Computer >> Hướng Dẫn Máy Tính >  >> Lập Trình >> HTML

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

Trang web của bạn có hoạt động kỳ lạ không? Chuyển hướng khách truy cập đến các trang web không đáng tin cậy, spam trong kết quả tìm kiếm của bạn hoặc thậm chí điều gì đó đơn giản như mã hiển thị trên đầu trang hoặc chân trang của trang web của bạn.

Quét trang web của bạn để tìm phần mềm độc hại ngay lập tức nếu bạn nghi ngờ rằng trang web WordPress của mình bị tấn công.

  • Tin xấu là trang web của bạn có thể bị tấn công.
  • Tin tốt là vấn đề này có thể sửa được.
  • Tin vui là bạn đã tìm thấy tài nguyên tốt nhất để giúp bạn khôi phục trang web của mình.

Chúng tôi đã dọn sạch hơn 20.000 trang web WordPress bị tấn công. Chúng tôi đã thấy gần như mọi kiểu hack.

Quan trọng hơn, chúng tôi sẽ giúp bạn khôi phục trang web của mình và đảm bảo trang web được bảo vệ khỏi bị tổn hại thêm.

TL;DR: Quét trang web của bạn miễn phí với MalCare để xác nhận xem WordPress của bạn có bị hack hay không. MalCare sẽ tìm và loại bỏ mọi dấu vết của vụ hack chỉ bằng một cú nhấp chuột. Hãy nhớ rằng, các vụ hack sẽ gây ra thiệt hại theo cấp số nhân nếu chúng tồn tại lâu hơn trên trang web WordPress của bạn.

Hiểu cách khôi phục hack WordPress

Quá trình khôi phục sau vụ hack WordPress bắt đầu bằng việc hiểu rõ nguyên nhân các trang web bị tấn công ngay từ đầu—và ý nghĩa của việc khắc phục một trang web WordPress bị tấn công.

Đây là quy trình gồm 4 bước:

  • Quét trang web của bạn để tìm mã hack (bao gồm mọi cửa hậu)
  • Dọn sạch bản hack WordPress
  • Đảo ngược mọi thiệt hại do vụ hack gây ra
  • Ngăn chặn các vụ hack WordPress trong tương lai xảy ra
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

Các vụ tấn công gây ra tổn thất hàng triệu USD cho các doanh nghiệp và cá nhân . Chúng tôi đã thấy các trang web bị xóa giao diện, các trang web chứa đầy các trang và liên kết spam, thứ hạng SEO bị sập và thậm chí cả các vấn đề pháp lý.

Tệ hơn nữa, bạn có thể chi rất nhiều tiền để dọn dẹp một trang WordPress bị tấn công và nó sẽ xuất hiện trở lại vào ngày hôm sau.

Và cuối cùng, các vụ hack ngày càng trở nên tồi tệ hơn theo cấp số nhân . Tin tặc, khi có quyền kiểm soát trang web của bạn, sẽ đánh cắp dữ liệu, đánh cắp tài nguyên và sử dụng trang web của bạn để hack các trang web khác. Nhiều máy chủ web đình chỉ tài khoản vì lý do này.

💡 Vì vậy, bạn cần hành động nhanh chóng, dứt khoát và chọn cách hiệu quả nhất để khắc phục trang WordPress bị hack của mình. Có rất nhiều tùy thuộc vào nó.

Bước 1. Quét sâu trang web WordPress của bạn để tìm các bản hack

Quét trang web của bạn miễn phí với MalCare để xác nhận xem WordPress của bạn có bị hack hay không. Bạn sẽ có câu trả lời rõ ràng về phần mềm độc hại trên trang web của mình. 

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

Chúng tôi khuyên dùng MalCare vì một số lý do, nhưng chủ yếu là vì chúng tôi đã thấy và xóa sạch hàng nghìn vụ hack khỏi các trang web. Quản trị viên trang web hoảng sợ gửi email cho chúng tôi hàng tuần vì họ không thể đăng nhập vào trang web của mình hoặc máy chủ web của họ đã tạm ngưng tài khoản của họ do phát hiện thấy phần mềm độc hại.

Máy quét của MalCare hoàn toàn miễn phí sử dụng. Sau khi có báo cáo kết luận về việc trang web của bạn có bị tấn công hay không, bạn có thể nâng cấp để sử dụng tính năng tự động làm sạch nhằm loại bỏ phần mềm độc hại ngay lập tức khỏi các tệp và cơ sở dữ liệu. 

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

Tại sao nên sử dụng MalCare, nơi có rất nhiều trình quét phần mềm độc hại?

MalCare không dựa vào việc so khớp tệp để xác định phần mềm độc hại nhưng có thuật toán tinh vi giúp kiểm tra mã cho hơn 100 tín hiệu trước khi đánh dấu nó là an toàn hay nguy hiểm.

Các plugin bảo mật khác sử dụng tính năng khớp tệp để xác định phần mềm độc hại. Máy quét kiểm tra mã phụ dựa trên cơ sở dữ liệu về chữ ký hack. Nếu nó tìm thấy kết quả trùng khớp thì đó được coi là phần mềm độc hại.

Thật không may, đây là một quá trình thiếu sót, dẫn đến kết quả dương tính giả và bỏ sót phần mềm độc hại. Hãy tưởng tượng, có một bản hack mới. Chữ ký rõ ràng sẽ không có trong cơ sở dữ liệu và cơ chế bị lỗi ngay tại đó.

Tại sao bạn cần quét sâu trang web của mình?

Vì có nhiều kiểu tấn công khác nhau nên phần mềm độc hại có thể ở bất kỳ nơi nào, có nhiều biến thể và có thể biểu hiện theo nhiều cách khác nhau .

Ví dụ:một trong những biến thể của hack chuyển hướng WordPress lây nhiễm vào mọi bài đăng và trang trên một trang web—đôi khi có tới hàng trăm nghìn trang.

Ngoài ra, các vụ hack không thể đoán trước được—hay đúng hơn là chúng được thiết kế để không thể đoán trước được. Tin tặc muốn gây nhầm lẫn cho quản trị viên để giấu phần mềm độc hại càng lâu càng tốt. Do đó phần mềm độc hại có thể khiến các trang web hoạt động kỳ lạ nhưng không phải lúc nào cũng vậy .

Ví dụ:quản trị viên nhìn thấy một chuyển hướng độc hại một lần và sau đó không bao giờ nữa. Bạn có thể nghĩ rằng tường lửa đang gặp trục trặc. Có thể một ngày nào đó bạn sẽ thấy một cửa sổ bật lên quảng cáo spam. Đó có phải là người quản lý quảng cáo của bạn không?

Chỉ đủ để khiến bạn đặt câu hỏi liệu đó là lỗi hay do bạn tưởng tượng.

💡 Ngay cả khi bạn đã thấy một số triệu chứng của một trang web WordPress bị tấn công, chúng không phải là dấu hiệu thuyết phục về một vụ hack. Cách duy nhất để biết liệu WordPress của bạn có bị hack hay không là quét trang web của bạn.  

Các cách khác để quét trang web của bạn

Trình quét phần mềm độc hại giao diện người dùng trực tuyến

Cách thay thế thứ hai để quét trang web của bạn là sử dụng trình quét bảo mật trực tuyến. Hãy nhớ rằng các trình quét bảo mật trực tuyến kém hiệu quả hơn các plugin bảo mật WP. 

Vấn đề với máy quét giao diện người dùng là chúng chỉ có quyền truy cập vào các phần hiển thị công khai trên trang web của bạn. Điều tốt là có mã không hiển thị công khai vì bạn không muốn mọi người trên Internet đều nhìn thấy tệp cấu hình của mình.

Tuy nhiên, thật không may, phần mềm độc hại không đủ chu đáo để chỉ tấn công các tệp hiển thị công khai . Nó có thể ẩn ở bất cứ đâu và trên thực tế, sẽ ẩn ở những nơi mà máy quét giao diện người dùng không thể tiếp cận. Đó là lý do tại sao máy quét cấp máy chủ hoạt động hiệu quả nhất. 

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

💡 Lời khuyên của chúng tôi là sử dụng trình quét bảo mật trực tuyến làm dòng chẩn đoán đầu tiên . Nếu kết quả là tích cực thì đó là điểm khởi đầu tốt để chuyển sang công việc dọn dẹp. Tuy nhiên, hãy thận trọng:đừng chỉ dựa vào danh sách các tệp bị tấn công mà máy quét cung cấp cho bạn. Đó chỉ là những cái mà máy quét có thể gắn cờ. Có khả năng còn rất nhiều trường hợp mã độc khác.

Quét phần mềm độc hại theo cách thủ công

Mặc dù chúng tôi đưa phần này vào bài viết nhưng chúng tôi đặc biệt khuyên bạn không nên cố gắng xử lý phần mềm độc hại theo cách thủ công—quét hoặc dọn dẹp. 

Một plugin bảo mật tốt, như MalCare, thực sự là lựa chọn phù hợp vì nó sẽ thực hiện mọi thứ trong phần này nhưng nhanh hơn và tốt hơn. Hãy nhớ rằng vụ hack WordPress ngày càng trở nên tồi tệ hơn nếu nó không được giám sát lâu hơn. 

Quét trang web của bạn để tìm phần mềm độc hại về cơ bản có nghĩa là tìm kiếm mã rác trong các tệp và cơ sở dữ liệu. Chúng tôi biết rằng 'mã rác' có rất ít ý nghĩa về mặt hướng dẫn, nhưng các vụ hack có nhiều dạng khác nhau. Họ mỗi người nhìn và cư xử khác nhau. 

