Gần đây, chúng tôi đã phát hiện ra các trang web mà tin tặc đã ẩn các tệp độc hại có tên tệp và nội dung tương tự như các tệp được tạo bởi các plugin WordPress phổ biến như WP Super Cache, Akismet hoặc Elementor. Mã này trong các tệp này có thể gây ra hack chuyển hướng, tạo tệp không xác định trên máy chủ, spam trang liên hệ hoặc bản tin của bạn hoặc thậm chí khiến trang web của bạn bị nhà cung cấp dịch vụ lưu trữ tạm ngưng. Để biết thêm về phần mềm độc hại ẩn này trong các plugin và cách xóa nó, hãy đọc tiếp.
Phần mềm độc hại ẩn này trong Plugin WP Super Cache là gì?
WP Super Cache là một plugin bộ nhớ đệm miễn phí được sử dụng rộng rãi cho người dùng WordPress với hơn 2 triệu lượt cài đặt đang hoạt động. Thông thường, plugin này tạo một tệp ở vị trí wp-content/advanced-cache.php . Bạn có thể tìm thấy mã của tệp này tại đây.
Tuy nhiên, trên một trang web mà các kỹ sư của chúng tôi đã làm sạch gần đây - đang sử dụng phiên bản 1.2 của plugin - họ đã tìm thấy một tệp có tên wp-includes/ms-advanced-cache.php , trông như thế này:
Mã trong tệp đó rất giống với tệp plugin chính hãng, wp-content/advanced-cache.php . Dưới đây là so sánh giữa hai tệp:
Tin tặc đang cố tình cố tình gây nhầm lẫn cho những người đang quét và sửa trang web này! Mã độc được ngụy trang dưới dạng một tệp hợp pháp. Mã này cũng không bị gắn cờ bởi hầu hết các trình quét phần mềm độc hại miễn phí vì nó rất giống với mã plugin chính hãng. Tuy nhiên, hacker đã bình luận ra hầu hết mã chính hãng. Mã duy nhất không được chú thích và hoạt động trong mã này là mã độc.
Phần mềm độc hại ẩn này làm gì?
Phần mềm độc hại ẩn này trong các plugin cho phép tin tặc ghi mã độc vào một tệp trên máy chủ trang web bị tấn công, sau đó được thực thi. Bằng cách này, tin tặc có thể chạy bất kỳ tập lệnh PHP độc hại nào trên máy chủ tương tự như lỗ hổng Thực thi mã từ xa (RCE).
Dưới đây là một số dấu hiệu trang web của bạn có thể bị ảnh hưởng bởi phần mềm độc hại này:
- Khách truy cập trang web của bạn đang được chuyển hướng đến các trang web spam (hack chuyển hướng WordPress)
- Các biểu mẫu liên hệ và bản tin trên trang web của bạn đang bị spam
- Bạn tìm thấy các tệp không xác định trên máy chủ
- Nhà cung cấp dịch vụ lưu trữ đã tạm ngưng trang web của bạn
- Trang web của bạn rất chậm
Để biết thêm về điều này, hãy xem bài viết của chúng tôi về Thực thi mã PHP trong WordPress. Hơn nữa, mã độc hại sẽ bị xóa ngay lập tức sau khi thực thi. Điều này có nghĩa là không có dấu vết của nó!
Nếu bạn tìm thấy phần mềm độc hại ẩn này trong trang web của mình, rất có thể có nhiều tệp bị nhiễm hơn có thể mở trang web của bạn để tấn công. Vì vậy, cách tốt nhất của hành động là xóa phần mềm độc hại càng sớm càng tốt và làm việc để ngăn chặn sự lây nhiễm đó trở lại.
Làm cách nào để xóa phần mềm độc hại ẩn khỏi WordPress?
