Kiến thức Web SEO

Website bị tự động chuyển hướng sang web khác

Đăng vào bởi admin

Thình thoảng bạn sẽ gặp hiện tượng Website bị tự động chuyển hướng sang web khác trong khi bạn không làm gì cả. Đây là dấu hiệu bạn đã bị hack và các hacker đã chèn mã độc vào website của bạn. Bài viết dưới đây Gencontent sẽ cung cấp cho bạn danh sách các chỗ cần phải kiểm tra để loại bỏ các mã độc hại đó.

Phân tích hiện tượng Website bị tự động chuyển hướng sang web khác

Website bị tự động chuyển hướng sang web khác
Website bị tự động chuyển hướng sang web khác

Hiện tượng website bị redirect không xảy ra thường xuyên, khi bạn vào trình duyệt mới, wifi, 5g mới với địa chỉ IP mới, thì website sẽ bị redirect 1 lần, có thể sang các trang cờ bạc, cá cược hoặc các trang bán hàng affilate… Nhưng sau đó bạn quay lại trang chủ và dùng thì không thấy hiện tượng gì nữa. Ở đoạn này bạn có thể bỏ qua nghi vấn website mình bị hack, chúng chỉ bị lỗi một chút thôi và bạn không tìm cách khắc phục. Trong khi đó các khách hàng mới của bạn vào đều bị redirect mà bạn không hề hay biết.

Theo nghiên cứu từ nhiều nguồn trên reddit, hành vi được cho là malware đang theo dõi địa chỉ IP truy cập. Ở lần truy cập đầu tiên, malware gửi yêu cầu redirect. Nhưng ở các lần truy cập sau đó thì đoạn code đó không gửi bất cứ yêu cầu nào nữa từ cùng 1 IP. Phải chuyển sang IP khác mới chạy được.

Trên website có quá nhiều chỗ, quá nhiều ngóc ngách để có thể chèn đoạn code đôc hại vào website. Dưới đây Gencontent sẽ chỉ ra vài chỗ đã được ghi nhận để bạn kiểm tra, cũng như cung cấp các biện pháp để giúp bạn bảo mật tốt hơn. Việc sử dụng chatgpt để gỡ lỗi này chỉ giúp được một phần không đáng kể mà rất mất thời gian, tôi đã mất cả buổi chiều với nó và không đạt được kết quả triệt để.

Cơ chế hoạt động của malware:

Phần mềm độc hại này kết hợp nhiều kỹ thuật tiên tiến, lợi dụng plugin WPCode (Headers and Footers) để thực hiện các hoạt động độc hại của nó:

  • Định tuyến tên miền và tra cứu TXT: Phần mềm độc hại điều hướng lưu lượng truy cập thông qua dns-routing.net và sử dụng nó cdn-routing.com để thực hiện tra cứu TXT. Các tra cứu này trả về các tên miền có cấu trúc được mã hóa bằng Base64. Sau đó, phần mềm độc hại giải mã các tên miền này để xác định nơi người dùng nên được chuyển hướng đến.
  • Chuyển hướng có điều kiện: Phần mềm độc hại kích hoạt chuyển hướng một cách chiến lược bằng cách kiểm tra các điều kiện như địa chỉ IP và loại thiết bị (ví dụ: điện thoại di động hoặc iPhone). Nó chỉ kích hoạt chuyển hướng một lần mỗi 24 giờ cho mỗi địa chỉ IP, làm giảm khả năng bị phát hiện.
  • Tạo người dùng quản trị: Phần mềm độc hại có thể tạo người dùng quản trị mới bằng cách nhúng mã độc vào cơ sở dữ liệu. Kỹ thuật này vượt qua các bước kiểm tra hệ thống tập tin thông thường và lợi dụng khả năng thực thi mã PHP của plugin WPCode. Thực tế khi tôi sử dụng Wordefence có hàng trăm lượt truy cập cố gắng đăng nhập vào website thông qua các username giả mạo với list password đơn giản thông thường.

Giải pháp xử lý Website bị tự động chuyển hướng sang web khác

1. Xác định nguồn lây bệnh

Bạn sẽ phải kiểm tra các file hệ thống trong wordpress:

  • .htaccess
  • wp-config.php
  • class-wp.php
  • /wp-content/themes/…./functions.php ( kiểm tra ở cả theme chính và child theme )

Nếu thấy có những đoạn code bất thường hãy kiểm tra nó, kiểu như tên file bị thay đổi gần giống, hoặc có những link lạ xuất hiện, ký tự không rõ ràng. Bạn có thể copy các đoạn code vào chatgpt để kiểm tra.

Sau đó xóa cache và thử truy cập lại bằng tab ẩn danh và 5g xem có bị redirect nữa không.

cpanel quản lý host
Vào cpanel, File manager để quản lý mã nguồn website
kiểm tra file htaccess, wp config
kiểm tra file htaccess, wp config

2. Sử dụng Plugin quét mã độc

Tôi đề xuất sử dụng WordfenceSucuri Security. Có thể sử dụng lần lượt 2 plugin này để quét, tôi đã sử dụng và cho ra 2 kết quả khác nhau.