Chúng tôi đã cung cấp các ví dụ mã về các vụ hack trong phần sau, nhưng chúng tôi phải nhấn mạnh rằng chúng chỉ mang tính biểu thị. 

Nếu bạn chọn quét thủ công trang web của mình để tìm mã độc, hãy kiểm tra các tệp được sửa đổi gần đây và đảm bảo xem xét cả tệp và cơ sở dữ liệu. Một lời cảnh báo ở đây:thời gian cập nhật cũng có thể được thay đổi. Một hacker thông minh có thể đặt dấu thời gian cập nhật thành một thứ hoàn toàn khác.

💡 Mẹo: Giữ nhật ký các hành động của bạn khi quét trang web của bạn. Nó giúp ích trong quá trình gỡ lỗi sau này, trong trường hợp trang web của bạn chỉ hoạt động kỳ lạ khi được truy cập bằng thiết bị di động. Hoặc nếu bạn thấy thẻ tập lệnh trông đáng ngờ ở một trong các tệp.

Các cách khác để kiểm tra hack

Có một số cách kiểm tra khác mà bạn có thể sử dụng để xác định xem trang web của mình có bị tấn công hay không. Một số triệu chứng này hơi trùng lặp với các triệu chứng được liệt kê ở trên, nhưng chúng tôi đưa chúng vào đây nếu triệu chứng đó không xuất hiện một cách tự nhiên. 

  • Đăng nhập từ trình duyệt ẩn danh . Nếu bạn thấy hiện tượng một lần, chẳng hạn như chuyển hướng, nhưng không thể sao chép hiện tượng đó, hãy thử đăng nhập từ một máy tính khác hoặc trình duyệt ẩn danh. Tin tặc đặt cookie để tạo ảo giác rằng bất kỳ điểm bất thường nào bạn nhìn thấy trên trang web của mình chỉ là:sự bất thường chứ không phải dấu hiệu của vụ hack. 
  • Thử tìm kiếm trang web của bạn trên Google và nhấp qua từ đó. Trang web của bạn có tải chính xác không? Còn nếu bạn đặt URL trực tiếp vào trình duyệt thì sao? Điều gì xảy ra sau đó? Ghi lại những gì bạn đã làm để tái tạo các triệu chứng. Bạn đã đăng nhập từ thiết bị di động hay bạn đang nhấp qua từ kết quả tìm kiếm của Google? Những manh mối này giúp xác định vị trí vụ hack ở một mức độ nào đó.
  • Kiểm tra số trang trên trang web của bạn . Bạn có ý tưởng gần đúng về số lượng trang được lập chỉ mục trên trang web của mình. Google trang web của bạn với trang web toán tử tìm kiếm và kiểm tra số lượng kết quả. Nếu số lượng kết quả nhiều hơn bạn mong đợi, điều đó có nghĩa là các trang spam trên trang web của bạn đang được lập chỉ mục. 
  • Kiểm tra nhật ký hoạt động. Nhật ký hoạt động cho bạn biết mỗi người dùng đang làm gì. Kiểm tra nhật ký hoạt động để tìm người dùng mới hoặc những người đột ngột tăng đặc quyền vai trò, chẳng hạn như chuyển từ Nhà văn sang Quản trị viên. Tìm tên người dùng hoặc địa chỉ email lạ.
  • Tìm kiếm các xu hướng lạ trong dữ liệu phân tích. Ngoài thực tế là các vụ hack có thể khiến Google hủy lập chỉ mục hoàn toàn trang web của bạn, còn có một số dấu hiệu cảnh báo sớm mà bạn có thể tìm kiếm. Lưu lượng truy cập tăng đột biến từ các vị trí không mong đợi trong thời gian ngắn. Đồng thời kiểm tra tỷ lệ tương tác đã thay đổi đột ngột. Những điều bất thường phải luôn luôn được điều tra.
  • Hãy tìm các plugin giả mạo. Trong thư mục /wp-content của trang web, bạn sẽ chỉ thấy các plugin và chủ đề mà bạn đã cài đặt. Bất kỳ cái tên kỳ lạ nào có tên ngắn, vô nghĩa đều là lựa chọn tốt. Các plugin giả mạo thường có một tệp duy nhất trong thư mục hoặc nhiều nhất là hai tệp.
  • Kiểm tra tệp .htaccess. Tệp .htaccess chịu trách nhiệm điều hướng lưu lượng truy cập. Ví dụ:nếu trang web của bạn đang được truy cập từ thiết bị di động, .htaccess sẽ tải lên phiên bản di động của trang web thay vì phiên bản dành cho máy tính để bàn. Nếu bạn quen thuộc với các tệp WordPress cốt lõi, hãy xem tệp .htaccess. Tác nhân người dùng có tải lên đúng tệp không? Các phần mềm độc hại như hack spam SEO hay hack từ khóa tiếng Nhật sẽ làm thay đổi mã tác nhân người dùng googlebot. Thông thường nhất, nó sẽ tải lên tệp index.php, nhưng nếu nó bị tấn công và khách truy cập nhấp chuột từ Google, một trang web hoàn toàn khác sẽ tải thay vì trang web của bạn. Truy cập trực tiếp vào trang web của bạn, với URL trong thanh địa chỉ, sẽ tải lên trang web chính xác vì tác nhân người dùng được phát hiện không phải là googlebot.
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Tệp .htaccess có phần mềm độc hại chuyển hướng

Bước 2. Làm sạch trang WordPress bị tấn công của bạn

Chúng tôi khuyên bạn nên sử dụng MalCare để dọn sạch trang web của mình khỏi các vụ hack. Cho đến nay, đây là plugin bảo mật tốt nhất cho các trang web WordPress và sử dụng một hệ thống thông minh để chỉ loại bỏ phần mềm độc hại một cách phẫu thuật trong khi vẫn giữ cho trang web của bạn hoàn toàn nguyên vẹn. 

Để sử dụng MalCare để dọn dẹp hack WordPress, tất cả những gì bạn cần làm là: 

  1. Cài đặt MalCare trên trang web của bạn
  2. Chạy quét và chờ kết quả
  3. Nếu kết quả quét cho thấy bị hack, hãy nâng cấp để tự động dọn sạch phần mềm độc hại
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

MalCare phẫu thuật loại bỏ phần mềm độc hại khỏi trang web của bạn. Quá trình dọn dẹp diễn ra trong vài phút và trang web của bạn sẽ nguyên sơ trở lại. 

Tại sao chúng tôi khuyên dùng MalCare? 

Có rất nhiều plugin bảo mật có sẵn cho WordPress, nhưng chúng tôi khuyên dùng MalCare hơn tất cả các plugin khác. Chúng tôi có vẻ thiên vị nhưng ý kiến ​​của chúng tôi dựa trên thử nghiệm và nghiên cứu sâu rộng. MalCare là plugin bảo mật tốt nhất vì một số lý do: 

  • Chỉ xóa các bản hack khỏi tệp và cơ sở dữ liệu, giữ nguyên mã và dữ liệu tốt
  • Hoạt động trên tất cả các loại phần mềm độc hại, từ loại cũ đến loại mới
  • Phát hiện các cửa sau mà tin tặc để lại và xử lý chúng
  • Hoạt động ngay lập tức; không cần đợi khôi phục trang web bị tấn công
  • Bao gồm khả năng loại bỏ phần mềm độc hại không giới hạn bởi các chuyên gia bảo mật
  • Tự động hóa các tác vụ quan trọng sau dọn dẹp để ngăn ngừa tái nhiễm

Các cách khác để khắc phục trang WordPress bị hack

Thuê chuyên gia bảo mật hoặc dịch vụ bảo trì

Nếu trang web của bạn đã bị tấn công một thời gian, máy chủ web có thể đã tạm ngưng tài khoản của bạn và đưa trang web của bạn vào trạng thái ngoại tuyến. Do đó, không thể cài đặt plugin bảo mật để xóa bản hack. 

Đừng lo lắng, trong những trường hợp này, hãy liên hệ với dịch vụ loại bỏ phần mềm độc hại khẩn cấp của chúng tôi để khắc phục trang WordPress bị tấn công. Một chuyên gia bảo mật tận tâm sẽ hướng dẫn bạn cách nói chuyện với máy chủ web của bạn để đưa IP vào danh sách cho phép nhằm lấy lại quyền truy cập và từ đó cài đặt plugin để dọn dẹp. 

Nếu máy chủ web của bạn từ chối đưa IP vào danh sách trắng vì chính sách của họ thì chuyên gia sẽ sử dụng SFTP để xóa phần mềm độc hại trên trang web của bạn trong khoảng thời gian ngắn nhất. 

Bạn cũng có thể chọn hợp tác với chuyên gia bảo mật WordPress bên ngoài MalCare. Tuy nhiên, xin lưu ý rằng các chuyên gia bảo mật rất tốn kém và họ không đảm bảo khả năng tái nhiễm. Nhiều plugin bảo mật thực hiện dọn dẹp thủ công tính phí cho mỗi lần dọn dẹp, đây là chi phí tăng lên rất nhanh nếu bị lây nhiễm nhiều lần. 

Dọn dẹp các phần mềm lây nhiễm WordPress bị tấn công theo cách thủ công

Có thể loại bỏ phần mềm độc hại theo cách thủ công khỏi trang web của bạn. Trên thực tế, trong những trường hợp cực đoan, đôi khi nó là lựa chọn khả thi duy nhất. Tuy nhiên, chúng tôi vẫn tiếp tục đưa ra lời khuyên chống lại điều đó và chúng tôi đã mở rộng một chút về các lý do bên dưới. 