1. Sao lưu.
Trước khi bắt đầu với quy trình dọn dẹp phần mềm độc hại, bạn nên tạo một bản sao lưu trang web hiện tại của mình cùng với cơ sở dữ liệu của nó. Trong trường hợp xảy ra sự cố, bạn có thể khôi phục phiên bản này. Đảm bảo sao lưu ở định dạng nén như tệp .zip.
2. Xóa các tệp bị ảnh hưởng.
Vì đây là một loại phần mềm độc hại ẩn trong các plugin, nên một nơi tốt để bắt đầu là xem xét phiên bản gốc của plugin từ kho lưu trữ plugin của WordPress và so sánh cả hai. Nếu bạn tìm thấy bất kỳ tệp đáng ngờ nào, hãy xóa chúng. Bạn cũng có thể thay thế các tệp plugin bằng cách tải xuống các phiên bản mới và cập nhật và xóa các phiên bản cũ.
Hướng dẫn liên quan - Loại bỏ phần mềm độc hại WordPress
3. Quét máy chủ web của bạn để tìm phần mềm độc hại và các tệp độc hại.
Bước này để đảm bảo rằng bạn không bỏ sót bất cứ điều gì. Bạn có thể sử dụng công cụ ‘Trình quét vi-rút’ trong cPanel do máy chủ lưu trữ web của bạn cung cấp, trình quét phần mềm độc hại hoặc nhận được đảm bảo dọn dẹp phần mềm độc hại với tính năng Dọn dẹp trang web WordPress của Astra. Chúng tôi giúp bạn tìm và chống lại bất kỳ mối đe dọa bảo mật nào mà bạn có thể gặp phải, bao gồm việc đưa vào SQL, phần mềm độc hại ăn cắp thẻ tín dụng, các cuộc tấn công lừa đảo, hack mật khẩu và lỗ hổng plugin - ngay cả phần mềm độc hại ẩn!
Bạn có thể ngăn chặn các cuộc tấn công tiếp theo như thế nào?
1. Cập nhật thường xuyên.
Tin tặc thường xuyên thích nghi và thay đổi phương pháp của chúng, vì vậy, việc dọn dẹp trang web của bạn chỉ một lần sẽ không hiệu quả bằng việc làm thường xuyên. Để giảm thiểu điều này, các nhà phát triển thường phát hành các bản cập nhật trong đó các lỗ hổng như vậy được vá. Vì vậy, cách nhanh nhất để đảm bảo bạn luôn cập nhật các cuộc tấn công này là thường xuyên cập nhật các plugin của bạn.
2. Quét phần mềm độc hại thường xuyên.
Một cách khác để ngăn trang web của bạn bị nhiễm phần mềm độc hại là lên lịch quét phần mềm độc hại thường xuyên và thỉnh thoảng kiểm tra bảo mật cho trang web của bạn.
3. Sử dụng tường lửa.
Lựa chọn tốt nhất để ngăn chặn sự lây nhiễm đó là sử dụng tường lửa. Tường lửa ứng dụng web (WAF) như Astra khi được cài đặt, về cơ bản sẽ dò tìm mọi tệp mới / đã xóa / sửa đổi đang được tạo trên máy chủ và cũng thường xuyên quét phần mềm độc hại. Bộ bảo mật của chúng tôi giúp tự động bảo mật trang web của bạn và hầu như vá lỗi phần mềm bằng cách ngăn chặn các yêu cầu độc hại đến trang web của bạn. Điều này có nghĩa là bạn không phải lo lắng về phần mềm độc hại hoặc bị tấn công lần nữa!
Giới thiệu về Astra Security Suite
Astra là bộ bảo mật web phải có để chống lại tin tặc, các mối đe dọa từ internet &bot cho bạn. Chúng tôi cung cấp bảo mật chủ động cho các trang web của bạn chạy các CMS phổ biến như WordPress, OpenCart, Magento, v.v. Đội ngũ bảo mật của chúng tôi luôn sẵn sàng phục vụ 24 × 7 suốt năm để giúp bạn trả lời tất cả các câu hỏi của mình.