  • Wordfence thì không ra file bị dính mã độc, nhưng chặn hàng trăm lượt truy cập trái phép từ bot, chúng đang có gắng đăng nhập vào website thông qua username giả mạo và mật khẩu đơn giản.
  • Sucuri Security đã chỉ cho tôi thấy 1 file chứa mã độc nằm trong thư mục Woocommerce, file đó nằm khá sâu và đặt tên như 1 file hệ thống quan trọng. Sau khi xóa file này xong, website của tôi chưa thấy xuất hiện hiện tượng bị redirect nữa.
wordfence chặn truy cập trái phép
wordfence chặn truy cập trái phép

3. Gỡ bỏ plugin thừa, cũ, plugin lậu và cài đặt lại

Việc sử dụng plugin lậu cũng là một trong những nguyên nhân chính khiến website bị dính mã độc. Nếu có điều kiện thì sử dụng plugin chính hãng là tốt nhất, còn không, ít nhất hãy sử dụng các phiên bản plugin đã được kiểm duyệt, hoặc mua key ở các website mua chung uy tín. Ở website Gencontent.top này, tôi hầu hết sử dụng plugin free trên chợ của wordpress, một số tính năng cao cấp có thể bỏ qua.

  • Hãy vào Cpanel -> Wp-content -> Plugin, đổi tên từng plugin ( có thể thêm số 1 vào cuối tên folder ) để test từng cái.
  • Hoặc đơn giản hơn là bạn xóa hết đi và cài đặt lại từ đầu. Nhưng nhớ là cài bản free trên chợ hoặc các phiên bản tải lên đã được kiểm duyệt.

Tùy vào việc bạn có nhiều plugin trả phí có sẵn hay không mà chọn phương án phù hợp. Kể cả plugin của bạn có bản quyền, cũng nên gỡ nó và cài đặt lại. Xóa sạch sẽ nhất là sử dụng Cpanel.

4. Duyệt lại các tài khoản user và đặt lại mật khẩu

Trong quá trình tìm kiếm nguyên nhân, một số tài khoản User trên website của tôi có dấu hiệu kỳ quặc như tên là các ký tự, chữ cái lộn xộn nhưng lại được gia quyền là quản lý cửa hàng chứ không phải user. Trong khi website chỉ có 1 mình tôi với 3 tài khoản admin khác nhau. Nên ngay sau đó tôi đã loại bỏ các tài khoản có quyền hạn cao hơn khách hàng, chỉ giữ lại các tài khoản admin và khách hàng.

Tiếp theo là đổi mật khẩu các tài khoản admin có sẵn bằng mật khẩu mới, lưu ý là các mật khẩu có ít nhất 12 ký tự, bao gồm chữ thường và in hoa, có số và ký tự đặc biệt như ! @.

5. Kiểm tra lại lần cuối và chặn sửa chữa file hệ thống

Hãy sử dụng tab ẩn danh và 5G, hoặc reset modem wifi đi và test lại website, nếu mọi chuyện đã ổn thì cài đặt chặn sửa đổi file hệ thống.

Bạn vào Cpanel, sửa file Wp-config.php, thêm đoạn code này ngay trước dòng: /* That's all, stop editing! */):

define( ‘DISALLOW_FILE_EDIT’, true );

Đoạn code này có tác dụng ẩn đi phần edit theme file trong phần giao diện. Sau bạn muốn sửa file giao diện có thể mở lại, thay đổi true bằng false, hoặc sửa trực tiếp trong Cpanel.

code chặn sửa file hệ thống website
code chặn sửa file hệ thống website

6. Phương án cuối cùng

Nếu các nỗ lực ở trên vẫn chưa thành công, bạn cần đưa ra phương án cuối cùng là cài đặt lại toàn bộ website như 1 website mới.

  • Backup lại tất cả các bài viết, sản phẩm, file media, upload trong host. Lưu ý là backup từng phần chứ không phải tạo 1 cục backup như thông thường. Có thể là sao chép từng bài viết vào google doc, tạo file google excel để quản lý đường dẫn….
  • Tải bản cài đặt wordpress mới nhất. Xóa toàn bộ website trong folder Public_html, database và cài đặt lại từ đầu.
  • Sau khi có website mới bắt đầu cài đặt plugin và tải lại nội trung cho website.

Có một cách khác mình chưa từng làm, bạn có thể tham khảo:

  • Vẫn backup từng phần như trên
  • Vẫn tải bản cài đặt wordpress mới nhất
  • Thay vì xóa website và cài đặt mới, thì ghi đè file wordpress từng phần vào website tương ứng, làm từng file, từng folder một.
  • Cũng khá mất thời gian nhưng sẽ đỡ mất công backup và đăng lại blog cũng như sản phẩm.

Trên đây là toàn bộ những giải pháp xử lý Website bị tự động chuyển hướng sang web khác mà Gencontent đã tổng hợp cũng như tự thực hiện trên một số nền tảng do mình quản lý. Nếu các bạn gặp các trường hợp khác cũng như có cách giải quyết khác hãy để lại comment để mình cập nhật thêm nhé.

Bên mình cung cấp dịch vụ quản lý website cũng như làm SEO cho website, bạn tham khảo theo đường dẫn này nhé: https://gencontent.top/dich-vu-quan-ly-website-chuyen-nghiep/

Tham khảo thêm các kinh nghiệm quản trị website hữu ích khác tại danh mục Kiến thức SEO Website

Leave feedback about this

  • Rating