Nếu bạn chọn dọn dẹp trang web WordPress bị tấn công theo cách thủ công thì bạn cần phải có một số điều kiện tiên quyết để thành công: 

  • Bạn hiểu rõ về WordPress. Cấu trúc tệp, cách các tệp cốt lõi hoạt động, cách cơ sở dữ liệu tương tác với trang web của bạn. Bạn cũng sẽ cần biết mọi thứ về trang web của mình:plugin, chủ đề, người dùng, v.v. Phần mềm độc hại có thể ẩn trong bất kỳ tệp nào, kể cả những tệp quan trọng và nếu bạn chỉ xóa tệp, bạn có thể phá hủy trang web của mình.
  • Bạn cần có khả năng đọc mã và hiểu logic mã. Ví dụ:xóa tệp bị tấn công khỏi thư mục gốc là một điều tốt. Nhưng nếu tệp .htaccess của bạn đang tải tệp đó khi đăng nhập thì khách truy cập của bạn sẽ thấy trang 404.

    Đây không phải là một điều dễ dàng để biết và nhiều máy quét tạo ra kết quả dương tính giả vì chúng không thể phân biệt giữa mã tùy chỉnh và mã xấu.

  • Làm quen với các công cụ cPanel, như Trình quản lý tệp và phpMyAdmin. Ngoài ra, hãy đảm bảo bạn có quyền truy cập SFTP vào trang web của mình. Máy chủ web của bạn có thể giúp lấy thông tin đó.
1. Truy cập vào trang web của bạn

Nếu máy chủ web đã tạm ngưng tài khoản của bạn hoặc đưa trang web của bạn vào trạng thái ngoại tuyến, bạn cần lấy lại quyền truy cập vào tài khoản đó. Nếu bạn sử dụng SFTP thì đây không phải là trở ngại nhưng tốt nhất bạn nên yêu cầu họ đưa IP của bạn vào danh sách trắng để bạn có thể xem trang web ít nhất. 

Ngoài ra, máy chủ web đã tạm ngưng tài khoản của bạn sau khi quét trang web của bạn và phát hiện phần mềm độc hại. Bạn có thể liên hệ với bộ phận hỗ trợ của họ để yêu cầu danh sách các tệp bị nhiễm. Máy quét giao diện người dùng cũng sẽ cung cấp cho bạn thông tin này, mặc dù nó có thể không hoàn toàn chính xác và/hoặc có kết quả dương tính giả.

Trong trường hợp trang web của bạn không còn khả dụng nữa—vì một số máy chủ xóa hoàn toàn các trang web bị tấn công—bạn sẽ phải bắt đầu quá trình này bằng một bản sao lưu.

2. Sao lưu trang web của bạn

Chúng tôi không thể nhấn mạnh đủ điều này:vui lòng sao lưu trang web của bạn trước khi thực hiện bất kỳ điều gì với trang web đó. Một trang web bị tấn công còn tốt hơn nhiều so với việc không có trang web nào. 

Thứ nhất, mọi thứ có thể trở nên tồi tệ khi mọi người tìm hiểu mã trang web và thường làm như vậy. Đó là khi sao lưu tiết kiệm trong ngày. Bạn có thể khôi phục trang web và bắt đầu lại. 

Thứ hai, máy chủ web có thể xóa hoàn toàn trang web của bạn nếu nó bị hack. Họ có quyền lợi nhất định trong việc đảm bảo không có phần mềm độc hại trên máy chủ của họ và họ sẽ làm bất cứ điều gì cần thiết để đảm bảo trường hợp đó xảy ra. 

Nếu một máy chủ web xóa trang web của bạn, khả năng họ có bản sao lưu là rất nhỏ. Việc nhận được bản sao lưu đó từ sự hỗ trợ của họ thậm chí còn dễ dàng hơn. Chúng tôi thực sự ủng hộ việc luôn luôn có bản sao lưu của riêng bạn. 

Chúng tôi cũng khuyên bạn nên sử dụng plugin sao lưu WordPress cho các tệp lớn. Chúng tôi đã thấy quá trình khôi phục không thành công với các bản sao lưu trên máy chủ web. Khi trang web của bạn bị tấn công và bạn đang dọn dẹp nó, bạn muốn giảm độ phức tạp và khả năng thất bại càng nhiều càng tốt.

3. Tải xuống các bản cài đặt sạch lõi, plugin và chủ đề WordPress

Lập danh sách các phiên bản có trên trang web của bạn và tải xuống các bản cài đặt sạch của lõi, plugin và chủ đề từ kho lưu trữ WordPress. Nếu bạn không sử dụng phiên bản mới nhất của bất kỳ thứ gì, hãy đảm bảo tải xuống phiên bản đã được cài đặt trên trang web của bạn. Đây là một bước quan trọng vì trước tiên bạn sẽ sử dụng các bản cài đặt để so sánh các tệp và mã. 

Khi bạn đã tải xuống và giải nén các bản cài đặt, hãy so sánh các tệp và thư mục với các tệp và thư mục trên trang web của bạn. Để tăng tốc quá trình so sánh một chút, hãy sử dụng công cụ kiểm tra khác biệt trực tuyến để tìm ra sự khác biệt trong mã. 

Ngẫu nhiên, việc khớp tệp này là cơ chế chính mà hầu hết các máy quét sử dụng. Đây không phải là một cơ chế hoàn hảo vì bạn có thể có mã tùy chỉnh quan trọng sẽ không hiển thị trong các bản cài đặt sạch. Vì vậy, bây giờ không phải là lúc để xóa. Ghi nhiều ghi chú và đánh dấu những tập tin và thư mục nào khác với bản gốc. 

Đây cũng là một cách hay để phát hiện xem trang web của bạn có cài đặt plugin giả mạo hay không. Bạn sẽ không tìm thấy các plugin giả mạo trên kho lưu trữ và chúng luôn không tuân theo quy ước đặt tên plugin và có rất ít tệp (đôi khi chỉ một) trong thư mục. 

Lưu ý:Bạn có đang sử dụng plugin hoặc chủ đề không có giá trị không? Việc cài đặt phần mềm không có giá trị cũng giống như trải thảm đỏ cho phần mềm độc hại. Khi trả tiền cho các plugin cao cấp, bạn sẽ nhận được phần mềm được bảo trì, được hỗ trợ trong trường hợp có sự cố và được đảm bảo về mã an toàn. Phần mềm không có giá trị thường đi kèm với các cửa sau hoặc thậm chí là phần mềm độc hại.

Lời nhắc nhanh để sao lưu trang web của bạn, nếu bạn chọn bỏ qua bước này trước đó. Đây là thời gian đi. Xóa phần mềm độc hại khỏi trang web của bạn là bước khó nhất (và đáng sợ nhất) trong quy trình này. 

4. Cài đặt lại lõi WordPress

Sử dụng Trình quản lý tệp trong cPanel hoặc SFTP để truy cập các tệp trang web của bạn và thay thế hoàn toàn các thư mục sau: 

  • /wp-admin
  • /wp-includes

Bạn có thể thực hiện việc này mà không gặp vấn đề gì vì không có nội dung hoặc cấu hình nào của bạn được lưu trữ trong các thư mục này. Trên thực tế, không nên có bất kỳ thứ gì trong các thư mục này khác với các bản cài đặt sạch. 

Tiếp theo, hãy kiểm tra các tệp sau để tìm mã lạ: 

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Tệp index.php bị tấn công

Trong phần sau, chúng ta sẽ nói về từng vụ hack và phần mềm độc hại cũng như cách chúng xuất hiện trong các tệp và thư mục. Phần mềm độc hại có thể biểu hiện theo nhiều cách khác nhau và không có cách nào chắc chắn để xác định chúng một cách trực quan. Bạn có thể gặp lời khuyên trực tuyến để tìm kiếm các tập lệnh PHP có vẻ ngoài kỳ lạ trong các tệp này và loại bỏ chúng. Tuy nhiên, đây là lời khuyên rất tồi và người dùng đã đổ xô đến nhóm hỗ trợ của chúng tôi sau khi trang web của họ bị hỏng. MalCare kiểm tra từng tập lệnh để đánh giá hành vi của nó trước khi xác định xem nó có độc hại hay không. 

Nói về các tệp PHP, /wp-uploads không nên có bất kỳ tệp nào. Vì vậy, bạn có thể xóa bất kỳ thứ gì bạn thấy ở đó mà không bị trừng phạt. 

Vì vậy, chúng tôi thực sự không thể dự đoán bạn có thể thấy mã độc nào trong bất kỳ tệp nào trong số này. Vui lòng tham khảo danh sách đầy đủ các tệp WordPress để hiểu chức năng của từng tệp, khả năng kết nối của chúng với nhau và liệu các tệp trên trang web của bạn có hoạt động khác nhau hay không. Đây là nơi mà sự hiểu biết về logic mã sẽ vô cùng hữu ích. 

Nếu toàn bộ tệp bị lỗi, lời khuyên của chúng tôi là không nên xóa nó ngay lập tức. Thay vào đó, hãy đổi tên phần mở rộng tệp từ PHP thành một tên khác, chẳng hạn như phptest, để nó không thể chạy được nữa. Nếu đó là mã trong một tệp hợp pháp thì bạn có thể xóa nó vì bạn có bản sao lưu nếu có sự cố.

