳ ai cũng có thể đăng ký” bị tắt và tùy chọn “Vai trò mặc định của người dùng mới” được đặt thành Người đăng ký.
6. Quét các tệp plugin &chủ đề
Kiểm tra các plugin giả mạo &dễ bị tấn công
Nhấp vào 'Plugin' trong bảng điều khiển bên trái để xem tất cả các plugin được cài đặt trên trang web của bạn. Nếu bạn thấy bất kỳ plugin nào không xác định, hãy xóa chúng.
Đối với các plugin có sẵn bản cập nhật, hãy kiểm tra bảng thay đổi plugin WordPress nếu phát hiện thấy bất kỳ vấn đề bảo mật nào gần đây. Ngoài ra, hãy quét các tệp plugin để tìm cửa hậu và mã chuyển hướng như đã đề cập trong bước # 4 ở trên.
Sử dụng các công cụ trực tuyến (Ví dụ:công cụ kiểm tra khác biệt) để so sánh các tệp plugin của bạn với các tệp gốc. Bạn có thể thực hiện việc này bằng cách tải xuống các plugin tương tự từ kho lưu trữ plugin của WordPress và chúng khớp với các plugin đã cài đặt của bạn với những plugin này.
Tuy nhiên, điều này cũng có một số hạn chế. Vì bạn sẽ sử dụng nhiều plugin nên không phải lúc nào cũng có thể so sánh từng tệp. Ngoài ra, nếu việc hack chuyển hướng là do không có ngày nào, thì rất có thể là bản cập nhật cho plugin không có sẵn.
7. Tìm kiếm cơ sở dữ liệu cho các liên kết độc hại
Bạn có thể tìm kiếm thủ công cơ sở dữ liệu WordPress của mình cho các hàm PHP độc hại phổ biến như chúng tôi đã làm để tìm các cửa hậu. Đăng nhập vào công cụ quản lý cơ sở dữ liệu như phpMyAdmin hoặc Adminer. Chọn cơ sở dữ liệu được trang web của bạn sử dụng và tìm kiếm các thuật ngữ như <script>
, eval
, base64_decode
, gzinflate
, preg_replace
, str_replace
, v.v.
Hãy thực sự cẩn thận trước khi bạn thực hiện bất kỳ thay đổi nào, vì ngay cả một thay đổi nhỏ chẳng hạn như không gian cũng có khả năng khiến trang web không thể tải hoặc hoạt động bình thường.
WordPress Hacked Redirect:Làm thế nào để làm sạch trang web của bạn?
Bây giờ bạn đã quét trang web của mình và đã xác định được mã độc hại, chúng tôi cần xóa nó.
- Bắt đầu bằng cách sao lưu các tệp và cơ sở dữ liệu trang web của bạn (ngay cả khi chúng có thể bị nhiễm).
- Đăng nhập vào máy chủ của bạn để bạn có thể xem và cách ly các tệp độc hại. Bạn có thể sử dụng Trình quản lý tệp được cung cấp trong cPanel hoặc các phương pháp truyền thống như (các) FTP hoặc SSH.
- Bây giờ, hãy chỉnh sửa các tệp đã được gắn cờ trong các bước trước. Xác định các bit phần mềm độc hại trong tệp và xóa mã. Nếu toàn bộ tệp độc hại, bạn có thể xóa toàn bộ tệp.
- Nếu bạn đã tìm thấy nhiều tệp có cùng một bit mã độc, bạn có thể sử dụng
find
&sed
Các lệnh Linux thông qua SSH. Hãy hết sức cẩn thận khi sử dụng những thay đổi này vì không thể hoàn tác các thay đổi.
Thí dụ:
find /path/to/your/folder -name “.js” -exec sed -i “s//ReplaceWithMalwareCode*//n&/g” ‘{}’ ;
- Sau khi tất cả các tệp và cơ sở dữ liệu đã được làm sạch, đừng quên xóa bộ nhớ cache của trang web
- Xác minh rằng trang web của bạn không còn chuyển hướng bằng cách truy cập trang web của bạn ở chế độ Duyệt web riêng tư / Ẩn danh.
Bạn muốn ngăn chặn hack chuyển hướng?
Với giải pháp Bảo vệ Trang web từng đoạt giải thưởng của Astra, bao gồm tường lửa trang web và trình quét phần mềm độc hại, trang web của bạn sẽ được quét kỹ lưỡng và được bảo vệ tốt không chỉ khỏi hack chuyển hướng WordPress mà còn khỏi backdoor, vi rút, trojan, v.v.
Vì phần mềm độc hại chuyển hướng rất phổ biến nên chúng tôi đã thực hiện một video chi tiết từng bước về cách khắc phục các lỗi chuyển hướng. Mặc dù tin tặc luôn cập nhật các phương pháp của họ để tránh lọt vào tầm ngắm của các công ty bảo mật, nhưng nguyên tắc cơ bản là giống nhau.
Ngoài ra, hãy xem hướng dẫn chi tiết của chúng tôi Cách khắc phục các cửa sổ bật lên không mong muốn trong trang web WordPress của bạn
Chuyển hướng độc hại trong WordPress:Kết luận
Tin tặc luôn phát triển các phương pháp của họ, khai thác các lỗ hổng chưa được thế giới biết đến và kết hợp nhiều cách khai thác khác nhau để tạo ra một bản hack. Mặc dù xóa bản hack là một phần, nhưng việc đảm bảo người dùng không bao giờ bị tấn công đòi hỏi phải có thứ gì đó lâu dài hơn - như bộ Astra’s Security 🙂