5. Làm sạch các thư mục plugin và chủ đề

Thư mục /wp-content có tất cả các tệp plugin và chủ đề. Sử dụng các bản cài đặt sạch mà bạn đã tải xuống, bạn có thể thực hiện kiểm tra tương tự như với cài đặt lõi WordPress và tìm kiếm sự khác biệt trong mã.

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

Chúng tôi chỉ muốn chỉ ra rằng những thay đổi không hẳn là xấu. Các tùy chỉnh sẽ hiển thị dưới dạng thay đổi trong mã. Nếu bạn đã điều chỉnh cài đặt và cấu hình để plugin hoặc chủ đề hoạt động như vậy trên trang web của mình, bạn sẽ thấy ít nhất những thay đổi nhỏ. Nếu bạn không gặp vấn đề gì khi xóa hoàn toàn tùy chỉnh, thì hãy thay thế tất cả các tệp plugin và chủ đề bằng các bản cài đặt mới. 

Nói chung, mọi người không sẵn lòng xóa bỏ bất kỳ công việc nào họ đã thực hiện, với lý do chính đáng. Vì vậy, một phương pháp dài hơn là kiểm tra mã để tìm sự khác biệt. Sẽ rất hữu ích nếu biết từng tập lệnh làm gì và nó tương tác như thế nào với phần còn lại của trang web. Các tập lệnh phần mềm độc hại có thể tồn tại vô hại trong một tệp cho đến khi chúng được thực thi bởi một tập lệnh khác trông hoàn toàn vô hại ở một vị trí hoàn toàn khác. Khía cạnh nhóm thẻ này của phần mềm độc hại là một trong những lý do khiến việc dọn dẹp trang web theo cách thủ công rất khó khăn. 

Một khía cạnh khác của việc dọn dẹp các plugin và chủ đề là có thể có rất nhiều plugin và chủ đề. Đi qua từng cái là một quá trình tốn nhiều công sức và thời gian. Lời khuyên của chúng tôi là hãy bắt đầu ở những nơi điển hình nhất để tìm thấy phần mềm độc hại.  

Trong các tệp của chủ đề đang hoạt động, hãy kiểm tra: 

  • header.php
  • footer.php
  • functions.php
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn wp-vcd phần mềm độc hại trong tệp tin.php.

Trong phần chẩn đoán, chúng tôi đã nói về việc nghiên cứu xem có bất kỳ plugin nào được cài đặt có lỗ hổng được phát hiện gần đây hay không. Chúng tôi khuyên bạn nên bắt đầu với những tập tin đó. Các câu hỏi cần đặt ra ở đây là: 

  • Gần đây có cái nào bị hack không
  • Có cái nào chưa được cập nhật không

Bạn có tìm thấy bất kỳ plugin giả mạo nào ở bước trước không? Những thứ bạn có thể xóa mà không cần suy nghĩ kỹ. Mặc dù vậy, đừng ngừng chăm sóc điều đó! Cuộc săn lùng phần mềm độc hại vẫn chưa kết thúc. 

Hãy nhớ rằng phần mềm độc hại được coi là trông bình thường và sẽ bắt chước tên tệp hợp pháp. Chúng tôi đã gặp một số con sói đội lốt cừu, trong đó các chủ đề WordPress gốc như Twentysixteen hoặc Twentytwelve có những lỗi chính tả nhỏ khiến chúng trông gần giống nhau. 

Quá trình cài đặt sạch sẽ giúp so sánh và nhận dạng nhưng nếu bạn không chắc chắn, hãy liên hệ với nhà phát triển để được hỗ trợ.

6. Làm sạch phần mềm độc hại khỏi cơ sở dữ liệu

Trích xuất cơ sở dữ liệu từ bản sao lưu của bạn hoặc nếu bạn chưa lấy cơ sở dữ liệu, hãy sử dụng phpMyAdmin để tải xuống cơ sở dữ liệu của bạn.

  • Kiểm tra các bảng để tìm bất kỳ nội dung hoặc tập lệnh kỳ lạ nào trong các trang và bài đăng hiện có của bạn. Bạn biết những thứ này trông như thế nào và hoạt động như thế nào khi chúng tải trên trang web của bạn.
  • Hãy tìm cả những trang và bài viết mới được tạo. Những thứ này sẽ không hiển thị trong bảng điều khiển wp-admin của bạn. 

Trong một số trường hợp, chẳng hạn như hack chuyển hướng, bảng wp_options sẽ có một URL lạ trong thuộc tính site_URL. Nếu phần mềm độc hại chuyển hướng có trong bảng wp_posts, nó sẽ có trong mỗi bài đăng. 

Hoàn nguyên các cài đặt đã sửa đổi về trạng thái ban đầu và xóa nội dung độc hại một cách cẩn thận. 

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn URL rác trong bảng wp_options

Một lần nữa, tùy thuộc vào kích thước trang web của bạn, đây có thể là một nhiệm vụ khổng lồ. Rào cản đầu tiên là xác định phần mềm độc hại và vị trí của nó. Nếu đó là cùng một tập lệnh phần mềm độc hại trên mỗi bài đăng và trang thì bạn thật may mắn. Bạn có thể sử dụng SQL để trích xuất nội dung từ mọi tệp. Tuy nhiên, hãy lưu ý rằng, mặc dù việc loại bỏ nhiều phần mềm độc hại là điều tuyệt vời nhưng bạn không thể chắc chắn rằng đó là cách hack duy nhất trên trang web của mình. 

Nếu bạn có một trang web thương mại điện tử với thông tin quan trọng về người dùng và đơn đặt hàng, hãy kiểm tra hai lần và ba lần thì bạn thực sự chỉ đang loại bỏ phần mềm độc hại.

7. Kiểm tra thư mục gốc của bạn để tìm các tập tin đáng ngờ

Khi xem qua các tập tin trên trang web của bạn, hãy xem cả thư mục gốc. Nó cũng có thể chứa các tập tin phần mềm độc hại được lưu trữ ở đó. Tất cả các tệp PHP đều không tệ và một số plugin thêm tập lệnh vào thư mục gốc để thực hiện một số tác vụ nhất định. Ví dụ:BlogVault thêm tập lệnh Trình kết nối khẩn cấp vào thư mục gốc của trang web để plugin có thể khôi phục bản sao lưu ngay cả khi trang web không thể truy cập được. Các plugin bảo mật khác sẽ gắn cờ nó là phần mềm độc hại, ngay cả những plugin chắc chắn không phải như vậy.

8. Loại bỏ tất cả các cửa hậu

Phần mềm độc hại thường để lại các lỗ hổng trong các trang web được gọi là cửa hậu, đề phòng trường hợp chúng bị phát hiện và xóa. Backdoor cho phép tin tặc lây nhiễm lại các trang web gần như ngay lập tức, do đó xóa sạch mọi nỗ lực dọn dẹp. 

Cũng giống như phần mềm độc hại, cửa hậu có thể ở bất cứ đâu. Một số mã cần tìm là: 

  • đánh giá
  • base64_decode
  • gzinflate
  • preg_replace
  • str_rot13

Đây là những chức năng cho phép truy cập từ bên ngoài, vốn dĩ không phải là một điều xấu. Chúng có các trường hợp sử dụng hợp pháp và thường được thay đổi một cách tinh vi để hoạt động như các cửa hậu. Hãy thận trọng khi xóa chúng mà không phân tích. 

9. Tải lại các tập tin đã được làm sạch của bạn lên

Điều tồi tệ nhất đã qua, giờ bạn đã dọn sạch phần mềm độc hại khỏi trang web của mình. Bây giờ vấn đề là xây dựng lại trang web của bạn. Trước tiên, hãy xóa các tệp và cơ sở dữ liệu hiện có, sau đó tải lên các phiên bản đã được dọn dẹp vào vị trí của chúng.

Sử dụng Trình quản lý tệp và phpMyAdmin trên cPanel để thực hiện việc này cho các tệp và cơ sở dữ liệu tương ứng. Đến bây giờ, bạn là người chuyên nghiệp trong việc xử lý các tính năng này. Nếu cần thêm trợ giúp, bạn có thể tham khảo bài viết của chúng tôi về cách khôi phục bản sao lưu thủ công. Quá trình này là như nhau. 

Đừng nản lòng nếu quá trình khôi phục lớn không hiệu quả. cPanel gặp khó khăn trong việc xử lý dữ liệu vượt quá một giới hạn nhất định. Bạn cũng có thể sử dụng SFTP để thực hiện bước này. 

10. Xóa bộ nhớ đệm

Sau khi đặt lại trang web của bạn và kiểm tra nó một vài lần để xem mọi thứ có hoạt động như mong đợi hay không, hãy xóa bộ nhớ đệm. Bộ đệm lưu trữ các phiên bản trước đó của trang web của bạn để giảm thời gian tải cho khách truy cập. Để trang web của bạn hoạt động như mong đợi sau khi dọn dẹp, hãy xóa bộ nhớ đệm.

11. Xác minh từng plugin và chủ đề

Bây giờ bạn đã cài đặt lại trang web của mình với các phiên bản đã được làm sạch của phần mềm này, hãy kiểm tra chức năng của từng phiên bản. Chúng có hoạt động như bạn mong đợi không? 

Nếu có thì thật tuyệt. Nếu không, hãy quay lại các thư mục plugin cũ và xem những gì không xuất hiện trên trang web đã được dọn dẹp. Rất có thể, một số mã đó là nguyên nhân gây ra chức năng bị thiếu. Sau đó, bạn có thể sao chép lại mã vào trang web của mình, hết sức thận trọng để những bit đó không chứa phần mềm độc hại. 

Chúng tôi khuyên bạn nên thực hiện từng plugin và chủ đề này cùng một lúc. Bạn có thể tạm thời đổi tên các thư mục plugin, từ đó vô hiệu hóa chúng một cách hiệu quả. Phương pháp tương tự cũng áp dụng cho các thư mục chủ đề.  

12. Lặp lại quá trình này đối với tên miền phụ và cài đặt WordPress lồng nhau

Điều này có thể không áp dụng cho bạn, nhưng chúng tôi đã thấy một số trang web có cài đặt WordPress thứ hai trên trang web chính của họ. Đây có thể là kết quả của một số thứ, chẳng hạn như thiết kế trang web, tên miền phụ hoặc thậm chí là một trang web dàn dựng bị lãng quên. 

Nếu có phần mềm độc hại trên trang web WordPress chính của bạn thì nó có thể và sẽ làm hỏng cài đặt lồng nhau. Điều ngược lại cũng đúng. Nếu cài đặt lồng nhau của bạn có phần mềm độc hại, nó sẽ lây nhiễm lại trang web bạn vừa xóa. 

Thông thường, chúng tôi yêu cầu người dùng xóa hoàn toàn mọi cài đặt WordPress không sử dụng. Chúng là một mối nguy hiểm không cần thiết. 

13. Sử dụng máy quét bảo mật để xác nhận

Bạn sắp về đích rồi! Đây là một chặng đường khó khăn và bạn nên dành chút thời gian để đánh giá cao thành tích mà mình đã đạt được. Ngay cả các chuyên gia WordPress cũng không phải lúc nào cũng cảm thấy thoải mái với việc dọn dẹp thủ công các bản hack WordPress mà họ thích sử dụng các công cụ hơn.

Tất cả những gì còn lại bây giờ là xác nhận rằng phần mềm độc hại đã thực sự biến mất khỏi trang web của bạn. Hãy sử dụng trình quét miễn phí của MalCare để nhận được xác nhận đó và bạn đã sẵn sàng!

Bước 3. Hoàn nguyên thiệt hại sau khi xóa hack

Toàn bộ quá trình sửa chữa trang web WordPress bị tấn công bao gồm loại bỏ phần mềm độc hại, đảo ngược thiệt hại và tăng cường bảo mật.

Khi trang web của bạn không có phần mềm độc hại, giờ đây bạn có thể tập trung vào việc khắc phục thiệt hại do các vụ hack gây ra ngay từ đầu. Có hai bên liên quan chính (ngoài khách truy cập và bạn) đối với trang web của bạn:nhà cung cấp dịch vụ lưu trữ web và Google. 

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

Lấy lại quyền truy cập vào trang web

Liên hệ với máy chủ web của bạn sau khi bạn hoàn tất việc dọn dẹp và yêu cầu họ quét lại trang web của bạn. Bạn cũng có thể trình bày chi tiết các bước bạn đã thực hiện để giải quyết vấn đề. Luôn luôn, điều này sẽ dẫn đến việc quyền truy cập của bạn được khôi phục và trang web của bạn trực tuyến trở lại. 

Xóa trang web của bạn khỏi danh sách đen của Google

Nếu trang web của bạn nằm trong danh sách đen của Google thì bạn cần yêu cầu xem xét lại. Bạn có thể làm điều đó bằng cách truy cập Google Search Console và nhấp vào Vấn đề bảo mật. Ở đó, bạn sẽ thấy cảnh báo về nội dung có hại, nêu chi tiết những tệp chứa chúng. 

Ở cuối cảnh báo này, bạn sẽ tìm thấy một nút để yêu cầu xem xét. Bạn phải cam kết rằng bạn đã khắc phục sự cố và cung cấp giải thích chi tiết về tất cả các bước bạn đã thực hiện cho từng vấn đề được liệt kê. 

Sau khi yêu cầu được gửi, bạn sẽ nhận được kết quả của yêu cầu sau vài ngày. 

Kiểm soát thiệt hại thương hiệu

Bước này hoàn toàn là tùy chọn và nó chỉ mang tính chất tư vấn. Như chúng ta sẽ nói sau, các vụ hack hầu như luôn gây tổn hại đến danh tiếng. Nếu có thể, hãy công khai thừa nhận điều gì đã xảy ra, những bước bạn đã thực hiện để khắc phục và cách bạn dự định ngăn chặn điều đó trong tương lai. 

Sự trung thực có tác dụng lâu dài trong việc xây dựng lại các mối quan hệ và đã có những trường hợp các vụ hack được xử lý tốt đã giúp tăng giá trị thương hiệu. 

Bước 4. Ngăn chặn các vụ hack WordPress trong tương lai

Một trong những điều tồi tệ nhất về phần mềm độc hại là nó liên tục quay trở lại thông qua các cửa hậu hoặc thông qua việc khai thác các lỗ hổng tương tự như trước đây. 

Chúng tôi chia sẻ danh sách kiểm tra bảo mật này với khách hàng của mình để giúp họ ngăn chặn các trang web WordPress bị tấn công trong tương lai. 

  1. Cài đặt plugin bảo mật: Chúng tôi không thể nhấn mạnh đầy đủ lợi ích của một plugin bảo mật tốt như MalCare, có thể quét, dọn dẹp và ngăn chặn hack. Ngoài khả năng chẩn đoán và dọn dẹp nhanh chóng các vụ hack, MalCare còn bảo vệ trang web của bạn khỏi nhiều hành vi khó chịu trên Internet, như bot, bằng tường lửa nâng cao. Điểm hay nhất của MalCare là, không giống như các plugin bảo mật khác, nó sẽ không sử dụng hết tài nguyên máy chủ của bạn, vì vậy trang web của bạn sẽ hoạt động tối ưu và vẫn được bảo vệ. 
  1. Change all user and database passwords: After vulnerabilities, poor password security and the resulting compromised user accounts are easily the top reason for hacked websites. 
  1. Reset user accounts: Get rid of any user accounts that shouldn’t be there. Review the privileges of those that should be there, only granting the minimal privileges required for the individual user. 
  1. Change salts + security keys: WordPress attaches long strings of random characters, known as salts and security keys, to login data in cookies. These are used to authenticate users, and to make sure they are logged in safely. To change these, WordPress has a generator, after which the updated strings can be put into the wp-config.php file. 
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn
  1. Choose your plugins and themes wisely: We highly recommend sticking to plugins and themes from reputed developers only. Not only will the developers provide support when required, but will maintain the plugin or theme code with constant updates. Updates are critical to patch vulnerabilities, and are your first line of defence against hacks.

    If you feel that nulled themes and plugins will save you money, you will end up losing whatever you save many times over when the inevitable hack occurs. Nulled themes and plugins are not only unethical, but downright dangerous. 

  1. Install SSL: SSL protects the communication to and from your website. SSL uses encryption to make sure it cannot be intercepted and read by anyone else. Google has been advocating for SSL implementation on websites for years now, and actively penalises website SEO if the website doesn’t have SSL. 
  1. Harden WordPress: There are measures to toughen up security, commonly known as WordPress hardening. We would caution you to be mindful of following the immense advice available online. Some of it is downright bad and will impact your website and visitors’ experience. Follow this guide to harden your website responsibly. 
  1. Update everything: All updates, whether WordPress, plugin, or theme, are necessary and should be done as soon as possible. Updates usually address issues in the code, like security vulnerabilities. It is especially critical because when security researchers discover vulnerabilities, they disclose them to the developer who then releases a patch for it. The researcher then discloses the vulnerability publicly, and that’s when mayhem erupts. Hackers will try their luck with any websites that don’t have the update installed.

    The resistance to WordPress updates is understandable, because it can disrupt operations, especially if something breaks. The safest way to implement updates is to use a staging site first, and then merge changes to live.

  2. Implement an activity log: In order to keep a close eye on changes made to your website, an activity log is immensely useful. Apart from monitoring regular changes, unexpected changes like new users can signal that someone has unauthorized access. It will help you catch hacks early.
  3. Use SFTP instead of FTP: Similar to SSL, SFTP is a secure way to use FTP to access your website backend on the server. Most admin avoid using FTP at all, because it tends to be slow and painstaking to work with. However, in case you cannot log into your website, FTP becomes necessary.
  4. Remove secondary WordPress installations if not in use: We’ve seen this several times. Malware reappears on freshly cleaned websites, because there is a second website on the same cPanel with malware. It works both ways in fact. If either of the sites has malware, it is only a matter of time before the other one is infected.

    There are various reasons that you would have a second website installed on cPanel, and all of them are legitimate:site redesign, staging site, or even a subdomain. However, several times users forget about the second website, even to update or monitor it. It then gets hacked because of vulnerabilities, and the malware works its way into the main website.

  5. Choose a good host: This is a somewhat subjective point, but it pays to do research to pick a good host. The general rule is to pick an established brand name and check how they have handled issues in the past. You want to have a web host that has responsive support, invests in their infrastructure, and has security certifications.
  6. Invest in backups: We’ve said this a few times already in this article, but backups are non-negotiable. Backups are invaluable when all else fails, and our customers have been able to retrieve 100% of their website even after really bad hacks solely because of backups. 
  7. Have a security plan in place/things to do regularly: Last, but certainly not least, have a plan in place to run through diagnostics regularly. Also, there are a few things that should be done to a cadence:review users, require password changes, monitor activity logs, update regularly, check for vulnerability news, and so on. Often, these measures will help avert major security-related disasters early on.

Can you fix WordPress hack issues permanently?

No, WordPress hack issues cannot be fixed permanently. Any security professional, service, or product telling you so isn’t being truthful.

WordPress security, much like all other types of security in the world, is a question of reducing risk, having insurance, and taking the right preventative steps.

Even after all of this, will you be faced with the occasional WordPress hack cleanup? Đúng. However the likelihood and severity will both be orders of magnitude less. So everything that we listed in the section above is still worth doing.

Avoid fixing a hacked WordPress site manually

There are so many things that can go horribly wrong with manual cleanups. Trust us, we have seen our fair share. If your wordpress site is compromised, the best course of action to return your site to good health is to install a security plugin.

We strongly advise against manual cleaning, even though we have included the steps above. If you liken a hack to an illness, you would rather a qualified medical professional perform life-saving surgery, wouldn’t you? Imagine trying to remove your appendix yourself, and you get where we are going with this analogy. 

Hacks, like invasive infections, get progressively worse with time. If malware is destroying your website data, for instance, acting fast could save you a great deal of time and resources. Not to mention, save your website too. 

As malware replicates itself, it spreads into different files and folders, creates ghost admin users to regain entry if it is detected, and overall wreaks havoc. 

On top of this, recovery becomes significantly harder. We’ve had users come to us with half-destroyed websites that they’ve tried to clean themselves, failed, and now are in desperate straits, trying to save whatever is left. We can do our best, but we can’t magic back their lost data for them—a situation that could have been avoided with some timely action. 

The only reason we are reiterating this so many times is that we genuinely care about our users, and feel terrible every time we have to tell them that their data cannot be retrieved. 

To recap, here are the things that can go wrong with manual WordPress hack removal:

  • Malware can spread into unexpected places, and is difficult to find. If you clean only some of it, the rest will soon reinfect your website again. 
  • Removing just the malware is not good enough if the vulnerability and/or backdoor isn’t found and resolved
  • You have to know what each file does and how it interacts with others, otherwise, you could inadvertently break your website 
  • Large sites (like e-commerce stores) will take ages to go through, file by file. It’s like looking for a needle in a haystack.
  • And last by not least, hacks cause increasingly more damage as time wears on

Don’t fix a hack with a backup

In spite of being huge advocates of backups, we do not recommend reverting your website to a previous version. There are several reasons for this: 

  • You will lose all the changes you made in between
  • The backup shouldn’t have the malware either, and unless you have a precise idea of when your website had malware, this is hard to ascertain
  • The backup will have the vulnerabilities that led to the malware infection in the first place

The only time you should consider using a backup as a starting point is if the malware has destroyed your website and data beyond retrieval. We genuinely hope that it doesn’t ever reach that stage, and installing a good security plugin will save you from these issues in the future.

Symptoms of a hacked WordPress website 

Each hack is architected differently and therefore manifests in different ways. A spam link injection hack will not be the same as a remote code execution hack. So you will not see all of the symptoms below, but might come across one or two.

1. Visible spam in Google search results

You have spent time and energy working on SEO, so that your website ranks in keyword searches. These symptoms are particularly painful, because they are often hidden from site admin but visible to visitors—thus creating a very poor impression you have no idea about. 

  • Junk meta titles and descriptions: Titles and descriptions in the search results are supposed to be indicators of what the page contains. Hackers will inject spam pages on your site, which Google will then index and show in the search results. Pages will show up here as either Japanese characters, unrelated strings of keywords or junk values. 
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn
  • Results for pages you didn’t create, but are on your website: This is an especially trippy sensation, because if someone searches for a ranking keyword, your website will display these extra and unexpected pages in the results. Search results will show up 1000s of indexed pages, even if your site actually has less than 100. Those are indexed spam pages. 
  • Google blacklist: When a visitor clicks on your website from the search results, Google puts up a massive red warning advising the visitor that your website contains malware and is not safe. This is part of their Safe Browsing initiative, and other search engines use it to safeguard their users too. 
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn
  • ‘Site may be hacked’ notice: The lite version of the Google blacklist is to see a ‘Site may be hacked’ message underneath your website title in search results.
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Site may be hacked notice on Google

2. Problems on your website

WordPress hacks can show up directly on your website, for everyone to see. These are usually because the hackers want to deface the website or perpetuate a social engineering attack, like phishing.

You may see these pages if you are logged in as an admin or user, but if you do see pages or posts you didn’t create, chances are they would look like one of these:  

  • Spam pages :Spam pages on your website are mostly the same ones that show up in the search results. Spam pages are inserted into ranked websites to create inbound links for other websites. The malware will also alter your sitemap to include these spam pages. This is a play for SEO, and boosts the ranking of the destination website as a result. 
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn
  • Spam pop-ups: These pop-ups try to trick users into either downloading malware or visiting another website. Pop-ups can be caused because of malware or even advertising that you have enabled on your website via an ad network. Ad networks have generally secure policies with respect to advertiser content, but the odd malware can still creep in unexpectedly. 
  • Automatic redirects to other websites: This symptom causes our users maximum stress, because not only do the posts and pages redirect, but sometimes even the wp-login page does as well. This means that they can’t even stay on their website long enough to see what’s wrong. Because of that, we have an entire article dedicated to automatic redirects and how to fix them.
  • Phishing pages: WordPress Phishing is a type of social engineering attack, which dupes people into willingly sharing their data by pretending to be a legitimate website or service, especially banks. Often, when seeing phishing pages on a customer website, we have noticed bank logo image files in the code. Phishing pages are often used in conjunction with emails that appear to be from a trusted entity. The hacker sends out emails, and adds links to the pages on your site, which allows them to collect personal information under the guise of a trusted communication, adding to the website’s spam email issues.
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Phishing website
  • Partially broken pages: You might see code at the top or bottom of some of the pages on your website. At first glance, it may seem like a code error, and it can sometimes be a result of a malfunctioning plugin or theme. But it can also signal the presence of malware.
  • Errors when loading the site: You visit your website, and your browser goes blank. No error messages, nothing. There is nothing to interact with or fix, and therefore no clue as to what has gone wrong with the website. On some versions of WordPress, this can show up as a critical error.

3. Changes to the backend of your WordPress website

These changes are often missed by website admin, unless they are hypervigilant or have an activity log and a file change monitor active.

  • Alterations to your website’s code: Your WordPress website is built with code, so these changes can be in core WordPress files, plugins, or themes. Basically, the malware can be anywhere. Certain types of malware or virus are clever enough to delete traces of themselves, and others evade file change monitors by altering timestamps.
  • Unexpected changes to posts and pages or new pages altogether: Posts and pages are added, or changes are made to existing ones. Many customers reported seeing these changes, even though they were the only ones managing the website content. New pages are likely to show up in anything that indexes your website, including Google search results, analytics, and your sitemap. 
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn
  • Unexpected users with admin privileges: In some cases, website admins have received emails about new accounts being created on their websites. The accounts usually had gibberish names or email addresses, mostly both. They were alerted to this unusual activity because they had enabled a setting that alerted them about the creation of new accounts. Sometimes users with subscriber privileges have inexplicably been escalated to administrators.
  • Settings are changed: Each website is set up differently, of course, so this symptom will vary between websites. In some cases, users reported that the account creation setting changed, while others said their index.php file was different. Each time the admin tried to revert it to its original state, the settings were changed right back again. 
  • Fake plugins: A lot of malware is cleverly hidden in seemingly legitimate folders and files. Fake plugins mimic the style of real plugins, but have very few files in them or have strange names which don’t typically follow naming conventions. This is not a firm diagnostic, but it is a good rule of thumb for identification.
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

4. Web host flags issues with your website

Your web host is especially invested in making sure your website is malware-free because malware on their servers causes them huge problems. Most good web hosts regularly scan websites, and inform users about malware on their sites.

  • Takes your website offline: If your web host has suspended your account or taken your website offline, this is the first sign something is wrong. Although web hosts will also suspend your website due to policy violations or unpaid bills, malware is a big reason for this move. Invariably, they will have reached out over email with their reasons. In case they have detected malware, it is good practice to ask for the list of hacked files that their scanner has detected, and request them to whitelist IPs, so that you can access your website to clean them.
  • Excessive server usage: In this case, you get an email from your web host saying that your website has exceeded or is approaching the plan limits. Again, this is not a conclusive symptom, because you could be seeing a spike in traffic due to other reasons too, like a campaign or promotion. Or perhaps there is a topical reason. However, bot attacks and hacks consume a ton of server resources, and so it is best to investigate, if you see an unexpected spike in server resource usage. You can corroborate these findings with traffic analytics.

5. Performance issues

Malware can cause a huge gamut of things to go bust within the website. As we said before, sometimes the symptoms are invisible, or not explicit, like a new page or new user.

Often, we see what look like harmless errors due to bad server or site performance, or even connectivity issues. To be clear, these could all well be innocuous, but they can also be a result of malware using up site resources.

  • Site becomes slow :Bots consume a lot of server resources. Increased spam pages and traffic use up request bandwidth. And the penalty is site performance. Sites that are very slow to load could have malware, because hackers do not optimise their code.
  • Site is inaccessible : Because server resources are used up, your visitors end up seeing a 503 or 504 error. However, there are other, legitimate ways a site can become inaccessible, like a geoblocking or changes to the .htaccess file.
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

6. User experience issues

Admin are sometimes the last people to find out about hacks because hackers can hide symptoms from logged in users. However, the visitors still see symptoms, which is a terrible experience and has a negative impact on your brand.

In our experience, getting complaints from visitors is a good and bad thing, because at least you are now aware of issues and can solve them. The scary part is to have visitors experience issues and leave, and you are none the wiser.

If your visitors experience one or more of these symptoms, then there is definitely something amiss. 

  • Users can’t log into your website
  • Visitors get redirected from your website
  • Emails from the website go into spam folders
  • Visitors complain about seeing malware symptoms, like pop-ups or phishing pages

7. Unexpected behaviour in analytics

Analytics is a source of truth for many things, and signs of a malware infection just happen to be one of those things.

  • Search console flags security issues: Google Search Console scans your website frontend, much like a frontend scanner, and can find malware. You’ll see an alert on your dashboard, or see flagged pages in the Security Issues tab. 
Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Security issues on Google Search Console
  • Increased traffic from certain countries: Increases in traffic can be a signal of malware, if they are unexpected. Google Analytics filters out most bot traffic anyway, but on occasion, users see spikes from particular countries. This symptom is generally more obvious to a locally relevant website.  

There is a small chance your website could be malfunctioning because of a botched update or server issue or even a coding error. However, if you see more than one of these, your website is most probably hacked.

Some key points to remember 

  • Hackers want malware to go undetected for as long as possible, so a lot of the symptoms are disguised from website admin and/or logged in users
  • Some may be visible all the time; some may happen occasionally/inconsistently
  • Some hacks are entirely invisible to everyone; depending on the malware
  • Some malware will only appear to Google and no one else

How your WordPress site got hacked

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

We like to think that everything we use is 100% secure, but that’s unfortunately not true. It isn’t true of our homes, and certainly not the case with our websites. No software is completely bullet-proof, and every part of the website is essentially software:right from WordPress itself, to the plugins and themes. 

Vulnerabilities in plugins and themes

When code is written, developers can make oversights or mistakes. These mistakes are called vulnerabilities. Vulnerabilities are the single biggest reason why websites get hacked. 

Of course, mistakes aren’t made deliberately. Vulnerabilities often just boil down to a developer writing code to accomplish one task, without realizing that a hacker can use the same code in an unintended way to gain unauthorized access to the website.

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

A good example of this concerns the /wp-uploads folder. In the cleaning section, we mentioned that the /wp-uploads folder should never have PHP scripts. The reason being that the contents of the folder are publicly accessible via the URL and the name of the file. 

Therefore, PHP scripts in the uploads folder would also be accessible, and as a result, remotely executable. Therefore the folder should have a check to ensure that the uploads are not PHP files. If someone does try to upload a script, it should be rejected. 

To see a list of WordPress vulnerabilities, check out WPScan. And here is a complete guide on how to use WPScan to scan for vulnerabilities.

This example also brings up an interesting point. One could argue that the uploads folder should not be publicly accessible, so PHP scripts would not be accessible either. However, this interferes with the functionality of the folder and is not a good fix. 

Similarly, we see a ton of poor security advice on the internet, which fixes a vulnerability without taking functionality into consideration. 

Undetected backdoors

A backdoor is very much what it sounds like:a way to gain unauthorized access without being detected. Even though backdoors are technically malware—code that has malicious intent—they are not actively damaging. They allow hackers to insert malware into the website.

This distinction is important because it is the primary reason WordPress websites get hacked again after cleanups. Cleanups are effective at getting rid of malware, but not addressing the entry point of the malware. 

Security plugins will often flag backdoors by looking for certain functions. But there are 2 problems with this method:firstly, hackers have found ways to mask the functions effectively; and secondly, the functions are not always bad. They have legitimate uses too.

Poor user management policies

There is always an element of human error with hacks, and it mostly comes in the form of the misuse of admin accounts. As a website admin, there are a few things you should always keep top of mind when considering the security of your website. 

Weak passwords

Yes, we know passwords are hard to remember. Especially ones that are a mix of characters, and long enough to be considered ‘safe’. However, easier-to-remember passwords are a weak link to your website security. Even a security plugin cannot protect your website if a password has been compromised. 

Think of your website like your home, where you’ve installed a state-of-the-art security system, like MalCare. If a thief were to learn your unique passcode to gain entry to your home, the security system wouldn’t be able to do anything.

Strong passwords are critically important for all accounts, but even more so for admin accounts, which brings us to our next point. 

Unnecessary user privileges

Users should only ever have enough privileges to accomplish what they need to on a website. A blog writer doesn’t need admin privileges to publish a post, for instance. It is very important to make sure to review these privileges regularly. 

Additionally, if a website admin is vigilant about user account levels, an activity log is a great tool to have as well. The activity log lists all the actions performed by users on a website and can be a great early indicator of a compromised user account. If a user who usually writes posts suddenly installs a plugin out of the blue, it is a warning sign. 

Old accounts are still active

In addition to reviewing accounts, also remove unused user accounts regularly. If a user is no longer active on your website, there is no reason why their account should be. The reason is the same as before:user accounts can be compromised. Hackers can get hold of credentials and escalate their privileges to admin accounts. 

Unsecured communication

Apart from the actual website, communication to and from the website also needs to be secured. If communication is intercepted and is not secured, it can be read easily. So it should be encrypted. This can be easily accomplished by adding SSL to your website.

In fact, SSL is becoming the de facto standard of the internet. Google actively rewards the use of SSL, by punishing websites without it in the SERPs. Some websites show up in the search results as ‘Site not secure’, as part of their Safe Browsing initiative. 

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

On similar lines, it is always better to use SFTP instead of FTP, whenever possible. 

Web host issues

In our experience, web hosts are rarely responsible for hacks. Most hosts implement loads of security measures to make sure that the websites they host are secure.

For instance, people often think that their websites have got malware because they are on shared hosting plans. This is a misconception most of the time, because hosts implement barriers between sites. The real cause of cross-site infections is when there are multiple WordPress installations on a single cPanel instance.

Is WordPress prone to hacks?

Yes and No. 

The immense popularity of WordPress means that it attracts a lot more hackers to it. Very simply, there is a larger payoff for hackers if they are able to discover and exploit a vulnerability in the ecosystem. 

Additionally, WordPress-related vulnerabilities get a lot more attention, again because of its popularity. Similar instances with, say Joomla, would not merit as much discussion. 

In actual fact, WordPress has solved many of the problems that still exist with other CMS. It also has a terrific community and ecosystem as well. Help and support is easily available, even for niche and specific issues that a website admin may face.

Understanding WordPress hacks

If you have a security plugin like MalCare installed, you don’t need to worry about hacks. We constantly upgrade the plugin to counteract new attacks, in order to protect websites better. However, it is interesting to understand how hacks work, so that you can see just how critical a good security plugin is. There are two parts to the hacking process:

  • Hack mechanisms: How malware is inserted into the websites by either exploiting vulnerabilities or attacking the website. 
  • Types of malware: How the malware manifests itself on your website. There are a few ways that malware shows up on your website, but ultimately the hacker’s goal is to get unauthorised access to perform otherwise prohibited activities. We’ve expanded on why WordPress sites get hacked in a later section. 

Hack mechanisms

Previously in the article, we have talked about how websites get hacked. Either through vulnerabilities or backdoors, or sometimes poor passwords. These are flaws within the security of the website and are akin to weak points of a structure. 

Hack mechanisms are the weapons used to attack those weak points. Their goal is to insert malware into the website. They are bots or programs that target weak points in specific ways to achieve their goal. There are several hack mechanisms, especially since hackers are getting smarter every day about circumventing the security systems of websites.

  • SQL injection: SQL is a programming language used to interact with database systems, in order to write, read or manipulate data. Websites interact with the database all the time, to save form data for instance, or to authenticate users. An SQL injection attack uses SQL to insert php scripts into the database.

    The injection is only possible if the form is not adequately protected from incorrect inputs. The hacker can use operators and programming logic to circumvent the functionality of a form, unless checks are put in place.

  • Cross-site scripting (XSS): Cross-site scripting(XSS) is also the injection of code, like with SQL injection, but into the browser. The next user to access the website or otherwise interact with the page in question becomes the target of this attack.

    Again, form fields are duped by hackers into accepting code like JavaScript and executing those scripts without validation. 

  • Distributed denial of service (DDoS): In a DDoS attack, hackers flood a website or system with so much malicious traffic that legitimate users cannot access it. The attack works because resources are limited or metered.

    For instance, a website using server resources will be on a plan for processing power and request handling. If the website is bombarded with 100x or even 1000x requests compared to what it normally receives, the server will not be unable to handle those requests and visitors will see an error.

  • Brute force attacks: This type of attack usually targets login pages, trying out combinations of usernames and passwords in order to gain access to the website. The hack mechanism is a bot, and will try out passwords, using words from a dictionary. A brute force attack also consumes server resources, and so will often end up keeping out genuine users and visitors.

    On many WordPress support threads, you will see advice to hide the login page to protect from this attack. This is an unwise thing to do, because the URL can be forgotten, it is tricky to distribute this URL to multiple users for login, and many more problems. It is best to have bot protection in place that keeps out this bad bot traffic.

Types of malware

The malware types we have listed appear to mirror symptoms closely. That’s because most malware has been named for the symptoms that each display. If you were to drill down into the malware, they aren’t all that different in construction or purpose. 

All malware is out to use your website in some way or the other:use up its resources, steal data, piggyback on your SEO rankings, etc. The most commonly seen malware are: 

  • Pharma hack: Your website will have new pages or posts filled with keywords or links to sell pharmaceutical products, often grey market or illegal. These products are difficult to rank for on Google because of legality issues, and hence to get more traffic and sales, hackers insert these pages into unsuspecting websites.

    To detect a pharma hack on your website, you can try Googling pharma keywords like ‘viagra’ or ‘CBD’ with the search operator site:. It will list out all the pages on your website with that keyword.

  • Japanese keyword hack: The Japanese keyword hack is a variation of the pharma hack, and indeed of the next malware on this list, the SEO Spam hack. The only difference is that instead of pharmaceutical products, the malware will display Japanese content; often, unsavoury adult content.

    It is a little harder to check for this hack, unless you are familiar with Japanese and can look for keywords.

  • SEO spam hack: The SEO spam hack, as said before, is a variation on the first two. The content differs. Here, the spam content can include online gambling and casinos, or even chinese search results spam. This is effectively a catchall term for all hacks that insert extra pages into your website, but don’t fall into one of the special categories. 
  • Redirects: Malicious redirects take place when a visitor to your website is taken to an entirely different website, usually a spammy one. There are a few variations of the redirect hack, depending on where it appears.

    The most egregious aspect of the redirect hack is that website admin cannot log into their websites. Therefore, they cannot control the damage or even fix their website without expert help. 

Examples of hack scripts, we’ve found in websites:

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn

It is difficult to protect against all the hack mechanisms, which is why installing a security plugin is very critical. MalCare’s sophisticated algorithm combats malware effectively, in addition to protecting websites against hack mechanisms. 

Recommended read :Coinhive malware, wp-feed.php malware

Consequences of a hacked site 

The impact of a hacked WordPress website can be wide-ranging in bad consequences. The importance of web security cannot be sufficiently overestimated because of this reason. Website admins without exposure to cybersecurity may read about the occasional hack, but the full potential impact is not always evident.

Therefore, it is critical to understand the impact in its entirety. The poor consequences are not confined to individual websites or their owners and administrators but have far-reaching implications. 

Immediate impact on your website

If your WordPress website is hacked, there are chances you won’t even realise it for a while. Rest assured, whether or not you can see a hack, the damage is unfolding and getting worse as time wears on. 

Let’s say one of the ways the hack manifests is through malvertising; a very common sign with spammy ads or pages that redirect your website visitors to another website (usually a pharma site or one peddling illegal stuff). This has several implications: 

  • Google blacklist: Google is hyper-vigilant about hacked websites, because they do not want to send their users (search engine users) to dangerous websites. With malware, your website is now dangerous. So they will put up a massive, scary red notice advising visitors to stay far away from your website.

    Additionally, other search engines and browsers use this same blacklist to protect their own users. So even if your site doesn’t get flagged with the red screen, most browsers will warn your visitors away with messages.

Khôi phục hoàn toàn trang web WordPress của bạn sau khi bị hack:Hướng dẫn khắc phục từng bước, sạch sẽ và an toàn
  • SEO rankings will tank: As a result of fewer visitors and Google’s policy of protecting people, your website will stop showing up in results. Google calls this “hiding sites silently”. Not only are you going to lose ground you may have gained with an SEO strategy, but you will also lose visitors and discoverability.
  • Loss of trust and visitors: Most people will see spam content as a sign of a hack and know that your website is unsafe. If you are fortunate, someone will point it out. If not, your traffic numbers will decline.
  • Web host issues :Web hosts will quickly suspend websites that are hacked. If your website is hacked, your web host will face a lot of the heat, and will take hacked websites offline as soon as they are discovered to be hacked.

    A web host risks their IPs getting blacklisted with a hacked site. If your website is used for phishing attacks, and firewalls identify your website as the source, that means your IP address can be blacklisted, which will cause the host several issues.

    Also, a hacked website will often consume lots of server resources, and if your website is on shared hosting, that will adversely affect the performance of other websites, which are other customers of the web host. The problem becomes worse if there are bots attacking your website. Bots pummel your website with thousands and thousands of requests that consume tons of resources.

  • Unwitting pawn: Your website becomes a host for malware; part of a botnet that goes on to attack more websites.

Business impact

The impact of the previous section applies to all websites, large and small. The consequences are worse if your website is central to your business. Because then we are talking straight up the monetary loss. 

  • Loss of revenue: Downtime, poor SEO rankings, visitor numbers reducing are all contributing factors to loss in revenue. If people can’t or won’t visit your website, you aren’t going to get business that way.
  • Degraded branding: Trust is a huge commodity in online marketing, and hacks erode that trust. You may have had a competitive advantage in some cases. That too will be affected. Also, data breaches leave a stain on reputation. Some businesses handle the aftermath well, but the seed of doubt may be planted forever. Since things last forever on the Internet, a quick, intentional Google search will bring up hacks. It will become a point of consideration for any potential customer.
  • Server resources: We mentioned this in the previous section, but it bears mention from a monetary angle as well. Web hosts charge for excessive resource consumption. If your hacked website goes undetected for a while, you could also be paying for this fraudulent usage. Plus, if you are subject to bot attacks, the rapid depletion of (finite and allocated) server resources means that legitimate users will not be able to access your website.
  • Investment: You’ve spent time, money, and manpower to build this website. If you lose the website, you’ve lost that investment.
  • Legal issues: Data breaches of private information can cause you legal issues because of stringent data protection regulations. It is very important that websites that collect personal data from visitors treat that data with the utmost care. If it is compromised in any way, those people have grounds for legal action.
  • Cleaning cost: Hack removal is an expensive proposition, especially if you hire experts who actually know what they are doing.

    Apart from that, we often encounter website admin who try cleaning malware out by themselves, and cause their website to break. Then, in panic, they seek out expert help. Again, data retrieval is an expensive undertaking. 

Dangerous for people

Social engineering attacks, like phishing, have compounded impact. They are bad for the website and website admin being attacked, but also have terrible consequences for their users and visitors. 

Credentials can be used to hack into other websites. Hackers can use aggregated information from websites to create personal profiles that can be used to hack into bank accounts and other restricted areas. People also tend to use the same passwords in multiple places, making them especially vulnerable in these situations. 

While all data theft is bad, it takes a tragic turn with the theft and release of information of vulnerable people, like those in witness protection programs or on the run from abusers. This information sells on the dark web, a particularly ugly place.

Why WordPress websites get hacked

All websites have value, whether large or small, business or personal. Many website owners of small blogs often have a false sense of security because they feel their website is “too small” to be hacked. 

This is not true at all. While bigger websites will have a bigger payoff for hackers in terms of data theft for instance, smaller sites have value of their own. They can be used as a part of a botnet, for example. Or a site may have a small, dedicated following, which can be tapped for phishing scams via their email addresses. 

Because people tend to use the same passwords for different accounts, it is theoretically possible to now hack into another site or system using this information. The small website played a small but crucial role in this chain of events. 

Finally, hacking is always worth the effort. Hacks are rarely carried out manually. Malware, bots specifically, are designed to automate the hacking process. So there is minimal “effort” on the hacker’s front. Thus the gains of hacking your site are disproportionately stacked on the side of hackers. 

Kết luận

In order to protect your website, it is important to be well-informed about WordPress security and hacks. In this article, we have attempted to explain WordPress hacks, motivations, impact, and much more, so you can make an informed decision about your website’s security. 

We recommend MalCare to fix hacked WordPress website because it is a complete security solution, and is only getting better with time. We protect 1000s of websites daily, with our advanced firewall, scanning and cleaning algorithm, and much more. MalCare has found malware that most other scanners miss, and has saved our customers untold amounts in revenue. 

Chúng tôi rất mong nhận được phản hồi từ bạn. Reach out to us via email for any questions, and we’re happy to help.

Câu hỏi thường gặp

How do WordPress sites get hacked?

Primarily, WordPress websites get hacked or keep getting hacked because of vulnerabilities in the core WordPress files, plugins, or themes. Hackers exploit these vulnerabilities to insert malware into the website. The second biggest reason that websites get hacked is because of poor or insecure passwords. 

My WordPress site has been hacked, what to do?

If your WordPress site is seriously compromised, there are steps you can take to fix the hack: 

  1. Scan your website for malware using MalCare
  2. Take a backup of your hacked WordPress site before cleanup
  3. Use a security plugin to clean up hacked WordPress site
  4. Install a web application firewall
  5. Change all user passwords

What are the symptoms of malware on your website?

Malware is misleading and it can hide from you because that’s how it is designed. So it is difficult to determine if you have malware on your website. But there are some symptoms that you can keep an eye out for. Here are a few symptoms to look out for, which can be an indicator of malware on your website:

  • Spam in Google search results
  • Problems on your website
  • Backend changes to website
  • Web host issues
  • Performance issues
  • User experience issues
  • Changes in analytics patterns

How to scan a WordPress website for malware?

There are three ways in which you can scan your website for hacks. Each of these ways has its pros and cons:

  1. Deep scan with a security scanner
  2. Scan using an online scanner
  3. Scan for malware manually

We recommend that you scan using a security scanner such as MalCare, as MalCare is built specifically to look out for hidden malware that is not easy to find with other methods.

How to clean your hacked WordPress website?

There are different ways to clean your website, but we strongly recommend using a good security plugin like MalCare. MalCare allows you to auto clean your website within minutes and does not charge you per clean-up. It will also protect your website from future hacks.

Alternatively, you can manually clean your site. However, unless you are a security expert, we do not recommend manual cleaning as it could lead to more problems than you already have.

Will having multiple security plugins protect my site from hacks?

There is a common misconception that installing several security plugins makes your website safer, presumably because whatever one plugin misses, the other one will catch. There are two problems with this theory:firstly, that’s not actually the case. New and sophisticated malware will slip through bad security plugins; and secondly, by adding multiple security plugins, you’re effectively weighing down your website so much, it will impact its performance dramatically.